Het antwoord op de vraag, Bent u wel eens succesvol aangevallen? wordt niet vaak enthousiast gegeven. Belangrijke oorzaak is natuurlijk dat – als u het al weet – het nooit prettig is om dit toe te moeten geven. Echter, de vraag Hoe weet u dat u niet succesvol bent aangevallen? is wellicht interessanter om te beantwoorden.
Weten dat een aanval succesvol is geweest kan natuurlijk nuttig zijn om van te leren en zodoende het niveau van beveiliging te verbeteren. Daarnaast creëert het extra aandacht voor informatiebeveiliging en wordt het bewustzijn van de noodzaak voor informatiebeveiliging verhoogd.
Maar ja, als u niet weet of u succesvol bent aangevallen, is er misschien nog wel een langere weg te gaan dan wanneer u wel weet dat een aanval succesvol is geweest (of wanneer u weet of bepaalde aanvallen succesvol zouden kunnen zijn). Natuurlijk zult u het merken als de werking van een ICT service zoals bv. het e-mail systeem door een virus en/of worm is verstoord. Maar of uw financiële informatie en klantenbestand is gekopieerd en door anderen wordt misbruikt is vaak veel lastiger te op te merken. Dat merkt u pas als deze informatie wordt misbruikt of op het internet opduikt.
Om met zekerheid te kunnen stellen dat u niet met succes bent aangevallen is het essentieel om continu te monitoren wat er in uw infrastructuur gebeurt en regelmatig te controleren of uw informatiebeveiliging op het juiste niveau is. Om dit effectief te kunnen realiseren is een gestructureerde aanpak van informatiebeveiliging een noodzaak.
Stap één is om te kijken wat voor risico profiel bij uw organisatie past: is uw organisatie een aantrekkelijk doelwit? Dat bepaalt welke maatregelen uiteindelijk genomen zullen worden. De tweede stap is te kijken aan welke risico’s uw organisatie wordt blootgesteld. De analyse van risico’s kan worden uitgevoerd met de volgende stappen.
– Bepaal welke systemen kritisch zijn voor uw organisatie,
– Stel vast welke kwetsbaarheden er zijn voor deze systemen,
– Bepaal welke bedreigingen daarvoor relevant zijn,
– Bepaal wat de impact is als een bedreiging daadwerkelijk gebeurt,
– Stel vast welke maatregelen dit kunnen detecteren en voorkomen.
Stap drie is incidenten te registreren. Om dat goed te doen is het van belang logs te verzamelen, prioriteit te bepalen en te archiveren. Real-time informatie moet worden gemonitoord en historische informatie kan worden gecorreleerd om inzicht te krijgen in het verloop van aanvallen, of bijvoorbeeld om te zien dat iets ogenschijnlijk onschuldigs een lange termijn aanval blijkt te zijn.
Alleen met een gestructureerde aanpak kan een effectief beveiligingssysteem worden gecreëerd en kan de vraag, Bent u wel eens succesvol aangevallen? wellicht overtuigend worden beantwoord.
Aanvullend op bovenstaande is triest te merken dat sommige (met name MKB) ondernemers op deze vraag reageren: Bij mij valt toch niks te halen, dus… Over kop in het zand steken gesproken.Verder ben ik het helemaal eens met bovenstaande.
Een inderdaad veel gehoorde reactie op het niet investeren in informatiebeveiliging is ‘wij zijn de Nederlandse Bank niet’! Toch worden ook dergelijke bedrijven slachtoffer van aanvallen en zijn ze vaker succesvol dan er toe wordt gegeven. Misschien is dat wel nodig voor bedrijven om actie te ondernemen. ‘Eerst voelen om te geloven’. Naast het implementeren van een degelijk IB beleid verdient het aanbeveling om de infrastructuur uit te rusten met een Intrusion Detection System (IDS) en dan nog beter is het om de analyse van de gegevens uitbesteden aan specialisten. De gegevens zijn veelal voor de systeembeheerders een wirwar waaruit maar moeilijk conclusies zijn te trekken. Managed security services zijn daarentegen voor bedrijven die zich geen specialistische security professionals kunnen veroorloven een goed hulpmiddel in de strijd tegen ongewenst bezoek op de kritische systemen en tegen ander misbruik van de infrastructuur.
Wat aanvullend helpt om een grondig inzicht te krijgen in je kwetsbaarheid is het laten plaatsvinden van geregisseerde incidenten zoals ethische hacks en onaangekondigd bezoek van onbevoegde gasten (‘MysteryGuests’). Goed slapen doe je daarna een heel stuk minder als je je tegelijkertijd niet ook buigt over opponenten: kwaadwilligen die mogelijk iets van je willen. Pas dan is het risicoplaatje compleet en kan je besluiten tot maatregelen als je jezelf te kwetsbaar vindt (van onbewust risico lopen naar bewust risico nemen). Als je je maatregelen alleen maar afstemt op de haalbaarheid van aanvallen schiet je door als je paranoïde ingesteld bent en blijf je wellicht te kwetsbaar als je over te weinig creativiteit en realiteitszin beschikt.
Overigens begrijp ik het wel waarom veel bedrijven vaak niet met zekerheid kunnen zeggen of er iets is gebeurt. IDS systemen werkten niet altijd even goed en IPS systemen zijn in iedergeval een betere strategie. Qua perfomance zijn daar soms ook issues.SIEM tools zijn inmiddels ook het 1.0 tijdperk voorbij. Dus logisch dat veel organisaties nog steeds niet kunnen zeggen dat ze “in control” zijn.
De klassieke risico inventarisatie wordt gedaan vanuit een reeds gestartinformatiebeveiligingsproces. Daar zit een kip-ei situatie: de analysemaakt duidelijk wat schade kan kosten maar het starten van het proces wordtniet gedaan omdat onduidelijk is wat het kan voorkomen.Soms is de oplossing eenvoudig: wet- en regelgeving zorgen b.v. in debancaire sector voor een security-drive. Die regelgeving is gemaakt om definanciele stabiliteit te waarborgen. Maar hoe motiveren we eenklein accountantsbureau om aan een proces te beginnen dat overduidelijkgeld kost en mogelijk niets oplevert of simpelweg te duur is?De oplossingen zitten niet in de techniek (koopt een IDS, dan ziet u vanzelfwat een zooi het is…) maar in de toegevoegde waarde. B.v. een keurmerkwaarmee potentiele klanten zich kunnen overtuigen van de kwaliteitvan de accountant of waarmee de accountant korting kan krijgen bij zijn verzekeraar.
Theoretisch is de aanpak van Pieter prima. Iedereen zou er meteen voor kiezen. Maar…. is het ook iets wat je praktisch gaat doen, kunt doen? Is het bij een organisatie van enigerlei omvang vol te houden?Stel de vraag eens andersom: heeft u ooit een aanval succesvol gepareerd? Wie het weet mag het zeggen. En hoeveel aanvallen dan wel?Los van de korte termijn -je zult wel iets moeten doen- ligt het antwoord naar mijn mening niet in hogere hekken maar in het onaantrekkelijk maken van wat er achter ligt. Er zijn vrij weinig mensen die de moeite nemen een mestvaalt te beschermen. Toch kan wat er in ligt wel degelijk van belang zijn in de context die je aanbrengt. Met andere woorden: wanneer wij in staat zijn onze systemen zo in te richten dat ze “self protecting” zijn hebben we een belangrijke stap in de goede richting gemaakt.
De stelling is met een uitgangspunt geschreven waar ik absoluut niet mee een ben. De vraag “Om met zekerheid te kunnen stellen dat u niet met succes bent aangevallen ….” doet vermoeden dat je ooit met zekerheid zou kunnen vertellen of je succesvol bent aangevallen. Dat zeker niet (meer?) het geval. De aanvallen van vroeger waren gericht op aanrichten van schade, dat is dan nog wel redelijk vast te stellen (ook al niet waterdicht, data-integriteitschade is soms pas jaren later te constateren), maar tegenwoordig is een aanval meer gericht op het verdienen van geld. Bijvoorbeeld gebruikmaken van data of systemen van anderen en dat kan serieus onopgemerkt blijven. En aanvalsmethoden zelf monitoren is zoals alles in beveiliging, mosterd na de maaltijd want je kunt niet alles monitoren en daarnaast zijn er technieken die je nog niet kent. Dus met de indruk dat je waterdichte monitoring kan doen is absoluut een verkeerde voorstelling van zaken.
Of iets een succesvolle aanval is geweest of niet is niet zomaar te zeggen. Om dit goed vast te kunnen stellen dien je een aantal gegevens te verzamelen van meerdere componenten en dit met elkaar te vergelijken. Om de logging en flows van de diverse componenten goed te kunnen vergelijken dien je alleen de relevante informatie naast elkaar te leggen en dit te analyseren. Omdat dit gewoonweg niet te doen is met de hand zijn hiervoor producten op de markt die dit voor je kunnen inregelen. SIEM (Security Information and Event Management) en NBAD (Network Behavior Anomaly Detection) kan hierbij de oplossing zijn. Deze oplossingen dienen sowieso ook aangeschaft te worden door Amerikaanse firma’s die aan compliancy moeten voldoen. Jammer genoeg zijn dit oplossingen die prijstechnisch niet echt voor de onderkant van de markt geschikt zijn. Hier ligt een kans voor dienstverleners.
Het is cruciaal om incidenten te registreren. Ooit vroeg een manager mij wat te doen als hij maar één security maatregel wilde nemen. Ik heb toen geantwoord dat hij een proces voor security incident management zou moeten opzetten. De informatie die daaruit voortkomt gaat vanzelf wel zorgen dat er meer maatregelen genomen worden.De focus dient echter niet op de techniek te liggen. Natuurlijk moeten we de techniek goed inregelen en meten of dat goed gedaan is, mensen veroorzaken meer incidenten en mensen zijn ook beter in staat om vreemde zaken op te merken.De twee eerste stappen – de globale business impact analyse en de gedetailleerde risico analyses zijn zaken die je regelmatig hoort te doen. Cruciaal hierbij is dat je op de hoogte blijft van nieuwe ontwikkelingen. Nieuwe inzichten zoals veranderende businessmodellen voor criminelen en nieuwe kwetsbaarheden kunnen analyses danig veranderen.Een ding is zeker dezer dagen, je hoort niet alleen naar mogelijk misbruik van je eigen bedrijf te kijken, maar ook naar de mogelijke schakel die je vormt in een hele keten van misbruik met een ander doelwit. Met name MKB zal meer in de tweede categorie vallen.
Bij beveiliging is de balans tussen mens, organisatie en techniek van groot belang. Risico Management helpt in kaart te brengen wat kritisch is voor organisaties, dit behoeven niet uitsluitend technische systemen te zijn. Dit kunnen ook medewerkers betreffen. Van groot belang is echter dat de te implementeren risico management attributen/controls afgeleide zijn van de bedrijfsdoelstellingen cq. business. Het overeenstemmen en verankeren van voorgaande zaken kan door het definiëren, implementeren en beheren van een security architectuur. Dit middel helpt bedrijven in haar organisatie op alle niveaus beveiliging op een eenduidige en toekomstvaste wijze te borgen en proactief met beveiliging aan de slag te gaan. Men weet immers wat men wil beschermen en waarom. De basis van de architectuur gaat uit van de business en staat op het hoogste niveau los van de techniek want dit veranderd continue, net zoals de aanvallen. Technologie is echter wel belangrijk, het beschermt en geeft inzicht in de diverse security events en de impact hiervan op het beveiligingsniveau. Het geeft echter nog steeds geen 100% garantie, want dit inzicht gaat uit van meten wat je weet. En tot op heden is gebleken dat er voldoende ruimte is voor wat men niet weet maar wel kan deren.