Sunday, October 11, 2015

Waardevolle assets verdienen betere bescherming

Waardevolle assets verdienen betere bescherming

Ondoordringbare beveiliging bestaat niet

100 procent bescherming tegen cyberaanvallen bestaat niet. Nog afgezien van de immens hoge kosten die dat met zich mee zou brengen, heeft het dus weinig zin daar naar te streven. Maar wat is dan wel genoeg?

Voor Righard Zwienenberg, senior research fellow bij beveiliger ­ESET, moet de basis van beveiliging in orde zijn. “Zorg voor een goede firewall plus een goede beheerder. Dan houd je een heel groot deel van het toevallig langs hackende verkeer wel buiten.” Want buiten houden is van groot belang voor beveiliging. “Die firewall is nodig omdat er te veel poorten open staan. Zijn ze eenmaal binnen dan wordt het moeilijk. Ze kunnen wel ­worden opgemerkt, maar uit overwegingen van performance, overhead en gemak worden verbindingen die van binnenuit worden opgestart meestal wel doorgelaten.”
Wat is dan een goede firewall? “Die kan zich op zijn minst zelf updaten met bijvoorbeeld nieuwe regels. En hij kan heel precies functionaliteit voor grote groepen gebruikers afschermen als dat nodig is. Een goede firewall zorgt er zo voor dat duidelijk is wie wat gebruikt en houdt ­daarvan logbestanden bij die je kunt raadplegen als dat nodig is.”
Cruciaal is volgens Zwienenberg de aanwezigheid van een goede beheerder. “Het liefst iemand die zich niet puur aan het schoolboekje houdt, want dat boekje kennen de hackers ook. Hij moet zich constant bijscholen en informeren op het gebied van beveiliging. Dat betekent ­eigenlijk dat hij de hele wereld af moet struinen zodat hij ziet of ­gevaren elders ook voor zijn netwerk gelden. Dat betekent dat hij ook naar conferenties moet, want die kennis is wel belangrijk. Daarbij moet goed duidelijk zijn welke apparaten binnen het bedrijf staan, zodat hij snel kan concluderen of een nieuwe gevaarlijke ontwikkeling ook zijn systemen kan raken.”

Onveilige apparaten weren

Relatief duur maar ook behoorlijk doeltreffend is hier bovenop een tool voor device control te plaatsen. Dat zorgt ervoor dat gebruikers niets kunnen doen op het netwerk wanneer ze daar voor niet zijn geautoriseerd. “Daarop kun je precies vastleggen welke apparaten het netwerk op mogen, tot aan het serienummer van zo’n apparaat toe. Vreemde apparaten komen er gewoon niet op. En die worden er wel vaak op aangesloten door medewerkers in het kader van BYOD. Dat houd je niet tegen, maar met device control houd je wel mogelijk onveilige apparaten weg.”
Zwaardere, gerichte aanvallen houd je hier echter vrijwel niet mee tegen. Dat vereist maatregelen die diep ingrijpen op de werkbaarheid binnen een organisatie. “Bij gerichte aanvallen wordt vaak gebruik gemaakt van contacten binnen de organisatie. En binnen is binnen. Wil je dat voorkomen dan moet je extreme firewall-regels toepassen en compleet gescheiden netwerken installeren. Dat is onwerkbaar voor een ­normaal bedrijf. Naarmate je meer doet, wordt de werkbaarheid steeds minder. Dat begint al met 2-factorauthenticatie”, vindt Zwienenberg.
Paul Heywood, directeur EMEA van beveiliger Dyn, ziet de invoering van 2-factorauthenticatie juist als een belangrijke stap in bescherming van het netwerk. “Je moet zorgen dat een hacker meer stappen moet zetten om binnen te komen en 2FA is dan een eerste laag waar hij doorheen moet. Vergelijk het met maar met een huis. Kijk waar de ramen zitten en maak het de inbreker moeilijk.”

Inventariseren moet

Volgens Heywood is het van nog groter belang om allereerst een inventarisatie te maken van alle (digitale) bezittingen. “Interne governance is een belangrijk onderdeel van beveiliging. Daarvoor moet duidelijk zijn welke bezittingen aanwezig zijn en wat daarvan van kritiek belang is voor de organisatie. Heb je dat eenmaal op een rijtje, kun je de verschillende profielen gaan bepalen en de beleidsregels erop afstemmen. Doe dat wel zo uniform ­mogelijk, want alleen zo blijf je goed georganiseerd. Daardoor houd je alles overzichtelijker en beter dicht. Vallen er gaten, dan biedt dat kansen aan hackers.”
Hans Hoogstraaten is docent-onderzoeker aan de Haagse Hogeschool voor Information Security Management en bij de Cyber Security Academy. Daarvoor werkte hij onder meer bij het Nederlands Forensisch Instituut, TNO en Fox-IT. Basismaatregelen zoals het inzetten van firewalls en virusscanners zijn volgens hem altijd goed, alle kleine beetjes helpen immers. Het houdt in elk geval de wat minder geavanceerde aanvallen tegen. Maar meer is beter. “Voor de beveiliging moet je keuzes maken op basis van wat je het dierbaarst is. Hoe dierbaarder, hoe meer maatregelen.” Kleinere bedrijven adviseert hij in zee te gaan met leveranciers van securitydiensten – managed service providers. “Er is veel kennis nodig om het netwerk goed te beveiligen. Voor kleinere bedrijven is daar moeilijk aan te komen. Experts zijn duur en schaars. Deze bedrijven kunnen ­beter kiezen voor het inhuren van die kennis via managed security providers.” Hij wijst erop dat dit in zijn algemeenheid voor IT-beveiliging geldt. “Tenzij je een heel groot bedrijf bent, laat je je beveiliging door derden doen.”

De meerwaarde van monitoring

Naast een firewall en een virusscanner is monitoring van groot belang, vindt Hoogstraaten. “De focus bij beveiliging verschuift van preventie naar detectie. Aanvallen zijn niet te voorkomen. Het is daarom beter deze snel op te merken en te reageren. Zet dáár je geld op. Een verhouding 50/50 tussen beveiliging en detectie is helemaal niet zo gek.”
Daarnaast is een ander soort maatregelen nodig. “Er wordt steeds meer gehackt met behulp van social engineering”, zegt Hoogstraaten. “Daartegen kun je dure maatregelen nemen die tot gevolg hebben dat de bewegingsvrijheid van de gebruiker wordt beperkt. Denk aan Blue Coat, waarbij het verkeer van medewerkers wordt gemonitord. Dat is beperkend voor de organisatie.”
Zaligmakend zijn monitoringtechnieken bovendien niet. “De kwaliteit van de monitoringtools zit hem in het aantal false positives [ten onrechte iets aanzien voor een aanval] en false negatives [de aanval niet detecteren]. De tools geven nogal wat false positives waardoor er weer mensen nodig zijn om uit te zoeken of de positive een echte positive is.” De relatie tussen deze twee cijfers is meestal die van communicerende vaten. “In het ideale geval zijn er geen false negatives, want dan hebben de tools geen aanvallen gemist. Dit zorgt vaak weer voor veel false positives, die dan weer met de hand geverifieerd moeten worden. Een goede monitoringdienst kost dus veel geld!”
Hoogstraaten wijst ook op het opensourceprogramma SNORT. Dat kan gebruikt worden als Intrusion Detection en Intrusion Prevention System. “Dat is goedkoop, maar het moet wel getuned worden op de eigen organisatie.” Het andere uiterste is dat je al die false positives onderzoekt. “Dat vereist een SOC met 24/7-diensten. Maar wat je ook kiest: het helpt altijd! Er zijn altijd aanvallen die heel makkelijk te detecteren zijn, dus die ondervang je in elk geval.”
Monitoringtools werken – net als virusscanners – veel met de herkenning van signatures: ‘handtekeningen’ van bekende malware of ­aanvallen. Dat volstaat met de almaar groeiende toename van aanvallen en de snelle productie van nieuwe malware niet meer. Liever ziet Hoogstraaten daarom tools die gebruik maken van anomaliedetectie. “Deze tools kijken naar de­ ­afwijkingen van het normale. Dat klinkt makkelijk, maar is echt lastig, want normaal verkeer is al zo divers. Er zijn veel SIEM-leveranciers die claimen dat hun systeem dit ook kan, maar dat betwijfel ik. De tools moeten eerst tunen wat normaal is. Dat is al een grote en moeilijke klus, zeker als de organisatie veel toestaat aan haar gebruikers.” Ook moet een organisatie volgens hem nadenken over hoeveel geld het in anomaliedetectie wil steken, want het is nog geen proven technology. “Mijn advies is: vraag om bewijs van de werking.” Toch geldt voor monitoringtools die met wat ­oudere technologieën werken dat ook zij helpen. Het is altijd beter dan niets.
Een organisatie kan ook verder gaan dan beveiliging op netwerkniveau. “Tools kunnen ook binnen een computer monitoren hoe bijvoorbeeld de processen of de library’s zich ­gedragen. Een voordeel is dat ze heel goed profielen kunnen maken van het normale gedrag binnen een computer of server. Dit moet dan wel goed worden verpakt, anders herkent slimme malware dit en schakelt het uit. Het is opnieuw een duurdere oplossing doordat je dit voor elk softwarepakket moet uitzoeken en bepalen – en opnieuw voor elke ­update.”

Blijven werken aan bewustwording

Afgezien van de technische beveiliging is bewustwording bij de gebruikers van zeer groot belang. “Intensieve phishingmethodes vormen een groot gevaar als gebruikers er niet op voorbereid zijn”, zegt Hoogstraaten. “Daartegen bestaan relatief goedkope maatregelen in de vorm van bijvoorbeeld cursussen, al kan die kennis weer snel wegzakken. Streef dus naar een cultuurverandering. Al doe je maar een beetje, dan helpt het toch iets. Hoe meer tijd en geld je erin steekt, hoe sterker je verdediging wordt.”

Wantrouw alles en iedereen

Forrester introduceerde in 2010 het zero trust-model voor beveiliging. Dat gaat er van uit dat zowel het externe als het interne netwerk gewantrouwd dient te worden. Vooral aan interne ­medewerkers werd en wordt te veel vertrouwen ­gegeven op het bedrijfsnetwerk.
Bij zero trust dient al het verkeer in real time gecontroleerd te worden. Zero trust gaat uit van een gesegmenteerd netwerk waarbij security in de architectuur is ingebouwd, dus niet achteraf eraan is toegevoegd. Daarbij mag niets of ­niemand zonder meer vertrouwd worden, ook niet de eigen medewerkers, want ook die kunnen, vaker onbewust dan bewust, een gevaar voor de beveiliging vormen. Dat betekent dat al het verkeer gelogd en ­geïnspecteerd moet worden. Toegangscontroles moeten streng worden opgelegd en gecontroleerd en het moet zeker zijn dat de toegang tot alle resources op een veilige manier wordt verschaft. Regels ­hiervoor moeten steeds bijgesteld worden op basis van de ­bevindingen van analyses van het beveiligingssysteem. En natuurlijk moet alle waardevolle informatie versleuteld zijn.

No comments:

Post a Comment