image

Column: Uit de loopgraven

vrijdag 22 september 2006, 10:25 door Redactie, 4 reacties

Mijn vorige column ging over onjuiste uitgangspunten van de gangbare methodieken rond informatiebeveiliging. Naast de asset based benadering bestaat een aanpak vanuit, zeg maar, de business architectuur filosofie: je gaat uit van de doelstellingen van de organisatie, vertaalt dit naar het belang van veiligheid en dan heb je wel management support. Maar: wat is dan precies de relatie tussen een meetbare behoefte aan veiligheid en een specifieke maatregel, zoals de bestelling van een paar IDS-en? Juist. Da’s lastig. In de regel geeft deze benadering dan ook geen betere resultaten, behalve misschien in een paar uitzonderlijke gevallen waarbij de organisatie een vertrouwens- dan wel een veiligheidstaak heeft en een ongelimiteerd budget. Bovendien: dit is een mes dat snel bot wordt. De verwijzing naar de bedrijfsdoelen wordt al snel een mantra. Een beetje bestuurder krijgt jaarlijks tal van voorstellen ter goedkeuring onder ogen. De kans is reëel dat hij dat stuk over de beleidsdoelstellingen gapend overslaat.

Maar vergis je niet. De afwezige ondersteuning voor het beleidsdocument bij de top is iets volledig anders is dan weinig aandacht voor beveiliging. Het probleem is dat beleidsstukken gortdroog zijn. Met formaliteiten win je geen oorlog. Dat je wél budget krijgt, is dus ook geen zeker teken van management support. Iedereen met kinderen weet dat het toestoppen van een koekje of een paar euri's iets heel anders is dan het ergens mee eens zijn: je geeft toe om van het gezeur af te zijn. Gegeven dat iets doen aan beveiliging verplicht is, zal ook een matig voorstel ondersteuning kunnen krijgen. Immers, als je er niets van snapt, dan zullen de specialisten wel gelijk hebben. Als het niet té duur is, dan. Een afwijzing kan heel goed betekenen dat het voorstel aandachtig gelezen is. Maar daar willen de beveiligers dan weer niet aan. Managers zijn immers categorisch dom. “Als ze het niet eens zijn met onze aanpak, dan zien ze het belang van beveiliging niet in.” Terwijl het ook zou kunnen dat de aanpak gewoon niet goed genoeg is. Zou toch kunnen?

Het gebruik van een bedreigingencatalogus zoals CRAMM en BSI werkt in de praktijk ook niet echt goed. Zeker als de catalogus heel generiek is, en het te beveiligen object dat niet is. Een wijs man zei ooit: "A Fool With A Tool, Is Still A Fool". Als je vervolgens een kruiskopschroevendraaier als bandenwipper moet gebruiken .....

De catalogi beogen een zeer breed scala aan omgevingen te kunnen bedienen. Er staan dan ook tal van niet relevante zaken in. Vervelend is dat gebruikers van een methodiek vaak de neiging niet kunnen onderdrukken deze heilig te verklaren. Bedreigingen aan de catalogus toevoegen als geïnterviewde is in hun ogen een gotspe: alsof je je als simpele beheerder op hetzelfde niveau durft te plaatsen als de auteurs van De Schrift. Dat laat je dus de volgende keer maar. Met als gevolg dat je als systeembeheerder vragen moet beantwoorden over de waterbeheersing in de eigen regio en de kwaliteit van het justitiële
optreden tegen digitale criminaliteit. Meld je dat dat allemaal goed geregeld is, dan hoef je niets te doen. Dat de uitkomst een verzameling goedbedoelde onzin is, zal niet verrassen.

Ik zie nog een andere, essentiële, tactische zwakte in de gangbare benadering. Wat doen we in de praktijk: rond de te beschermen assets richten we een cordon op van gelaagde beveiligingsmaatregelen. Landmijntje hier, rolletje prikkeldraad daar, wachtposten her en der en een loopgraaf als de grond niet te hard is. Het resultaat is een statische beveiliging, die er vanuit gaat dat je alle aanvalsroutes kunt overzien. En dat de aanvaller via bekende paden komt.

Gegeven echter dat het initiatief bij de aanvaller ligt, voeren we eigenlijk een bewegingsoorlog, ofwel een blitzkrieg. De bewegingssnelheid van een aanvaller is extreem groot. De statische benadering is ongeveer even kansrijk als de Maginotlinie in 1940: binnen enkele seconden heb je de zwakke plek te pakken. In de jongste vakliteratuur zie daarom je een voorzichtige verschuiving optreden van een statische naar een dynamische aanpak van beveiliging. De nadruk ligt op het vermogen om op te treden. Hierbij hoort een grote mate van Intelligence: je moet weten hoe je omgeving in elkaar zit, welke mogelijkheden je hebt om te 'manoeuvreren' én je moet aanvallen vroegtijdig kunnen signaleren. Alles draait om het oplossend vermogen van de (beveiligings) organisatie. Deze benadering vereist een radicaal andere aanpak.

Inherent aan deze aanpak is het concept van de 'denkende soldaat', wat we in de burgermaatschappij wel kennen als empowerment: de ruimte om te handelen naar eigen inzicht. Wat NIET hetzelfde is als: we zijn in paniek en zoek het maar uit.

De huidige trend dicteert echter dat alle acties vaststaan in protocollen en procedures, waarbij beheerders als gedresseerde aapjes doen wat in het lijstje staat. Los van het gegeven dat de lijstjes in kwestie vaak weinig met het desbetreffende systeem van doen hebben en dus nogal eens genegeerd worden (we nemen immers hooggeschoolde mensen aan - HBO-ers - die we de bewegingruimte van een wasknijper geven), eist de dynamische aanpak een grote cultuuromslag. Het geïnstitutionaliseerde wantrouwen zal plaats moeten maken voor handelingsvrijheid, vertrouwen en mandaat voor de eigen mensen. Zoals alle veranderingen zal ook dit top-down moeten worden aangepakt. Vis rot immers aan de kop.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Reacties (4)
22-09-2006, 11:28 door Constant
Het gebruik van een bedreigingencatalogus zoals CRAMM en BSI
werkt in de praktijk ook niet echt goed. Zeker als de catalogus heel
generiek is, en het te beveiligen object dat niet is. Een wijs man zei
ooit: "A Fool With A Tool, Is Still A Fool". Als je vervolgens een
kruiskopschroevendraaier als bandenwipper moet gebruiken .....
Jammer dat je het zo stelt. Ik zou beginnen dat CRAMM een zeer gedegen
METHODE (dus geen TOOL) is om een beveiligingsPLAN op te stellen.
Met het TOOL kun je (mits de METHODE goed wordt toegepast) komen
tot een zeer breed en gedetailleerd beveiligingsPLAN. Dat het TOOL vaak
wordt gebruikt door allerlei onkundige consultants (ik spreek uit eigen
ervaring over dure consultants van een concurrent, die niet wisten wat TCP/IP betekende) zonder de methode te kennen, ja daarin geef ik je gelijk met je vergelijking over de kruiskopschroevendraaier. Ik vind het alleen ontzettend jammer dat je een goede methode met een degelijk tool
afbrandt op het geklungel van de gemiddelde gebruiker. Ik geef hierbij ook
de verkoper (Insight Consulting destijds) de schuld, die was verbaasd bij
de training dat mijn werkgever ervaren IT auditors stuurde. Insight
Consulting verkocht het TOOL (en helaas weinig focus op de METHODE)
als kennisvervanger in plaats van werkmethode/tool voor de ervaren
security consultant. In goede handen zorgt CRAMM namelijk voor een
efficient en degelijk informatiebeveiligingsplan. In verkeerde handen geldt
de aloude dooddoener: garbage in, garbage out. Er was bijv. een dure
conculega van een bekende automatiseerder die een desktop invoerde
als mainframe icm overdreven beveiligingsbehoeften, en vervolgens
CRAMM de schuld gaf van het max security plan dat ontstond. Terwijl als
je de invoer goed doet, dan ben je positief verbaasd over de kwaliteit van
het document en hoef je alleen een paar details aan te passen (zoals
gelijkwaardige reeds genomen maatregelen) om het plan realistisch te
houden.

Bedreigingen aan de catalogus toevoegen als geïnterviewde is in
hun ogen een gotspe
in mijn 9 maanden als CRAMM gebruiker
kan ik gelijksoortige discussies herinneren. In alle gevallen die ik ken,
had de consultant de CRAMM METHODE niet goed begrepen en leidde
dat tot onnodig gesteggel over de juiste invoer in de TOOL.

(sorry voor het all caps gebruik, maar veel kritiek op de CRAMM methode
is gebaseerd op het niet kunnen onderscheiden tussen Tool en
Methode).

Met als gevolg dat je als systeembeheerder vragen moet
beantwoorden over de waterbeheersing in de eigen regio en de kwaliteit
van het justitiële optreden tegen digitale criminaliteit.
Enige communicatieve vaardigheden mag van een consultant verwacht worden, droog oplezen wat in CRAMM staat (klopt, inderdaad vreselijke vragen) leidt tot mega verveling plus irritatie bij de geinterviewden.

Gevalletje water schade is trouwens één van de meest voorkomende
redenen voor systeem uitval, komt zelfs vaker voor dan brand. Je wilt niet
weten hoeveel data centers in kelders staan die onder NAP liggen.
22-09-2006, 12:28 door fubar
Beste Peter,

Ik heb met veel belangstelling je artikel gelezen. Je geeft
haarfijn de zwakheden aan van lijstjes als ISO 17799, etc.
In de praktijk heb je uiteraard een Informatie Beveiligings
Systeem / Methodiek nodig zoals ISO 27001 weergeeft. Deze
hebben uiteraard beperkingen. Deze beperkingen moeten
ondervangen worden door gebruik te maken van de kennis van
ervaren speciaisten. Deze specialisten moeten in voorkomende
gevallen op semantisch niveau beslissingen nemen. Met name
over situaties die niet te ondervangen zijn in procedures.
Daarom is de factor mens zo belangrijk. Het vertalen van
dergelijke inzichten in procedures om de kwaliteit van een
bewakingssysteem/methodiek te verbeteren is een doorlopend
verhaal.

Een goede beveiligingsspecialist is zich bewust van de
beperkingen van een methodiek. Echte kwaliteit ontstaat pas
doordat men op basis van jarenlange ervaring diepgaand
inzicht heeft opgebouwd. Om vervolgens met inzicht te kunnen
beslissen wat echt belangrijk is in al die aandachtsgebieden
die een rol spelen bij beveiliging.

Als laatste nog een opmerking over het aspect communicatie
met hoger management. Bij veel bedrijven ziet men
beveiliging als een technisch op te lossen probleem. Dit is
uiteraard ten aanzien van een hoop bedreigingen uiteraard
waar. Het zijn echter juist de subtielere soorten aanvallen
zoals social engineering, competitive intelligence
technieken en infiltratie door / omkoping van personen die
het probleem vormen. Hierbij is vaak analyse op semantisch
niveau van data van belang. Dit vereist kennis van
bedrijfsprocessen en functies.

Los van alle IT security maatregelen is het goed om te
realiseren dat een afluisterzendertje van 250 euro op de
verkoopafdeling alle security maatregelen omzeilt. Wie
controleert daar op?

Ciao,
Carlo Seddaiu

Security Architect
PragmaSec BV
23-09-2006, 08:21 door Anoniem
Iedereen met kinderen weet dat het toestoppen van een koekje of
een paar euri's iets heel anders is dan het ergens mee eens zijn: je geeft
toe om van het gezeur af te zijn.

Een bestuurder geeft niet om die reden toe, dat doet hij pur sang uit
lijfsbehoud en zodoende zichzelf in te dekken. Met dat in zijn achterhoofd
zal hij voorstellen lezen mbt security.

Immers, als je er niets van snapt, dan zullen de specialisten wel
gelijk hebben.

Dus hoe beter (leesbaarder) het voorgeschotelde document, hoe
bewuster de afweging.
Indien je geen of te weinig budget krijgt, ligt dat aan de indiener en niet aan
de bestuurder.

Deze indiener vormt een veel groter risico voor je organisatie dan dat hij
ooit zal kunnen ondervangen.

Als het niet té duur is, dan.

Dit is een non-argument, indien je een juiste kosten/baten analyse hebt
gemaakt is het niet te duur, wederom heb je verkeerde persoon voor die
functie.

Los hiervan moet je voor ogen hebben wat je doel is, wil je wat budget om
een technisch maatregel te nemen, of wil je dat de organisatie van top tot
bodem doordrongen is van de urgentie ?

Managers zijn immers categorisch dom. “Als ze het niet eens zijn
met onze aanpak, dan zien ze het belang van beveiliging niet in.”

In de meeste organisaties staan de neuzen dezelfde kant op, beveiligers
hebben de ziekelijke drang om hun gelijk (paranoide ziekte beeld) door te
drukken zonder zich te realiseren waar hun salaris vandaan komt.

Managers zijn veel pragmatischer, die redeneren vanuit de core business
en indien iets daar niets aan bij draagt, dan moet daar een urgente reden
zijn om daarin te investeren.

Los hiervan, zal een manager redeneren dat security (ongeacht welke
vorm) een onderdeel dient te vormen van elke proces binnen de
organisatie, immers continuiteit is van levensbelang en goed doordachte
beveiligingsmechanisme dragen bij aan continuiteit, efficientie en
accountability.

Bij veel organisaties zijn de managers die hun techneuten uithoren alleen
maar bezig met zoveel mogelijk budget en verantwoordelijkheden naar
zichzelf te trekken.
Terwijl een bewustzijn en daarbij medewerking vele malen wenselijker is.

Overigens als men inzichtelijk maakt wat elk proces binnen een
organisatie kost en vervolgens zich afvraagt waaruit die kosten bestaat en
deze op e.a. manier geautomatiseerd real-time kan genereren, kan je vrij
effectief elke aanvalsvector meteen detecteren.
Het enige nadeel is wel dat je de privacy van mensen moet gaan inperken,
immers je kunt moeilijk naar Anita stappen en vragen waarom ze 5
minuten langer als gemiddeld heeft zitten bellen. Of dat Kees niet de
gemiddelde aanslagen per dag of uur heeft gehaald etc..

Maar toch is dit zeker een aspect die voor een manager belangrijk is,
immers indien iets niets toevoegd aan de corebusiness zijn het kosten

Wat je trouwens ook niet meer ziet dat men in detail weet wat de netwerk
traffic kost. Tegenwoordig weet men de kosten wel van het
overkoepelende infrastructuur (bekabeling, switches, servers etc..)
Maar het wat een werkplek aan traffic kost weet men niet.
Wel vreemd terwijl in de eerste Novell versies je dit vrijeenvoudig kon laten
meten.
Wat ook vreemd is indien een externe partij voor een project een afdeling
huurt, dan is in detail bekend hoeveel dat project gefactuurd moet krijgen
voor de faciliteiten (aantal copietjes, belminuten, computer minuten etc..).

Niemand zit op burocratie te wachten, maar van de meeste processen is
het mogelijk volledig automatich de daadwerkelijke kosten in kaart te
brengen.

Overigens blijven er altijd black-spots over, zo moet je maar vertrouwen dat
je inkoper wel altijd voor de beste kwaliteit/prestatie verhouding gaat en
niet in prive giften/geld accepteerd. Dit kun je deels afvangen door je
project teams te verplichten de budgetten voor externe aanschaffen in
detail te specificeren en zelfstandig prijzen te laten opvragen, zodat je
enigszins een referentiepunt hebt.

ps: ISO 27001 bestaat nog niet en is een afgeleide van BS7799 deel 2.
(zie http://www.nen.nl )
http://nl.wikipedia.org/wiki/ISO_27001
23-09-2006, 11:36 door Anoniem
Echte kwaliteit ontstaat pas
doordat men op basis van jarenlange ervaring diepgaand
inzicht heeft opgebouwd.

Hier ben ik het niet met je eens dit heeft te maken met aangeboren inzicht
wat je hebt of niet.Dit is waarom beveiligen tegen social engineering ook
zo moeilijk maakt.Omdat een beveiliging specialist alleen maar
speculeerd op basis van "ervaring" terwijl iedere situatie anders is.Ik denk
dat je pas over inzicht kan spreken als je vanuit totaal nieuw aspect na
beveiliging kan kijken en zelf protocolen kan gaan testen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.