Column: Verkeerd om
Traditionele 'Enterprise Security' ofwel informatiebeveiliging voor grote organisaties concentreert zich op het buiten houden van dreigingen. In eerste instantie betrof het de verkeerstroom op zich. Een voorbeeld hiervan is alleen webverkeer en e-mail naar de betreffende servers in een DMZ toestaan. Tegenwoordig ligt de nadruk meer op de inhoud van de verkeerstromen. Een beetje organisatie gebruikt hiervoor ACL’s op routers en traditionele port-based of application level firewall, soms aangevuld door een intrusion detection of prevention systeem (IDS/IPS). Deze controle op binnenkomende verkeerstromen wordt ook wel 'ingress filtering' genoemd. Voor de vorm moeten we ook de virusscanner (centraal en op de desktop) en spamfilter niet vergeten. Deze moeten de schade beperken als er onverhoopt toch malware of tijdverslindende e-mail rommel binnengekomen is.
Maar.. Kwam het merendeel van de dreigingen niet van binnenuit? Is het ongewenst verliezen of lekken van (bedrijfsgevoelige) informatie niet aan de orde van de dag? Het lijkt er op dat veel organisaties hun beveiliging verkeerd om geregeld hebben.
De meeste organisaties hebben hun websites buiten de deur staan, of in ieder geval ver weg van hun kantooromgeving. Voor de kantooromgeving blijft dan vaak niet veel meer over dan een eenvoudige router die inkomend verkeer voor de mailserver door moet laten en netwerk adres translatie (NAT) toe moet passen voor de kantoor PC’s. Wanneer alleen inkomend verkeer van de eigen ISP (bijvoorbeeld via een batched SMTP constructie) naar de mailserver toegelaten wordt blijft er immers weinig dreiging van buitenaf over. Het spamfilter van de ISP wordt door professionals onderhouden, de virusscanner blokkeert malware en een intrusion detection systeem heeft hier ook niet heel veel te doen.
Veel belangrijker is het om het verkeer eens onder de loep te nemen dat (indirect) door de werknemers veroorzaakt wordt. We hebben het dan over ‘egress filtering’. Hier vinden we (in verhouding tot het binnenkomende verkeer) weinig virusdreigingen. Waarschijnlijk zal het aantal pogingen om cross-site scripting attacks op websites buiten de organisatie ook wel loslopen. De dreigingen waar organisaties hier te maken hebben zijn voornamelijk: het verspillen van de tijd van de baas (online poker als vervanger voor patience, Skype of MSN chat), reputatieschade (ongewenste uitingen op forums, herleidbaar bezoek aan onfrisse websites) en het al dan niet bewust ‘lekken’ van informatie (Information Leakage). Dat laatste kan een dreiging op zich zijn, veelal zal de geleden reputatieschade groter zijn.
Hoewel niet echt bovenaan de shoppinglist van IT managers, bestaan er wel genoeg oplossingen om dergelijke dreigingen tegen te gaan. Om te bepalen wie verantwoordelijk is voor bepaalde (ongeoorloofde) uitspattingen kunnen we een proxy server inzetten die gebruik maakt van authenticatie (buzzword: identity driven networking) en eventueel zelfs SSL verkeer openbreekt en bekijkt (buzzword: SSL inspection). Verder kan URL-filtering ingezet worden om ongewenste soorten websites (porno, hacking, games/warez etc.) te blokkeren (buzzword: content-control). Nieuwe ster aan het firmament is het (automatisch) rubriceren/classificeren van informatie en op basis daarvan doorlaten of blokkeren. Een soort spamfilter, maar dan andersom. Van binnen naar buiten en herkennen en blokkeren van waardevolle informatie, in plaats van nutteloze aanbiedingen voor nepartikelen (buzzword: information leakage). Met de komst van betaalbare all-in-one apparaten (ook bekend als UTM appliances) zijn argumenten als “te veel poespas” of “niemand heeft hier verstand van” niet echt sterk meer.
Het advies is dan ook om, voor men nieuwe investeringen pleegt, nog eens goed na te denken welke dreigingen voor de eigen organisatie gelden (het risico dat vrachtbrieven naar criminelen gemaild worden is bij een transportbedrijf groter dan een geslaagde hack-poging van buiten).
Ontwikkelingen als het Jericho Forum geven aan dat het tijd is om ons traditionele gedachtegoed nog eens te evalueren en na te denken wat echt belangrijk is. Pas dan kunnen we onze kostbare tijd en aandacht richten op die dingen die waardevol zijn voor een organisatie en welke dreigingen aandacht verdienen.
Maarten Oosterink is als consultant werkzaam bij Capgemini. Binnen de practice Infrastructure & Architecture Services richt hij zich vooral op Identity Management en Security.
Ik heb ook niets aan een stuurslot voor een auto als ik
enkel maar een fiets gebruik.
M.a.w. risico analyse is niet alleen de gevaren van buitenaf
inventariseren, maar het hele plaatje in kaart brengen. Heel
hypotheses stellen ("wat nou als dan en dan enz.") en dan
uitsluiten hoe groot die kans werkelijk is.
Men is bijvoorbeeld heel vaak tegen brand verzekerd.
Merendeels zal / heeft nooit met brand te maken hebben
(gehad). Maar je er niet tegen verzekeren is geen optie. Al
ga je er niet vanuit dat iemand express brand sticht door
bijvoorbeeld een brandbom te gebruiken. Het gevaar komt ook
van binnen uit en kan zelfs zonder mensenhanden ontstaan.
- Unomi -
speelt al zolang mensen in groepen optreden waarbij er onderling
geconcureerd wordt. (Omkoping is van alle tijden).
Dat er mensen zijn die hun eigen belang boven een groepsbelang stellen?
Ook dat speelt al iets langer.
Dat de perimter beveiliging naar buiten kijkt en niet naar binnen? Daar is
deze specifiek voor bedoeld, ook dat kan het niet zijn.
Dat de interne dreiging groter is als de externe dreiging? Als dat zo zou zijn
is het bijna onmogelijk om grote groepen mensen te laten samenwerken.
Toch lijkt dat de strekking van het verhaal te zijn. Maar waar is dit op
gebaseerd? Waarschijnlijk op een publicatie van de FBI waarin staat dat
80% van de gemelde incidenten betrekking heeft op interne incidenten.
Wat daarbij niet vermeld wordt dat het gaat om een groep van ongeveer 40
bedrijven, uit een steekproef van 2500 bedrijven. Het gaat hierbij ook nog
eens om een aangifte. Bij een externe dreiging is het moeilijk om aangifte
te doen, tegen wie moet de aangifte ingediend te worden. Daarnaast is het
lastig om de schade te bepalen, ook speelt het effect van imago schade
mee als het incident bekend wordt. Bijvoorbeeld een internet bank kan het
zich gewoon niet veroorloven om een incident bekend te laten worden.
Bij interne incidenten is dit veel gemakkelijker, de dader is met naam en
toenaam bekend.
Dus of de interne dreiging nu groter is als de externe dreiging is nog maar
de vraag.
Het enige wat overblijft is dat er gebruik wordt gemaakt van de middelen
die er zijn om informatie en gegenvens uit te wisselen. Hierbij wordt dan
het bedrijfsbelang geschaad.
UTM apparaten lossen dit niet op, leuk dat alles in éé n doos zit. Het moet
nog steeds geconfigureerd worden. Natuurlijk kan je het standaard profiel
nemen en hopen dat de bedijfsprocessen daar in passen. Dit levert meer
een schijnveiligheid op.
gaat voor het overgrote deel om bewust pogen om schade toe
te brengen, bijvoorbeeld disgruntled employees. Je kan mij
serieus niet wijs maken dat technische oplossingen dat gaan
voorkomen. Om "egress flitering" als maatregel te
presenteren om dit op te lossen lijkt me dan ook niet
handig. Iedereen begrijpt dat het uitprinten van stukken de
herleidbaarheid wegneemt en eventuele filters omzeilt. En
DAAR zitten hem de echte risico's. Een klantenbestandje mail
je niet even naar je hotmail, zullen we maar zeggen (ja, ik
weet ook wel dat het toch gebeurt, maar het blijft in ieder
geval heel erg dom).
Oorzaken voor dit probleem zitten hem op een veel hoger
niveau. Zoals het altijd direct intrekken van privileges van
gebruikers die uit dienst gaan, het loggen van toegang tot
gevoelige informatie, het monitoren van internetgebruik, etc.
Egress filtering is bijvoorbeeld leuk als je niet wilt dat
je geinfecteerde webserver een worm probeert te verspreiden
naar geenstijl.nl ofzo. Dan heb je inderdaad een potentieel
probleem. Maar probeer alsjeblieft geen verband te leggen
tussen egress filtering en de filosofie dat de grootste
dreiging van binnenuit komt. Die gaat wat mij betreft maar
voor hooguit 5% op.
Bovendien kan big-brotheren averrechts werken. Als de baas de werknemers niet vertrouwt zullen op hun beurt de werknemers de baas ook niet vertrouwen. Minder loyale werknemers zullen hun ongenoegen daarover op straat gooien.
Veel werknemers zijn ondertussen kenniswerkers. Het oude baas - werkslaaf model (met wergkevers- en vakbonden er tussendoor) werkt niet meer. Je moet een vertrouwensband opbouwen met en tussen je personeel, ze goed coachen en zorgen dat je overal sensoren hebt die problemen tijdig signaleren.
Maarten kan slechts een paar van die sensoren leveren, en dat zijn niet de sensoren waar je mee moet beginnen. En als je de rest voor elkaar hebt is het de vraag of Maarten's sensoren uiteindelijk niet meer kwaad doen dan goed.
Ik heb ook niets aan een stuurslot voor een auto als ik
enkel maar een fiets gebruik.
- Unomi -
Sterker nog: je hebt helemaal niets aan een stuurslot van
een auto. Ik heb eens een autodief aan het werk gezien die
zo'n slot in een paar seconden had gerkaakt (de methode zal
ik om veiligheidsredenen hier niet noemen). 60 Seconden later
was de auto gestart en meegenomen...
Zie ook de website [url=http://www.xs4all.nl/~pgv123/IP.html#Anti_inbraaktips_voor_autos]Inbraakpreventie[/url]
nemen dat (indirect) door de werknemers veroorzaakt wordt
Mensen weten dit toch wel te omzeilen. En ergens is het ook belachelijk
dat op deze manier inpreuk op privacy word gepleegd. Als werknemer
heb je ook nog een stuk privacy.
Post word ook niet gecontroleerd op porno blaadjes en andere bezorgde
dingen. Terwijl dit ook een grijs vlak is. Gaat een bedrijf dan alle
post openen waarbij zelfs vertrouwelijke informatie kan zitten?
Dat kan ook weer een aanleiding zijn waarbij vertrouwelijke informatie uit
kan lekken. En schadelijk kan zijn voor het bedrijf.
Ik begrijp ook niet dat computer gebruik mee genomen kan worden in een
contract. Bv bij surfen na hack sites is een ontslag procedure mogelijk.
Zo weet de werknemer direct waar die aan toe is. En hoefd die werknemer
niet de hele dag in de gaten gehouden worden omdat die weet dat die z'n
baan kan verliezen.
Aan de andere kant krijg je hier dan een conflict want in hoever is dit
betrouwbaar. Zodat niet iemand erin geluisd zou kunnen worden
om zo hoger op te kunnen komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
