Column: Over Security Architectuur
Iedere zichzelf respecterende organisatie beschikt er al over of is op zijn minst bezig met het opstellen ervan: een IT-architectuur. Dit begrip, overgewaaid uit de Verenigde Staten, staat voor een set van documenten die de informatievoorzieningen van een grotere club beschrijven. De oorspronkelijke opzet, zoals vastgelegd door onder meer IEEE, stelt dat een architectuur beschrijvende documenten omvat op verschillende abstractieniveaus. Zo zijn er netwerkarchitecturen, die op laag 2 tot 4 uitleggen hoe de verkeersstromen komen waar ze horen, en niet komen waar ze niet horen. Onmisbaar voor het oplossen van storingen en voor het aanbrengen van wijzigingen. Vergelijkbaar heb je informatiearchitecturen, die uitleggen hoe applicaties de bedrijfsvoering ondersteunen. Er was niets logischer dan dat er ook een beveiligingsarchitectuur zou ontstaan, die beschrijft hoe een set van beveiligingstechnologieën en processen gezamenlijk zorgt voor een veilige werkomgeving.
Maar helaas, zo is het niet gegaan. Architectuur veranderde van beschrijvend in vóórschrijvend. In het begin was dit niet zo vreemd, immers: je wilde niet alleen een handzame beschrijving van wat er is (de "IST"), maar ook van wat er moet komen (de "SOLL"). Een vóórontwerp zeg maar, een blauwdruk voor de toekomst. Deze verandering kun je terugvoeren op Gartner, die stelt dat een architectuur prescriptief moet zijn, oftewel kaderstellend. Zo ziet een architectuur naar Gartner eruit als een reeks referentiemodellen, en omvat het tal van afspraken over hoe de techniek er uit moet gaan zien, over zeg vijf jaar.
En daar ging het heel erg mis. Deze tweede generatie architecturen is afhankelijk van wat de professionele toekomstvoorspellers aan oplossingen voorzien. Normale leveranciers weten niet wat ze over pak ’m beet zeven jaar verwachten te leveren. Maar Gartner cum suis weet dit natuurlijk wel. Waarmee een hele nieuwe klantenkring gecreëerd werd.
Het voorschrijven van hoe iets moet worden, raakt de essentie van de macht. Zeker als je het hebt over beveiliging. En zo schoven architecten op naar de contreien van de beleidsmakers. Een beveiligingsarchitectuur werd een soort zusterdocument voor het beveiligingsbeleid, waarin staat hoe beveiligingsdoelstellingen gerealiseerd moeten worden. Maar dan wel op de abstracte manier van de stip op de horizon. Met deze ontwikkelingen belandde architectuur in de buurt van de burelen van het beleid en in handen van mensen die wat verder afstaan van de operationele werkelijkheid. En dat verhoudt zich heel slecht met het ontwerpen van een doelmatige beveiliging.
Het is hiermee dus niet gezegd dat Security architectuur niet kan, of niet nodig is. Wat wel gezegd moet worden is dat er een hele berg kolder verkocht wordt. Architectuur verzorgt de juiste balans (de alignment) van noodzaak en middelen, dus een Security architectuur zorgt voor alignment (en daarmee de rightsizing) van Security middelen. Zodra het over verder in de toekomst gaat, ontbreken de parameters om de juiste maatvoering te bepalen, zoals de effectiviteit van de middelen en de realiteit van de bedreigingen. Vijf jaar geleden vonden we bijvoorbeeld spam en spyware onbelangrijke zaken. Zo hebben we nu hooguit een heel vaag idee van waartegen we in 2012 moeten optreden. Om dat nu te lijf te gaan met plannen die gaan over stippen op horizonnen?
Je herkent ontspoorde beveiligingsarchitecturen in de regel snel. Het eerste weggevertje is door het spelen van Bullshit Bingo met de architectuur als geheel: veel platitudes en een ver doorgetrokken beeldspraak. Bestemmingsplan. Modellentypologie. Richtinggevend en kaderstellend. Referentiekader voor projecten & auditoren. Landkaarten en positionering.
Een tweede weggever is het gebruik van oudere mantra’s uit beveiligingsland. De meest kenmerkende is Deming, modieus in de jaren negentig. Bedenk je dat veel architecten al een tijdje mee hobbelen en doorkneed zijn in oudere concepten – en wat verder afstaan van de alledaagse werkelijkheid. Als ze er al ooit mee te maken hebben gehad. Wat was dat ook al weer, Deming? In het kort: Plan, Do, Check, Act. Klinkt heel goed, van een tijdloze schoonheid. Je begint met Plan, waarin je bedenkt wat je allemaal moet gaan doen. Grappig, maar bij beveiliging begin je eigenlijk liever met kijken wat er aan de hand is.
Deming is geleend uit kwaliteitsbeheer en in het verleden kritiekloos overgenomen, toen informatiebeveiliging nog in de kinderschoenen stond. En zo vind je in nieuwste beveiligingsarchitecturen stapels oude koek: zaken uit het INK-model, inzichten uit Six Sigma, zelfsturende teams, balanced scorecards en andere begrippen die na het eerste deel van Dilbert afgevoerd leken. Maar goed, die voer je dus allemaal in, met een procesgeoriënteerde watervalmethode, en dan komt het helemaal goed.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
mantra's niet werken (inclusief de hele dagdagelijkse
managementtechnieken zoals balanced scorecards) en doen uitschijnen
dat iedereen dom is om die allemaal toe te passen, maar dat is een beetje
naief. Helaas kom je niet verder dan makkelijk kritiek spuien en laat je je
niet verleiden tot het aanreiken van zelfs maar een begin van hoe het er wel
zou moeten uitzien.
Als ik je betoog lees, denk ik dat je vooral uit de technische
beveiligingswereld komt en vooral firewalls en technische middelen wil
implementeren, maar daar kan ik me in vergissen. Iedereen weet dat
beveiliging verder gaat dan computers alleen. Dat moet je ook verkocht
krijgen aan het management en dus moet je hun eigen taal hanteren. Het
gaat om het beheren van risico's; dat doen het management de hele tijd,
bewust of onbewust.
Ik ben ervan overtuigd dat je wel degelijk een strategie en een beleid moet
hebben, en dat je daarbij vooruit moet kijken. Maar uiteindelijk moet het
uiteraard in de praktijk worden omgezet worden. En als het van mij afhangt:
dan graag zo sterk mogelijke technische, preventieve middelen inzetten,
want mensen kun je over het algemeen toch niet vertrouwen. Volgens mij
gaat je punt vooral daarover: te veel blabla en te weinig actie. Maar dat
betekent niet dat de blabla niet nodig is.
En dan nog even los gezien van het feit dat het bij de
meeste "architecten" in de IT in het geheel niet duidelijk
is op basis van welke competentie ze zichzelf architect
noemen. Als je bouwkunde hebt gestudeerd moet je eerst heel
lang hulpje zijn en pas na jaren (en jaren) ervaring mag je
dan zoiets als een openbaar toilet ontwerpen. In de IT kan
iedere prutser die zelf nog nooit een regel code of een
IP-pakket van dichtbij heeft gezien zichzelf al architect
noemen. Het resultaat: dramatisch slecht functionerende
infrastructuren bestaande uit bij elkaar geraapte rommel
(lees: COTS-"oplossingen"). 1-2-weg ermee!
Toch vindt niemand het vreemd dat in de IT zo weinig mensen met een IT
opleiding werken. Dan heb ik het niet over een gekocht certificaatje of een
MBA maar een echte opleiding. De IT toilet ontwerper heeft meestal niet
eens een bijpassende opleiding.
Daar gaat dit artikel ook geheel aan voorbij, kwakzalverij is niet
voorbehouden aan architectuur van beveiliging. Het verschijnsel dat hier
aan de orde is zie je overal binnen de IT.
de burelen van het beleid en in handen van mensen die wat verder
afstaan van de operationele werkelijkheid. En dat verhoudt zich heel
slecht met het ontwerpen van een doelmatige beveiliging.
maar trekt de verkeerde conclusies. IT Security en IT Architectuur
wordt vaak uit handen gegeven aan weggepromoveerde IT'ers (die in
hun vorige functie niet functioneerden, dus veel succes in je nieuwe
functie), terwijl het gewoon een professioneel vakgebied is voor
mensen die zowel jarenlange vaardigheden en kennis op IT security
en infrastructuur moeten hebben om hun werk goed te doen. Wellicht
heeft Peter het nog niet meegemaakt, maar er zijn wel degelijk een
hoop organisaties die wel professionele security managers en IT
architecten hebben, die met methode Gartner veel weten te bereiken.
1. Dat een goede methode verkeerd wordt gehanteerd door een
stelletje prutsers, doet niets af aan de kwaliteit van de methode.
Prutsers heb je overal, met Peters redenatie kan je dus elke methode
of best practice afschieten (vandaar dat hij zoveel columns kan
volschrijven, elke keer weer dit truukje toepassen om een goede methode af te kraken).
2. Ik lees weer geen oplossingsrichting in de negatieve column van
Peter. Jammer, klagen volgens bovenstaande methode is makkelijk,
oplossingen geven iets moeilijker.
En dat voor een senior consultant, vind je het gek dat iedereen denkt
dat consultants alleen maar problemen zien ipv oplossingen :-).
Nog belangrijker dan een IT architectuur is een IT beleid. Dat mis ik bij de meeste klanten waar ik kom. Het enige beleid dat er is, is zo snel mogelijk zaken uitbesteden naar goedkope lonen landen en dan zeggen: jongens we hebben het goed gedaan.
Dat er onder water wat afgeprutst wordt en uitermate slechte code wordt geschreven is niet belangrijk.
rant die je verwacht van een studentje. oud=slecht en
achterhaald, nieuw=goed, over de toekomst valt niets te
voorspellen, security stond 10 jaar geleden in z'n
kinderschoenen en nu niet meer ofzo?
Als je het dan over bullshitbingo hebt ;-)
Security is precies zo als de hele IT onderhevig aan
golfbewegingen waarin oude ideeen onder een nieuwe naam na
een aantal jaar gewoon weer terug komen. Hoe langer je in de
security meeloopt, hoe meer je merkt dat er feitelijk zowel
in dreigingen als in oplossingen 'niets nieuws' is gebeurt
sinds PKI
z'n intrede deed, alleen de schaal is hier wat vergroot en
daar wat
verkleind. Gewoon allemaal oude wijn in nieuwe kruiken.
En ondertussen lopen er legers security consultants rond en
zijn er hele security bedrijven die zonder hystorisch besef
slechte nieuwe versies van decenia oude wielen nog een keer
lopen uit te vinden, en de bijbehorende decenia geleden
opgeloste problemen nogmaals introduceren.
afspraken en frameworks vooral schrappen. Die vervelende
algemeenheden hebben we toch niets aan. Wel een beetje
jammer dat iedereen in het betreffende bedrijf dan zijn
eigen gangetje gaat, en prutsers inderdaad prutsen wat ze
willen. En managers totaal geen vat hebben op werkzaamheden
van ondergeschikten, en directie geen informatie ontvangt
over zaken die er toe doen (denk aan securityrapportages)
omdat men nergens heeft bepaald wat er toe doet.
Ook het buiten beschouwing laten van de grootte van
bedrijven in dit kader vind ik niet sterk. Hoe kleiner het
bedrijf, hoe korter de lijn tussen strategie en operationeel
en hoe minder behoefte aan formele kaders om de boel te
structureren. Maar zeker bij grote bedrijven ontkom je er
niet aan. En dat is echt niet alleen om de auditor tevreden
te houden!
En voor wat betreft het "glazen bol" principe: Volsta dan met het statement dat security een continu proces is waarin je ontwikkelingen in de maatschappij in de gaten houdt. Daar kunnen gerust meerjaren ideeen uit voortkomen die je jaarlijks bijstelt. Alleen maar kijken naar de dag van vandaag lijkt me absoluut niet verstandig voor bedrijven als bank/verzekeraars.
weet hoe het zit en is niet bang de management bullshit bingo overboord
te gooien ten bate van ECHTE oplossingen (die niet aangedragen worden
omdat dat gewoon minder kostenefficiënt is). Virusscanners die nog op
pattern matching werken ipv behavior based checks of emulation, IDS
systems die niet verder komen dan wat regex en ondertussen met wat
flashy it termen proberen de boel te verdoezelen t.o.v het managment,
omdat die toch nergens een knar van snappen. Maar iedereen hier is
natuurlijk te achterlijk om te beseffen dat hun baan niet meer inhoud dan
wat regeletjes zonder effect opstellen.
- Nomenumbra -
Wat staat er nu eigenlijk in het artikel? Er is een methode om IT
architectuur vast te leggen en die wordt gebruikt op een manier die niet
boeld is.
Dat klinkt bekend, dat er ook meerdere methodes bij elkaar gevoegd
worden die niet bij elkaar passen is ook niet vreemd.
Wat overblijft is het machtsvraaagstuk waar naar gerefereerd wordt.
Dat klnkt als de IT´die voorschrijft hoe een bedrijf zijn functies uit moet
voeren.
Grappig, nu heb ik altijd gedacht dat IT gebruikt wordt als ondersteunend
middel om de bedrijfsprocessen beter te laten verlopen. Vanuit die optiek
wordt het moeilijk om een IT architectuur voor over 5 jaar vast te leggen. Je
hebt twee onbekende grootheden hierin.
1 hoe ziet het bedrijf er over 5 jaar uit en
2 hoe is de stand van de techniek?
Dat ziet eruit als een recept wat gedoemd is te mislukken, hoe goed de
mensen ook zijn die dit poberen in te vullen.
technisch doorgewinterde IT mensen die goed zijn in het vak
maar ook goed met het management kunnen communiceren. Dat is
alles wat je nodig hebt om een beleid te maken wat
realistisch is en het operationele gedeelte ook echt te
laten werken. Externe partijen gaan huren in armani pakken
die mooi kunnen schilderen is het alternatief. (je komt er
wel ;)
Alles wat er bij komt kijken is geld weggooien.
dit onderwerp op 18 april :
http://www.gvib.nl/afy_info_ID_1636.htm
Wat een gezeur allemaal, het enige wat je nodig hebt zijn
technisch doorgewinterde IT mensen die goed zijn in het vak
maar ook goed met het management kunnen communiceren. Dat is
alles wat je nodig hebt om een beleid te maken wat
realistisch is en het operationele gedeelte ook echt te
laten werken.
security.nl en dit stukje van Peter Rietveld. Denken vanuit
de techniek zonder het grote geheel uit het oog te verliezen.
Wat een gezeur allemaal, het enige wat je nodig hebt zijn
technisch doorgewinterde IT mensen die goed zijn in het vak
maar ook goed met het management kunnen communiceren. Dat is
alles wat je nodig hebt om een beleid te maken wat
realistisch is en het operationele gedeelte ook echt te
laten werken. Externe partijen gaan huren in armani pakken
die mooi kunnen schilderen is het alternatief. (je komt er
wel ;)
Alles wat er bij komt kijken is geld weggooien.
Je moet 3 kennis gebieden met elkaar zien te combineren op
het gebied van security:
1) Techniek
2) Management
3) Risico analyse
Vooral op het laatste gebied schort het er nogal eens aan.
Enige tijd geleden nog een gesprek gehad bij een
security consultancy bedrijfje, waar ze doodleuk vertelde dat
ze risico analyses deden en dat ze daarvoor geen stochastiek
gebruikte omdat het zogenaamd zonder stochastiek al moeilijk
genoeg was voor de klant.
Het grote probleem is dat vooral de techies het idee hebben dat
de andere twee gebieden niet veel voorstellen, en dat ze het
er met een certificaatje of een oud statistiek boekje van de
middelbare school wel eventjes bij kunnen doen.
wat er aan de hand is, maar na de analyse van de situatie komt toch weer
je plan hoe je naar de SOLL-situatie komt. En dat plan ga je toch echt doen
(do) en evalueren (check) en mocht het nou niet helemaal lopen dan ga je
toch echt gepaste maatregelen nemen (Act)
Deming is in bijna alle trajecten toepasbaar... Verdiep je eerst in de stof
voordat je een werkwijze die reeds zijn nut heeft bewezen afkraakt.
uitstekend toepasbaar. Voor operationeel beheer is de OODA loop beter
geschikt. Zie http://en.wikipedia.org/wiki/OODA_Loop
Als je een hamer hebt betekent het niet dat alle problemen spijkers zijn ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
