Column: Wat niet meet, wat niet deert
Bewakingsystemen zien bepaalde zaken wel en anderen niet - dat is inherent aan iedere vorm van geautomatiseerde detectie. In feite zijn er twee manieren om te bewaken: de eerste het is signaleren van vooraf gedefinieerde foutsituaties (het herkennen van een virus-signature of een reeks verdachte instructies in verder onbekende trojan, maar ook zoals iets te hard rijden). De tweede is een aanpak om situaties door hun ongebruikelijkheid op te laten vallen. Denk hierbij het uitproberen van meerdere IP adressen in een subnet of het slingeren over de hele rijbaan. Dit is een vorm van anomaliedetectie. Bij IDS systemen zie je vaak dat beide benaderingen mogelijk zijn, zodat de kans dat een gevoelige situatie opvalt, groter is. Dat is reuze handig.
De praktijk van anomaliedetectie is echter weerbarstiger: om een anomalie terug te vertalen naar een concreet incident, moet er onderzocht worden wat er aan de hand is. En daar wreekt de gladde interface van de mooi vormgegeven appliances zich - de bedienende mens moet complexe patronen kunnen analyseren, terwijl het apparaat en bijgevoegde salespitch de indruk wekt dat een aapje het trucje wel zal kunnen. Je treft dan ook zelden een beheerder of eigenlijk IDS operator aan die in staat is de onbekende situaties te herkennen. En nog schaarser zijn die, die het ook daadwerkelijk en met enige regelmaat dóen.
Wat ook niet helpt bij IDS-en is het kunnen finetunen van het instelbare alarmniveau, waarbij je bij foutsituaties een rood stoplicht kunt laten tonen. Dat moet, omdat sommige patronen voor het specifieke netwerk dat je moet bewaken daadwerkelijk een bedreiging zijn en anderen foutsituaties weer niet. Het is heel verleidelijk dit zeer spaarzaam in te stellen, omdat rode stoplichten ertoe leiden dat je iets moet gaan doen. Daarbij vraagt de analyse van een verdachte reeks packets veel kennis van kwetsbaarheden en het eigen netwerk. Zoek je een patroon uit, dan kan het zijn dat deze verwijst naar een aanval die systeemspecifiek is. Zo lang je niet weet wat voor applicaties je feitelijk allemaal hebt, weet je niet waar je gevoelig voor bent. Het is heel verleidelijk om te veronderstellen dat je een bepaald script nergens hebt. In de gemiddelde CMDB vind je de informatie niet, dus....
Er zijn nog andere showstoppers. Veel incident-tickets staat behoorlijk beroerd in de SLA rapportage, en een paar onduidelijke meldingen in een bewakingssysteem zijn geen moeilijk gesprek met de service manager waard....
Bedenk je dat in veel organisaties incidenten waarbij geen storing in de dienstverlening optreedt, helemaal niet kúnnen bestaan, volgens het servicemodel. Zonder ticket heb je geen werkorder, en mag je er helemaal geen tijd aan besteden.
De laatste nagel in de doodskist is de natuur van een techneut. Een echte automatiseerder streeft er naar om bij voorkeur niets met het handje te hoeven doen, dus een waarschuwingsysteem zó instellen dat er vaak bellen afgaan, is tegennatuurlijk. Omdat het IDS-systeem zélf gewoon werkt, is het uitsluiten van een wazige foutmelding een prima manier om een incident te sluiten.
De consequentie is dat de overgrote meerderheid van de IDS systemen alleen bekende issues zal detecteren, waar je veelal - als je een beetje bij blijft met patchen en virussignaturen - toch niet gevoelig voor bent. Dit leidt tot een complete vervreemding van de werkelijke situatie op de perimeter. Meten is weten, maar zolang je alleen meet wat je al weet, weet je niet wat je niet weet. En dan weet je dus niets. Bij security-managementinformatie geldt helaas ook het bekende adagium van garbage in en garbage out.
De resulterende "veilige" situatie is in feite die waarbij de bestuurder die 's nachts met 97 km/h over de randweg Eindhoven rijdt, een prent krijgt, en die andere chauffeur die stomdronken met alleen stadslichten op de middenbaan slingert met 70 km/h, ongezien door mag. Intussen meldt de politieke leiding een toename van de veiligheid op het baanvak. Dat doel kan echter alleen gerealiseerd worden door ook een ouderwets concept als een agent die zelf kijkt in te zetten. Maar daar is helaas geen budget of mankracht meer voor.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Het gaat niet alleen om wat er uitkomt maar ook wat het kost. Voor 99.5%
van de organisaties wegen die kosten niet op tegen de opbrengst. De
kosten bestaan vooral uit loonkosten, de enorme hoeveelheid tijd die het
kost om iets in de brij van data te ontdekken dat van belang kan zijn.
Maar voor degenen die op zoek zijn naar compliancy is het natuurlijk wel
prachtig: hoe meer grafieken en taarten, en kleuren, hoe beter. "Kijk eens
wat we aan veiligheid doen!" Die exorbitante loonkosten maak je niet, want
je klikt gewoon wat met je muis en presto.
Een IPS wel praktisch toepasbaar, maar dan zonder overbodige signature
ballast, als instrument in (D)DoS verdediging. Je hebt dan wel weer die
loonkosten (kennis is nodig), maar de hoeveelheid benodigde uren is veel
lager.
In de zin Bewakingsystemen zien bepaalde zaken wel en
anderen niet.
De n betekent dat het om mensen gaat. Het gaat
hier niet om andere mensen maar andere zaken. Dus geen n! :)
Hetzelfde geldt bij beide en beiden.
Grappig dat voorbeeld over die dronken bestuurder die
ongezien door kan rijden. Het laat zien hoe - in veel
gevallen - de politiek alleen maar cosmetische maatregelen
neemt. Dan kan men het publiek laten zien dat men krachtig
optreedt, en dat trekt weer stemmen.
Stel dat je in een melige bui met wat mensen gek loopt te
doen in een bewaakte winkelstraat. Wanneer snappen
geautomatiseerde systemen dat je geen terrorist bent maar
gewoon melig?
Zolang systemen niet kunnen nadenken, moet men voorzichtig
zijn de eigen gedachten uit handen te geven.
anomaliedetectie
/*
Hier komen we aan de bron van ons bestaan.
De voortuitgang is te danken aan de anomalie.
Einstein was er ook een enz....Beschadigd DNA kan een
voordeel zijn in de evolutie van een soort.Als we gaan
scannen op anomalie zal alles stil gaan staan en gaan we aan
onszelf tenonder.Dit soort systemen gaat er vanuit dat het
NU goed is.(volgens , ja wie eigenlijk en vanuit welke
werkelijkheid)Ik geloof dat elke beleidsmaker of iemand met
"wat" macht minstens alle basis begrippen van de philosophi
en de natuur moet kennen anders kunnen we wel inpakken in de
toekomst....
Er zijn meer soorten biotopen verdwenen omdat ze hun eigen
vooruitgang in de weg zaten.
Terug naar wat , waarom , etc ipv $$$$$$$
vaak in een opwelling maar die systemen maken er een
probleem van want je bent waarschijnlijk je uiterlijk aan
het modificeren wat natuurlijk verdacht is volgens het systeem.
Ik wil een kloon die voldoet aan de anomalie voorwaarden
voor mij en zelf verdwijn ik ergens....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
