"LulzSec toont falen security industrie"
De aanvallen van LulzSec tonen aan dat de security industrie de afgelopen jaren heeft gefaald, aldus beveiligingsexpert David Maynor. Volgens sommigen zouden de activiteiten van LulzSec goed voor security zijn, omdat ze aantonen dat er nog altijd gapende gaten zijn. Daar is Maynor het niet mee eens. "Ik denk dat LulzSec heeft laten zien hoe ineffectief de security gemeenschap en marktplaats echt is."
De gehackte bedrijven waren grote bedrijven, die meer geld aan beveiliging uitgeven dan de meeste mensen in hun leven verdienen. "Het uitgeven voorkwam niet de aanval en het plaatsen van hun persoonlijke gegevens, dus waar is het goed voor?"
Maynor heeft ook kritiek op bedrijven, die denken dat ze door het aanschaffen van een tool of appliance klaar zijn. Het omzeilen van beveiligingstools is vrij eenvoudig, merkt de expert op. "Ik probeer dat aan klanten uit te leggen, maar vaak zijn tools eenvoudiger te vinden dan goede mensen, dus kiezen ze voor tools."
Kadaver
Daarnaast houden beveiligingsbedrijven teveel rekening met de wensen van klanten als ze de beveiliging testen. Zo stellen klanten dat bepaalde tactieken, netwerken of systemen niet mogen worden gebruikt of getest. Iets waar de beveiligingsbedrijven in mee gaan, merkt Maynor op. "Vanwege dit soort mislukkingen, heeft de security gemeenschap klanten niet goed voorbereid op echte aanvallen door vastberaden aanvallers zoals LulzSec. De klanten van de security industrie worden systematisch gehackt en tentoongesteld zodat iedereen het kan zien, net als een kadaver tijdens een autopsie."
Meer geld uitgeven is in dit geval niet de oplossing, de mindset en bewustzijn van managers en bestuurders moet veranderen. "Hoeveel geld ze ook uitgeven, het zal ze niet beschermen, en dat is een falen van ons als industrie", besluit Maynor.
Niet de security industrie faalt, maar haar opdrachtgever.
Die wil gewoon geen geld uitgeven.
Dat de industrie zich richt op wat de markt wil is ook heel normaal.
Dat is gewoon marktwerking. Jij betaalt, wij draaien. Je wilt extra service, je betaalt wat meer.
De industrie wil het liefst zoveel mogelijk veiligheid creëren, dat de klant daar niet op zit te wachten kan je moeilijk de hele veiligheidsindustrie aanrekenen.
Niet de security industrie faalt, maar haar opdrachtgever.
Die wil gewoon geen geld uitgeven.
Dat de industrie zich richt op wat de markt wil is ook heel normaal.
Dat is gewoon marktwerking. Jij betaalt, wij draaien. Je wilt extra service, je betaalt wat meer.
De industrie wil het liefst zoveel mogelijk veiligheid creëren, dat de klant daar niet op zit te wachten kan je moeilijk de hele veiligheidsindustrie aanrekenen.
Een stap verder lijkt me ook nog wel verantwoord: wanneer de opdrachtgevers hun zaakjes beter op orde zouden hebben, zou een deel van de security industrie niet eens bestaan.
Daarnaast houden beveiligingsbedrijven teveel rekening met de wensen van klanten als ze de beveiliging testen. Zo stellen klanten dat bepaalde tactieken, netwerken of systemen niet mogen worden gebruikt of getest. Iets waar de beveiligingsbedrijven in mee gaan, merkt Maynor op. "Vanwege dit soort mislukkingen, heeft de security gemeenschap klanten niet goed voorbereid op echte aanvallen door vastberaden aanvallers zoals LulzSec. De klanten van de security industrie worden systematisch gehackt en tentoongesteld zodat iedereen het kan zien, net als een kadaver tijdens een autopsie."
De "beveiligingsexpert" David Maynor snapt het dus duidelijk niet. Elke goede management doet een kosten/baten analyse op basis van de ingeschatte risicos. Uit een dergelijke analyse blijkt welke risicos het bedrijf wilt lopen.
Ook kunnen zij omgevingen hebben die niet om kunnen gaan met de huidige tools. Een simpele scan kan de oude legacy systemen dus danig om zeep helpen dat de systemen niet meer werken. Van sommige legacy systemen bestaat de fabrikant ook soms niet meer. Bij sommige bedrijven zou dat kunnen betekenen dat de gehele productie stil valt voor langere periode. De schade die dan onstaan is, kan in uitzonderlijke gevallen leiden tot het falliet gaan van het bedrijf. In de meeste gevallen kan dit zorgen voor een behoorlijke grote kostenpost.
Waar de "beveiligingsexpert" David Maynor ook aan voorbij gaat is dat sommige bedrijven zijn gehakt door middel van een 0-day exploit. Hier tegen is nauwelijks iets doen.
door tools van een bekende leverancier toe te passen denken ze ook goed weg te komen.
ze denken dan dat ze bij falen gewoon de andere partij aansprakelijk stellen en dat verzekering gewoon betaald.
dit is een simplistische juridische redenering, maar daar zijn het managers voor.
na hen de zondvloed.
investeren in kennis is uitgefaseerd, alles is extern, dus wat had je dan verwacht?
Onze informatie systemen hangen we allemaal direkt op het internet, plakken er een firewalletje voor en dat is dat.
vind je het dan gek dat er lui zijn die bij je binnen komen kijken?
Als een systeem van zo'n groot belang is voor een bedrijf, waarom wordt het dan niet vele malen beter beveiligd? Als het gaat om een draaiende productie, zijn dat de systemen die het eerste bekeken moeten worden (niet met grof geweld, maar door kundige mensen).
Meestal is het compleet scheiden van een netwerk, en een goed IT beleid al voldoende. Dat betekend dat er geen removable media geaccepteerd mag worden, ook niet door een willekeurige leverancier/fabrikant. Er zijn toch geen updates meer aan het systeem, dus compleet afzonderen, voor zover mogelijk.
En toch moet het management zich dan afvragen, of die hardware niet vervangen moet worden. Wat zijn de kosten van een nieuw systeem? En wat zijn de kosten als het huidige Legacy systeem behouden wordt, in geval dat het mis gaat? Kosten/baten zoals je zelf al aangeeft.
Kosten voor een 2e hands oude server en een linux CD zullen het probleem niet zijn, als het zo bedrijfskritisch is.
Legacy systemen zijn een reden om meer gebruik te maken van OpenSource. Laat zelf hardware ontwikkelen onder de OSHW licentie, en verkoop dat aan je concurenten. Zorg dat legacy vervangen wordt.
Zodra het aankomt op managements, daar is het: Afschuifbeleid en vertrouwen op blauwe ogen. Legacy systeem omdat leverancier failliet is? Eigen schuld, dikke .......
De verzekering dekt maar tot €20,000.
Je installeert een alarmsysteem en sloten goedgekeurd door de verzekering, kost €10,000, maar
de verzekering betaald nu terug tot €30,000
99psecure stelt "total security" voor. Je deuren naar buiten worden vervangen door een sas, iedere bewoner krijgt een badge+sleutel, ramen op gelijkvloers krijgen stalen staven ervoor en kunnen niet meer open, Het alarmsysteem reageert op geluid & beweging en dient binnen de 3 seconden gedeactiveerd te worden met een passphrase. etc. Kost: €30,000 initieel plus operationele kosten, €5000 / jaar. 100% security kan nooit, dus ze betalen terug tot €45,000.
Van de andere huizen in je wijk heeft 2/3 voor optie 1 gekozen: doe niks extra, 1/3voor de goedkope optie.
Wat doe jij?
Je hebt voor zo'n €50,000 spullen in huis.
De verzekering dekt maar tot €20,000.
Je installeert een alarmsysteem en sloten goedgekeurd door de verzekering, kost €10,000, maar
de verzekering betaald nu terug tot €30,000
99psecure stelt "total security" voor. Je deuren naar buiten worden vervangen door een sas, iedere bewoner krijgt een badge+sleutel, ramen op gelijkvloers krijgen stalen staven ervoor en kunnen niet meer open, Het alarmsysteem reageert op geluid & beweging en dient binnen de 3 seconden gedeactiveerd te worden met een passphrase. etc. Kost: €30,000 initieel plus operationele kosten, €5000 / jaar. 100% security kan nooit, dus ze betalen terug tot €45,000.
Van de andere huizen in je wijk heeft 2/3 voor optie 1 gekozen: doe niks extra, 1/3voor de goedkope optie.
Wat doe jij?
Ik hang een bordje "secured by F.Ake" (denk: SSL/pen test claims) + nepcameras (denk: logs van 1k)
"security is nooit 100%" is waar, maar het misbruik ervan om alle verantwoordelijkheid af te wenden lukt niet altijd meer, gelukkig. Ook het streven naar 100% is niet zinvol (gebruiksvriendelijkheid wordt opgeofferd en de kost wordt onredelijk)
En dat argument (kost en vriendelijkheid) wordt dan weer gretig misbruikt om te eisen dat security onzichtbaar is en niks kost. Helaas is dat ook de security die je soms vind: onzichtbaar en gratis, en bijna 100% (00%).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.