Schneier: cybercrimineel is niet in te halen
Kwaadaardige hackers en cybercriminelen zijn nooit in te halen, we moeten ons dan ook richten op het sneller reageren op incidenten, aldus Bruce Schneier tijdens de keynote van de Hack in the Box conferentie in Amsterdam. "Technologie laat de maatschappij groter groeien. En schaal beïnvloedt sociale druk op allerlei manieren. Er zijn meer mensen, meer complexiteit, er zijn nieuwe sociale systemen, nieuwe beveiligingssystemen, een toename van technologische intensiteit en frequentie en toegenomen afstand", aldus de Chief Security Technology Officer (CSTO) van BT.
Zaken die ook voor het internet gelden. Het web maakt het mogelijk voor criminelen om op afstand systemen aan te vallen. Via automatisering is het mogelijk om systemen geautomatiseerd aan te vallen, wat de frequentie doet toenemen en nieuwe sociale systemen zoals Facebook zorgen ook voor veranderingen. "En ook hoe meer mensen op het internet komen. Hoe er vanwege de schaal meer gevaren verschijnen." Al die zaken hebben invloed op sociale druk.
Balans
Nieuwe technologie verstoort echter de sociale druk en de maatschappij moet dan ook opnieuw de balans vinden, aldus Schneier. Zo was er een niveau van fraude waar banken en de maatschappij mee konden leven, maar door de komst van het internet is er nu meer fraude. "We hadden een moord-ratio waar we blij mee waren, totdat iemand een pistool uitvond en opeens groeit het aantal moorden." Technologie werkt echter ook de andere kant op. Vingerafdruk-technologie kan weer helpen bij het voorkomen of oplossen van misdrijven. "Nieuwe technologieën verstoren echter deze balans."
Het vinden van de balans is lastig. Zeker omdat aanvallers van nature de bovenhand hebben. Ze kunnen sneller van innovaties gebruik maken. Iemand vindt bijvoorbeeld een auto uit om bankovervallen mee uit te voeren. De politie moet vervolgens via een comité een verzoek voor ook een auto indienen, waarop een aanbestedingsprocedure volgt en er verschillende aanbiedingen worden vergeleken. Dan moeten de agenten worden getraind en beleid worden bepaald hoe de auto is in te zetten. In de tussentijd gebruiken de criminelen gewoon hun auto voor het plegen van misdrijven.
Security-gat
"Hetzelfde zien we op internet. Toen online commercie verscheen, zagen we een nieuw soort criminelen die hier gebruik van maakten om dingen te stelen. In de tussentijd had de politie, die getraind was met Agatha Christie verhalen, vijf jaar de tijd nodig om te ontdekken hoe cybercrime er uitzag en hoe je het zou kunnen aanpakken." Als er zo'n mismatch tussen aanvaller en verdediger is, zal er een security-gat ontstaan. "Wat de aanvallers kunnen doen en wat de verdedigers kunnen doen. En het resultaat is een natuurlijk voordeel voor de aanvallers."
En dit security-gat wordt groter als er meer technologie is, en ook als er grote technologische en sociale veranderingen plaatsvinden. "Aanvallers krijgen daardoor langer een voordeel. In de hedendaagse maatschappij is er nog nooit zoveel technologie en zulke grote veranderingen geweest. "We leven nu in een wereld waar het security-gat het grootst is." Dit betekent volgens Schneier dat het lastiger wordt om de juiste sociale druk te bepalen, wat onder andere bepaalt of mensen de wet overtreden.
Inhalen
"Onze beste hoop is niet om op de aanvallers voor te lopen, maar om sneller te reageren." Het gaat dan om 'agile' of 'reactive' security. "We kunnen niet voorspellen wat de aanvaller gaat doen, maar het beste wat we kunnen doen is kijken wat de aanvaller doet en snel reageren. Dat we security op die manier kunnen handhaven." Dit idee komt volgens Schneier voort uit het besef dat het security-gat nooit te dichten is. "Je kunt er alleen op reageren."
Zelfs "Stuxnet" maakt misbruik van ordinaire softwarelekken die net zo goed door ethical hackers en/of Microsoft zelf gevonden hadden kunnen worden, en het was ook niet de eerste malware die in assembler of vage hogere programmeertaal is geschreven (AV boeren gillen om het hardst advanced omdat ze deze malware aanvankelijk geen van allen konden detecteren).
De fout die we keer op keer maken (precies zoals Anoniem van 11:47 hierboven stelt) is dat het uitgangspunt is dat alles aan elkaar geknoopt moet worden en zo eenvoudig mogelijk toegankelijk moet zijn (denk ook aan BYOD en SSO) en dat vervolgens security specialisten maar moeten bedenken hoe dit zo veilig mogelijk kan - en wee je gebeente als je daarbij de user experience aantast.
Overigens ben ik het niet met Anoniem eens dat we het internet moeten afschaffen, maar wel dat voor sommige gegevens en/of systemen de risico's gewoon te groot zijn om deze direct of indirect via internet toegankelijk te maken. En als dan toch koppelingen nodig zijn, minimaliseer het aantal zo ver mogelijk en controleer grondig (whitelisting) wie waarom welke gegevens uitwisselt via zo'n koppeling. Het is echt niet zo moeilijk, maar je moet het wel willen en kunnen accepteren.
Schneier zegt niet dat de cybercriminelen vernieuwend zijn, criminelen hoeven zich gewoon aan geen enkele afspraak te houden en _dat_ is de reden waarom ze de business altijd voor zullen blijven. (het voorbeeld met de auto). Eens de politie een auto heeft gekregen, zullen de criminelen een andere manier zoeken. "We" moeten gewoon zorgen dat we het de criminelen het zo snel mogelijk zo moeilijk mogelijk te maken.
Over dat alles zo eenvoudig mogelijk gemaakt moet worden:
De drijvende kracht is 'de business' en dat zal zo blijven. Security heeft een support rol en ook dat zal zo blijven.
Als de business bepaalde noden heeft is het aan het security team om de risico's daarvan in te schatten en en de business daarvan te informeren. Het is uiteindelijk toch de business die beslist wat er zal gebeuren. Als security expert bestaat jouw taak uit risicobeperking (beperking, alle risico's volledig wegwerken is onmogelijk), de business te informeren opdat _zij_ geinformeerd kan beslissen. Een risico aanvaarden is ook een optie, want uiteindelijk is het gewoon één grote geldkwestie. Je "controls" moeten in proportie blijven van je te beschermen asset.
Ik ben het helemaal eens met je eerste punt. Zolang er voldoende bekende aanvalsmogelijkheden zijn, waar we nog geen verdediging tegen hebben, zullen de aanvallers dus vrij spel hebben. En langzame reacties ertegen, verlengen de periode waarin de aanvalsmethode effectief blijft.
Ik ben het wat minder eens met je 2e punt. Je hebt het over "de business" en dat is in de context van dit bericht een beetje een vaag begrip. Als we het over de politie hebben, is "de business" waarschijnlijk de overheid, en uiteindelijk "wijzelf", het publiek. Daarbij neemt de overheid natuurlijk beslissingen na eerst door het publiek gekozen te zijn. Kortom, "de business" is als term niet zo veelzeggend in deze context.
Daarnaast is het ook niet zo dat "security" een "support rol" heeft, of in ieder geval zou het die rol niet moeten hebben, naar mijn mening. Security moet een geïntegreerd onderdeel zijn van de normale manieren van werken. Het zou niet goed zijn om achteraf nog te kijken wat er te redden valt. Dan krijg je maatregelen zoals op vliegvelden (bijv. dat je geen vloeistof meer mee mag nemen, en rontgenapparaten om personen te scannen) waarvan de meerwaarde erg onduidelijk is, en de investeringen vaak veel hoger zijn dan nodig/zinvol.
Wel ben ik het weer eens met je opmerkingen over het "inschatten van risico's". Het zou goed zijn als de overheid daar bijv. eens iets beter in zou worden, zodat het ophoudt met allerlei "hype maatregelen", zoals de voorbeelden die ik over de vliegvelden noemde. Het zou inderdaad goed zijn als die risico's eens wat beter geobjectiveerd zouden worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
