Column: Een dashboard zonder stuur
De dag begint goed hier in het Security Operations Centre. Er ligt een bericht van de NCTV dat niet nader benoemde randfiguren het voorzien hebben op kwetsbare systemen van organisaties, mogelijk zelfs in ons land. Nadere details ontbreken, maar de coördinator nationale veiligheid zal ons aanstonds op de hoogte brengen zodra dit spannende verhaal nieuwe ontwikkelingen vertoont.
Ik zit op het puntje van mijn stoel.
Uit de Deepsight dienst blijkt dat er een aantal kwetsbaarheden is ontdekt in een PHP script en een aanzienlijk aantal defecten in Microsoft software, waar vooralsnog geen patches voor zijn. Naar verluidt wordt één van de defecten in het wild gebruikt voor aanvallen. Voor de andere is geen informatie over daadwerkelijke aanvallen bekend. De defecten zitten in ieder geval in een aantal nieuwere versies van gangbare producten, zowel in Windows 2008 in alle versies behalve één, en in een aantal niet nader aangeduide Office 2010 producten. Over de mogelijke impact op oudere software in de extended support wordt niet gerept. De verwachting is dat de volgende patch Tuesday een ingrijpende wordt, maar het is niet zeker dat alle defecten gefixed worden.
Afwachten dus.
Deepsight meldt verder dat er erg veel gescand wordt op TCP 3389, die gebruikt wordt door Microsoft Remote desktop. De PKI groep op LinkedIn meldt dat er een ontwerpfout zit in het SCEP protocol, en dat deze in veel implementaties voorkomt. Het Internet Storm Centre zegt dat 2,9% van alle poortscans op poort 3389 gericht is. Het ISC ziet echter wel een spike in TCP 23682 verkeer. Mja. Bittorrent.
Dat is heel bedreigend. Jaja.
Maar goed, volgens Deepsight is de wereldwijde status groen. Volgens ISC ook. Volgens de Nederlandse overheid ook. Hoewel de laatste update al weer van een week geleden is.
Dus het is niet bedreigend. Ook goed.
Op Full Disclosure is een heftig debat van onduidelijke kwaliteit gaande tussen de vaste gasten over een denial of service die eventueel zou kunnen leiden tot een stack overflow in een browser die op veel mobiele devices geïnstalleerd is.
Zucht.
In de firewall logs zie ik dat een Belgische host continu een half open connect doet naar een bridgehead mailserver in de DMZ, en de IDS laat zien dat er vanuit een aantal Chinese netwerken connects worden opgezet met een aantal developersystemen in het netwerk van een dochterbedrijf. Maar ja, dat zit ook in een joint venture met een Chinese toko, dus of dat wat betekent?
Informatie, informatie. Héél véél informatie. En dat moet allemaal geclassificeerd worden. Saai werk, maar de schoorsteen moet roken.
Het NCTV bericht vind ik niet specifiek genoeg; ik zie geen reden dat het ónze organisatie zou kunnen raken en daarom zet ik hem op ‘laag, laag’. Dat staat voor: waarschijnlijkheid laag, impact laag. Dat PHP script dat ken ik niet en ik weet niet of we dat ergens gebruiken. ‘Laag, laag’ dan ook maar. Gaten in Microsoft: of dat speelt in de versies met de patchlevels die we hier hebben, kan ik niet bepalen. Ik gooi hem op ‘laag, midden’. Want ja, we hebben vast wel iets van die spullen. SCEP? Nooit van gehoord. Laag, laag. Wat zal ik eens met die Chinezen doen?
De vraag hier luidt: wat is het nut van classificeren van bedreigingen? De theorie ken ik, het gekozen Security Framework schrijft dit voor, opdat we de actuele bedreigingsniveaus kunnen bewaken. Deze worden getoond op het 100 inch scherm op ‘de brug’, ons management dashboard waarop iedereen in één oogopslag kan zien hoe veilig het is. Groen betekent veilig, oranje staat voor bedreigingen die niet acuut zijn. En rood… nou ja, je begrijpt me wel.
Dat scherm hangt er nu ongeveer een jaar en vormt inmiddels een vast punt bij iedere rondleiding. Er verschijnen vaak hele delegaties mannen in pak op de tribune achter de brug, soms zelfs mannen in uniform. Security is nu eenmaal een hot topic en het management dashboard is een goede methode om ‘het’ zichtbaar te maken. Het is wellicht zelfs de enige methode, want hoe laat je een mogelijke aanval op een niet nader bekende host zien?
Sommige cynici in ons team noemen het dashboard managementporno. Dat kan ook, maar wat ik zelf zo merkwaardig vindt is dat dit dashboard alleen maar verklikkerlichtjes heeft, en geen stuur. Als ik een paar bedreigingen op ‘hoog, hoog’ zet, of zelfs maar op ‘midden, hoog’, wat dóen de bestuurders ‘op de brug’ van dit beveiligingsapparaat dan?
Een tijdje terug kreeg ik het antwoord op de vraag. Mijn collega Threat Analysts en ik hadden een paar zaken tegelijk op ‘midden, hoog’ en ‘midden, midden’ gezet en jawel, direct lichtte het grote scherm omineus oranjerood op. Een enorme heisa barstte los, de brug liep vol zorgelijke stropdassen en volgens mij zag ik zelfs een minister met haar neus tegen de ruit gedrukt staan dus dan is er echt iets aan de hand. Dat was tot daar aan toe, maar iedereen moest vervolgens in de buurt blijven; Alle Hens Aan Dek en Alle Verloven Ingetrokken. Een typerende uiting van bestuurlijke daadkracht. Alsof de IPS-en beter werken als wij maar goed naar de web interface blijven kijken. Ik bedoel maar, we kunnen niets aan de verdediging veranderen zonder een change proces van een paar weken te doorlopen, dus meer dan naar het scherm turen zat er niet in.
Ik zet dus nooit meer iets op midden en al helemaal niet op hoog. Sommige collega’s doen dat wel, maar dat is dan omdat ze een bepaald project willen of omdat ze van hun account manager een paar collega’s binnen moeten hengelen. So much voor classificatie.
Dus, volgende vraag: wat betekent besturen van beveiliging, eigenlijk? Hoe sturen de bestuurders de veiligheid? Ze hebben niet eens een stuur. In de praktijk hebben ze alleen een gaspedaal en een rem meer of minder mensen inzetten en een dodemansknop alle verbindingen dichtzetten waar een heel groot bord bij hangt dat misbruik gestraft wordt.
Wat doet zo’n bestuurder dan zoal, de hele dag? Zit dat daar maar een beetje verantwoordelijk te zijn en een naventante schaal op te strijken? Ron, de nachtchef hier op de brug, geeft dat gewoon toe, als er niemand bij is tenminste, dat security management eigenlijk een heel nikserig beroep is. Paniekvoetbal of rust maar niets daartussen, zoals hij het zegt.
Dit fenomeen speelt overal volgens mij. Zo las ik dat security held Ronald Prins van Fox IT ziet dat de digitale veiligheid ook van rijkswege niet gestuurd wordt. Ja, logisch toch? Besturen bij de overheid is ook alleen een kwestie van een gaspedaal en een rem? Ik bedoel maar zo: gaat er iets mis, dan gaat er meer geld heen en gaat het niet meer echt fout, dan halen ze dat geld weer terug. Gas en rem. Maar ze noemen het sturen. De enige bestuurder die zo kan rijden is een treinbestuurder en zijn spoor ligt van tevoren vast. Dat kun je van IT security niet zeggen. Wij hebben geen rails liggen. Nee, ook al die hoogdravende claims van de systeemdenkers met de imposante slidedecks van methode XYZ of ABC vormen geen rails.
De governance crisis waar Ronald het over heeft speelt wereldwijd, niet alleen bij de Nederlandse overheid. Daarom verliezen we de strijd tegen de ‘bad guys’. De IT security verkeert in een existentiële crisis; we krijgen meer geld en daardoor steeds meer specialisten die kunnen adviseren hoe een ander het moet doen, maar tot meer dan een kakofonie van adviezen leidt dat niet. En de bestuurders, die geven nog maar eens wat gas of die remmen maar weer eens wat bij.
Je lost het niet op door te doen wat de specialisten zeggen, want zij zeggen allemaal wat anders. Het lijkt er toch op dat bestuurder bij gebrek aan beter maar luistert naar de persoon die het verhaal het best kan inpakken in een elevator pitch of het verhaal dat het beste past bij de overtuigingen die de bestuurder toch al heeft. Net als bij de economische crisis dus, want ook economen zeggen weer allemaal wat anders en zo zijn we hard op weg naar de triple dip. Meer geld naar die en minder geld naar die – pappen en nathouden is het, meer besturing is er niet.
Met bestuurders die niet weten waar je heen moet, kom je nergens. Besturen is blijkbaar de kunst van het laveren tussen wat de goeroes te vertellen hebben. Voorwaar geen geringe opgave; daar zouden ze eens een procedure voor moeten schrijven. Wat mij het meest beangstigt, is dat het de meeste bestuurders niet eens is opgevallen dat ze geen stuur in handen hebben.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
Overigens is die crisis veel groter want niet beperkt tot IT security of zelfs maar de IT. "Regeren is vooruitzien" zeiden ze vroeger. Ga eens kijken waar de top van Het Nederlands Bestuur zich druk over maakt. Gedram over vuurwerk of champagnekurken, vinden dat vanalles verboden moet worden, zeuren over dingen die pietluttig zouden moeten zijn op deze schaal. Brussel is overigens net zo pietluttig en geldt vooral als goed schuilmateriaal voor landsregering tegenover de eigen burger. De grote dingen worden in achterkamertjes volstrekt buiten alle contrôle bekokstoofd en dan als fait accompli voorgeschoteld. "Brussel zegt het, dus wij moeten wel volgen."
En die cyberpaniek uit cyberamerika? Dat is vooral cyberherrie om cybergeld voor cybersecurity. Het cybermilitary-cyberindustrial cybercomplex, maar dan cyber, snap je wel? Zoveel cyberexpertise en dan nog steeds de cyberoorlog cyberverliezen. Cybersaillant cyberdetail: Van de cyberrussen, ook dat nog. Tot cyberzover het cyberFBI cyberbericht.
Als staatsman heb je een stuk meer mogelijkheden dan remmen of gasgeven. Je geeft directie. Net als in het bedrijfsleven, waar de directie de strategie moet bepalen. Maar op IT gebied bebeurt het nauwlijks; iedereen doet wat iedereen doet want iedereen doet wat iedereen doet, dat werk. En dus is IT security niet meer dan wachten op publiekgemaakte gatenvondsten in de gatenkaas en dan rondspringen en zo snel mogelijk dichten dat gat. Daar is een hele cottage industrie omheen gebouwd ondertussen, die als remedie meer van hetzelfde aanbevelen. Eventueel met wat pijnlijke neveneffecten opdat we doorhebben dat we offers moeten brengen. Liefst financieële offers, aan je huisveiligheidsleverancier. Zoals prinsmans, met zijn geweldige ideetjes.
Het probleem is niet dat er niet bestuurd kan worden. Het probleem is veeleer dat de bestuurders die er zitten om vele redenen niet besturen. En waarom dan? Omdat oogkleppen op tegenwoordig doorgaat voor "vooruitzien". Dan hou je inderdaad alleen maar rennen of stilstaan over als "bestuursstrategieën".
Maar hee, de economie moet draaien dus we draaien lekker door. Competentie is er met een slimme MBAformule uit wegbezuinigd. En de politiek? Die vindt dat ze nog niet dom genoeg zijn: "Er moeten meer domme mensen in de kamer". Dat gaat vast helpen.
Ik zit erbij en kijk ernaar, maar kan er ondertussen niet meer om geven. Te vaak was de waan van de dag te belangrijk om echte problemen aan te pakken of zelfs maar te willen zien. Precies gekregen wat je hebben wilde, dan nu niet zeuren graag.
al kan ik je standpunt wel begrijpen (en tot op zekere hoogte ook wel (h)erkennen); het lijkt mij toch wat kort door de bocht te zijn.
Een goeie bestuurder die zich moet bezighouden met het sturen van Informatieveiligheid, in een organisatie die er de maturiteit voor heeft, heeft wel degelijk een stuur in handen, naast die rem en dat gaspedaal.
Dat stuur heet "Enterprise Risk Management", en veiligheidsrisico's vormen daar gewoon een onderdeel van. Het is wat er zou moeten gebeuren tijdens de momenten van "rust":
Het identificeren en inschatten van risico's, opvolgen van de aanvaardbare en wegwerken/verminderen/verzekeren van de onaanvaardbare.
Dat doe je door te werken aan beter opgeleid en bewust personeel, betere processen en/of betere technologie ter ondersteuning van voorgaande.
Tijdens de momenten van "paniekvoetbal" is die kans verkeken; op dat moment ben je niet meer bezig om risico's te vermijden aangezien ze zich net gemanifesteerd hebben (zoals je ook aangeeft).
Op zo'n moment kan je enkel nog de impact van het incident proberen te minmaliseren en breng je de plannen in praktijk die de echte doemdenkers in je organisatie hebben opgesteld: de business continuity managers.
Vooropgesteld dat je die hebt natuurlijk.. anders rest er idd weinig anders dan kijken naar het scherm en hopen dat het zal overgaan..
Schoenmaker houdt je bij de leest en vooral realiseren dat modellen versimpelde weergaves/benaderingen van de werkelijkheid zijn en dat dus b.v. het brilliante stoplicht-dashboard voorbeeld (over-versimpeling) alleen maar contra-productief werkt.
Civiele operaties (business) en militaire operaties (security) hebben gewoon twee compleet andere structuren, en dat verschil niet in willen zien of toe willen laten compromiteerd beiden.
Hoe je dat practisch in zou kunnen voeren zou ik niet weten. Daar is denk ik ook geen simpel antwoord voor dat niet ook behoorlijke risico's draagt. Maar aan het eind van de dag maakt het toch niet uit: bestuur word niet ontslagen als het een fout maakt, daar vinden ze wel een scapegoat voor. Dus waarom zou je dat niet bij voorbaat als norm hanteren?
En zoals anderen stellen dat het niet helemaal zonder stuur zou zijn... Ach, niets is 100% waar of onwaar. Als dat zou moeten, zou je nooit meer een column kunnen schrijven.
Ik denk dat je hier een belangrijk probleem aansnijdt. Er worden allerlei maatregelen genomen (vooral inderdaad geld inzetten, en dus veel tijd) nadat een security incident is opgetreden, zonder dat duidelijk is of die maatregelen ook zinvol zijn. En vooruit kijken (dat zou je "sturen" kunnen noemen, denk ik), dat wordt in de praktijk toch minder gedaan.
Vooruit kijken moet je doen op het moment dat je niet belast bent met allerlei "urgente" dingen, waardoor je je echt los kan maken van de dagelijkse beslommeringen, en je een algemene visie zou kunnen neerzetten.
En zelfs daarbij is het nog lastig om mensen te vinden die echt zinnige dingen over security kunnen zeggen. Zoals Peter al stelt, allerlei "specialisten" hebben andere meningen.
Voor mij is deze wanorde gewoon een teken van onvolwassenheid van het huidige "denkniveau over security".
Dat is het grootste probleem. Security is voor de meeste goed bedoelende partijen op Internet vaak een soort randverschijnsel. Het security stuur wordt vaak niet gezien of nodig geacht. Totdat er expliciet op gewezen wordt. En daar zit toch wel een rol voor ons security mensen: zorg dat security in het begin van trajecten als een requirement wordt. Al is het maar met de polsstok van cookiewet of wet bescherming persoonsgegevens, die vaak wel gezien serieus worden genomen door bestuurders...
Zitten we mogelijk toch dichter bij de betekenis van de echte oorsprong als ik het zo lees.
Die overheid moet gewoon tegen de organisaties en bedrijven in Nederland zeggen: regel dat u uw Kroonjuwelen en uw Financien goed beschermd. Doet u dat niet dan bent u strafbaar als Bestuurder omdat u onzorgvuldig met uw verantwoordelijkheid omgaat.
Aandelen op Euronext? Dan eerst bewijzen dat u uw Intellectual Property goed beschermd heeft. Banklicentie: eerst bewijzen dat er niet gefraudeerd kan worden.
Dus leg die verantwoording bij de organisaties en zet er sancties op die de RvB persoonlijk raakt. Dan is het snel andere koek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
