Britse overheid: stel vragen over cybersecurity van leveranciers
De "supply chain" aanval via de software van SolarWinds heeft aangetoond hoe belangrijk het is voor organisaties dat leveranciers hun cybersecurity op orde hebben. "Eén ding dat je niet kunt outsourcen is de verantwoordelijkheid voor de security van je leveranciers", zo stelt het Britse National Cyber Security Centre (NCSC).
Het NCSC heeft daarom vragen over verschillende veiligheidsgerelateerde onderwerpen opgesteld die organisaties aan hun leveranciers kunnen stellen. Het gaat dan bijvoorbeeld of de leverancier over mensen en processen beschikt die verantwoordelijk voor cybersecurity zijn, hoe er in het geval van beveiligingsincidenten wordt gereageerd, hoe de leverancier zijn netwerk beveiligt, of de leverancier remote verbindingen naar zijn netwerk toestaat en hoe er wordt omgegaan met Bring Your Own Device (BYOD).
Ook kunnen organisaties vragen of hun leveranciers penetratietests en security-audits laten uitvoeren en gevonden problemen ook verhelpen, hoe de fysieke beveiliging is geregeld, of het personeel wordt gescreend, er security-awarenesstrainingen bij de leverancier plaatsvinden en hoe er met klantgegevens wordt omgegaan.
Aan de hand van de gegeven antwoorden kunnen organisaties dan bepalen of dit aan hun eisen voldoet. Het risico kan van verschillende factoren afhankelijk zijn, bijvoorbeeld of de leverancier direct of indirecte toegang tot het netwerk van de organisatie heeft en of de leverancier een 'single point of failure' is. Het NCSC waarschuwt dat het hier niet om een checklist gaat. "Een aanpak die alleen uit afvinken bestaat leidt vaak tot een vals gevoel van cybersecurity", zo stelt de Britse overheidsinstantie.
Ik verwacht zelfs dat SolarWinds dit allemaal keurig heeft geïmplementeerd. Er is maar één 'domme' beheerder nodig om een updateserver met het wachtwoord 'solarwinds123' en zonder two-factor te configureren dit zijn de gevolgen.....
Helaas ken ik teveel organisaties die het op papier allemaal keurig op orde hebben en ook probleemloos alle audits van de gerenommeerde bureaus doorlopen, maar waar het op de vloer simpelweg niet op orde is.
Kijk even dichter bij huis, Diginotar. Allemaal keurig op orde en met vlag en wimpel door de audits. Maar een kabeltje dat onder een plint verstopt was leidde tot de ondergang van DigiNotar en heel veel ellende bij vooral Nederlandse overheidsorganisaties.
Ik ben wel volledig met je eens dat je niet kan en mag verwachten dat elke willekeurige MKB'er dit kan voorkomen.
Belangrijkste les die uit deze case getrokken kan worden, is dat SolarWinds extreem nalatig is geweest. Ze hebben in juli/augustus al geweten dat ze gehackt zijn en dit al die tijd 'onder de pet' gehouden.
FireEye heeft laten zien het hoe het wel moet: Direct 'met de billen bloot' en transparant over wat er aan de hand is. Als SolarWinds in juli gelijk met de billen bloot was gegaan, was er heel veel ellende voorkomen.
Als je als overheid iets wil doen om dit te voorkomen, dan moet je het 'onder te pet houden' van hacks strafbaar stellen. Hacks 'onder de pet' houden is wat mij betreft hetzelfde als boekhoudfraude (a la Enron)
Als je op dit moment als klant vraagt om een lijst met vragen in te vullen kost dat de leverancier een hoop tijd. Dus gebeurd het vaak niet of betaal je als klant ineens meer voor je product.
Zouden we in heel Nederland een standaard lijst gebruiken dan komen we al een stuk verder. Dan kan de leverancier zich daar veel beter op kunnen voorbereiden en kunnen wat specifieke vragen makkelijker met meer aandacht worden beantwoord.
Denk aan vragen zoals:
* Is de software recent ge-pen-test, incl. rapportage.
* Beschikt het bedrijf over een (publiek) responsible disclosure programma?
Veel beter is om het te vragen “Hoe gaan jullie om met Risico’s?” Met daar als subvragen bij “hoe identificeren jullie risico’s, hoe classificeren, hoe mitigeren, wat is risk cultuur etc.” Dat draagt beter bij dan gewoon een lijst van controls.
SolarWinds had (heeft) dus een onvolwassen houding t.a.v. Risk Management. Daar moet in 1e instantie iets aan gedaan worden.
Je kan nog zo goed en professioneel zijn in je kennis van ICT-beveiliging, dat garandeert niet dat er nergens mensen rondlopen die nóg beter zijn en die dingen weten of snappen die jij mist. Verder hoeft een aanvaller zich niet op alles in je systemen te richten maar kan die heel gericht proberen één manier van toegang verkrijgen tegelijk uit te diepen, terwijl degenen die verantwoordelijk zijn voor de verdediging ertegen zich op alle denkbare manieren van toegang verkrijgen tegelijk moeten richten, want je weet nooit wat je aanvallers gaan proberen. Zelfs bij gelijke vaardigheden levert dat een ongelijke strijd op waarin de aanvallers een voordeel hebben.
Zie ook
https://blog.reversinglabs.com/blog/sunburst-the-next-level-of-stealth
(van 1ste reageerder op https://www.security.nl/posting/682662/Microsoft%3A+aanvallers+SolarWinds+waren+al+in+oktober+2019+actief)
Waarin wordt uiteengezet hoe de hackers geduldig en zeer professioneel te werk gingen.
Dit soort vragen stellen aan leveranciers kunnen dan ook door hackers gesteld worden (phising!) om meer inside-info te weten te komen om de zwakke plekken te inventariseren. Ook al heeft de leverancier zich verzekert met een daadwerkelijke klant te maken te hebben, is het een risico informatie over welk gebruik van software en risico-voorkoming -/ afhandeling aan derde te verkondigen.
Uiteraard is cloud niet per definitie slecht maar de wijze waarop incompetent management de verantwoording graag afschuift moet maar eens ophouden. En als je dan veel uitbesteed zorg dan in ieder geval dat je je controle processen op orde hebt (en ja daarvoor moet je ook ICT kennis in huis hebben... sorry "ik wil geen verantwoordelijkheid dragen management van 2020")
Je kan nog zo goed en professioneel zijn in je kennis van ICT-beveiliging, dat garandeert niet dat er nergens mensen rondlopen die nóg beter zijn en die dingen weten of snappen die jij mist. Verder hoeft een aanvaller zich niet op alles in je systemen te richten maar kan die heel gericht proberen één manier van toegang verkrijgen tegelijk uit te diepen, terwijl degenen die verantwoordelijk zijn voor de verdediging ertegen zich op alle denkbare manieren van toegang verkrijgen tegelijk moeten richten, want je weet nooit wat je aanvallers gaan proberen. Zelfs bij gelijke vaardigheden levert dat een ongelijke strijd op waarin de aanvallers een voordeel hebben.
Eens, je zult altijd kwetsbaar blijven. Maar om te stellen dat het een restrisico was..
Bij een restrisico ga je monitoren. En niet op je lauweren zitten en dan een jaar later weer het risk register openen om je rest risico's weer eens in te schatten.
Risico Management = Daily Task! Daily!1!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
