Een nieuwe realiteit: Aanvallers aan winnende hand
Onze wereld bestaat bij de gratie van goed werkende energie- en informatie-systemen. We zijn zó afhankelijk geworden van deze techniek, dat een week zonder deze diensten eigenlijk niet is voor te stellen. Verkeersinstallaties, bruggen, sluizen en gemalen, maar ook de voedselproductie, beveiliging en de zorg kunnen nauwelijks nog zonder goed functionerende informatietechniek. Als de energie- en informatievoorziening wegvalt, bijvoorbeeld door een kwaadwillende aanval op het systeem, worden we opeens heel weerloos. Jammer genoeg is dat een achilleshiel in onze maatschappij geworden die op dit moment – vaak met schade en schande – op veel plaatsen wordt onderkend.
Op de conferentie van RSA, de security-divisie van EMC, werd de aanval die vorig jaar maart op ons eigen bedrijf werd uitgevoerd, nogmaals aangehaald. Het was een aanval van buiten de VS. Via een keten van kleine stappen werd er jacht gemaakt op de kroonjuwelen van ons beveiligingsbedrijf: de algoritmes van de versleuteltechniek van de tokens. Dankzij – gelukkig op dat moment voldoende – oplettendheid werd de inbraak op een gegeven moment onderkend en konden op tijd maatregelen worden genomen. Maar intussen was men toch veel verder door de beveiliging heen gekomen dan we voor mogelijk hadden gehouden.
Advanced Persistent Threat
De aanval op RSA stond niet alleen. Het was een eerste stap in de richting van een aanval op honderden bedrijven en overheidsinstanties in de VS, die culmineerde in een aanval vorig jaar juni bij Lockheed Martin, één van de grootste defensiebedrijven ter wereld. We spreken in dit geval van een serieuze “Advanced Persistent Threat”, een bedreiging die continu aanwezig is, budget en kennis beschikbaar heeft en gebruikmaakt van geavanceerde technieken en methoden. Een continue dreiging die elke mogelijkheid om ‘ergens’ binnen te dringen, zal zien en gebruiken.
Als de wereld er zo uit is gaan zien, moet je dus je verdedigingsstrategie totaal herzien en aanpassen. Firewalls, wachtwoorden, authenticatie – allemaal mooie bruikbare technieken, maar niets is altijd voor de volle 100% perfect. Mensen zijn allemaal wel eens onachtzaam. Systemen zijn niet altijd 100% beschikbaar, of zonder fouten of bugs. We zijn een periode binnengetreden waar je helaas niet meer uitsluitend kunt vertrouwen op alleen een passieve beveiliging.
Je zult actieve methoden en continue bewaking moeten inzitten om elk dataverkeer, naar binnen, naar buiten, maar vooral ook intern, actief te scannen op verdachte bewegingen en activiteiten. ’Opgeknipte stukjes’ data zien, kan betekenen dat informatie ‘onder de radar’ wordt weggesluisd. Onbekende files kunnen malware bevatten die op zoek zijn naar een plaats om zich te nestelen. Vreemde social media berichten kunnen spionnen zijn om verkeerde menselijke reacties op te wekken, waardoor digitaal toegang wordt verleend. Mensen zullen helaas altijd fouten blijven maken. Daarom is ook het volgen van alle menselijke handelingen noodzaak, al is het maar om oorzaken te kunnen achterhalen in een forensisch onderzoek.
Slechts 5% van de cyberaanvallen wordt binnen enkele uren ontdekt. En maar tientallen procenten binnen dagen of weken. Tot ongeveer 80% blijft vele maanden onopgemerkt of wordt nooit ontdekt. Je moet er dus van uitgaan dat elk netwerk wordt aangevallen, gisteren, nu en morgen. En beseffen dat de beste passieve beveiliging helaas niet meer genoeg is om alle aanvallen in de toekomst gegarandeerd te weerstaan. Hoe eerder je het ontdekt, hoe beter je de schade kunt beperken.
Verdedigings- én detectiemodus
Afgelopen jaar hebben wij als bedrijf onze beveiliging dan ook gewijzigd van enkel een verdedigingsmodus naar zowel een verdedigings- áls detectiemodus. Een actieve detectiemodus. We hebben acquisities gedaan om actieve detectiesystemen te kunnen inzetten en werkelijk elke bit in onze netwerken te kunnen scannen, volgen, vastleggen en analyseren. Dat is niet goedkoop. Het vraagt niet alleen de aanschaf en inrichting van deze detectie-omgeving, het genereert ook grote hoeveelheden data. En die data moet weer geanalyseerd worden, opgevolgd worden en vervolgens leiden tot een continue verbetering van het verdedigingssysteem. Het element van Big Data is de security-wereld binnengedrongen. Security Intelligence is een serieus vakgebied geworden. Een omgekeerde Big Brother, weten wie er naar je kijkt.
De manier van denken over veiligheid is radicaal veranderd. We moeten accepteren dat we continu in een soort van gedeeltelijke paranoia verkeren, omdat er continu aanvallers op de loer liggen. Erkennen dat je informatie-omgeving altijd ergens ‘gedeeltelijk’ gecompromitteerd zou kunnen zijn. En de continue opgave hebben elke ‘niet-normale’ situatie zo snel mogelijk te herkennen en te herstellen. We moeten onze beveiliging naar een hoger niveau tillen, een niveau van continu scannen.
We beschikken hiervoor nu gelukkig over de benodigde technieken, de producten en de jarenlange ervaring. En de immer groeiende wijsheid. Met schade en schande opgebouwd, helaas. Maar dat is met veel zaken in het leven zo: het is vallen en opstaan. Daar vormt onze informatievoorziening, waar we met zijn allen zo afhankelijk van zijn geworden, geen uitzondering op.
Hans Timmerman, CTO bij EMC Nederland