zaterdag 22 december 2012

Maya-voorspellingen. Je bent er nog!


Echte profetieën.

Ongemerkt heb ik gisterenavond mijn kinderen een extra aai over hun bol gegeven toen ik ze naar bed bracht. In mijn achterhoofd speelde onbewust de Maya-voorspelling mee. Ik hoor ze deze morgen trouwens boven al op hun kamer rondlopen. Mijn ongerustheid was dus onterecht.

Ik weet niet hoe we hier op gaan terugkijken in de komende tijd. Wordt het een dag zoals iedere andere dag? Of komt 21 december 2012 in de geschiedenisboeken naast 2 juli 1600 te staan? Herinner je je die memorabele dag trouwens nog?  Iets met Nieuwpoort …? Feit blijft dat mensen er serieus aandacht hebben besteed. Er zijn ook mensen die zich opgesloten in Bugarach in de Pyreneën.

Voor mij is het de vraag of we ons iets moeten gaan aantrekken van de voorspellingen die onze mailbox binnenstromen. Ikzelf hecht er echt heel veel waarde aan. Ze zijn een trapleuning voor de security investeringen van volgend jaar! Daarom wil ik je als security professional graag een aantal profetische waarschuwingen voor 2013 meegeven.  

  • Cloud – let op voor een toenemend aantal kwetsbaarheden!
  • BYOD/Mobile malware – al die smartphones en tablets blijven lastig om te managen.
  • Targeted attacks/Social engineering – er zijn mensen die malware op je systeem willen injecteren via slimme doelbewuste aanvallen.
  • DDoS attacks – ook jij bent een potentieel doelwit!
  • Big data – enorm veel kwetsbaarheden.
  • Cyber espionage – Veelal kijkt er een buitenlandse overheidsmedewerker over je schouder mee.
  • Advanced Persistent Threats – er worden steeds geavanceerdere aanvalsmthoden ontwikkeld en toegepast.
  • Mac malware – ook jouw Apple is doelwit.
  • Hacktivism – het is een echte bedreiging!

Deze voorspellingen had je ook zelf kunnen bedenken. Ik heb die moeite niet genomen. Getuige de bovenstaande lijst. Ere wie ere toekomt. Dit lijstje heb ik van Constantine von Hoffman, blogger bij CIO.com.

  • De waarde van de voorspellingen ligt vooral in de voorspelbaarheid.
  • Die van vorig jaar in een ander jasje.Veel self fulfilling prophecies!
  • De een nog verwarrender dan de andere!


De vraag is welke leidraad jij nodig hebt voor de juiste security investeringen in 2013?

Een van de meest voorkomende vergissingen die ik tegenkom bij organisaties is de discussie om van 90% risicodekking tot 95% te komen. Dit gebeurt, terwijl met een kijkje in het datacenter en een paar vervelende vraagjes al snel duidelijk wordt waar de uitdaging echt ligt. Niet de overgang in de hoogste regionen van risicodekking. Nee, gewoon risicodekking van 50% tot 75% is voor veel organisaties al een hele kluif.

Pin me niet vast op de getallen, val me ook niet aan op het gebruik van getallen. Feit is dat de discussie op de verkeerde manier gevoerd wordt. En in veel gevallen over de verkeerde onderwerpen. Ik heb in een voorgaand artikel al gesproken over Terug naar de basis. ‘ First things first’ zoals Steven Covey verder uitgewerkt heeft in zijn boek ‘ Seven Habitsof Highly Effective People’.

Zijn voorspellingen dan helemaal niets waard? Nee, dat zeg ik niet.

Ik wijs alleen op de profetische waarde die je ook in je eigen gloeilamp had kunnen ontdekken. Ik vraag je goed na te denken over de risico’s die je loopt bij verwerken, opslaan en versturen van vertrouwelijke informatie.

Wil je een overzicht van risico’s? OK, hier vindt je een lijstje.  Het is maar een voorbeeld. De kracht ligt in het risico assessment van je belangrijkste processen. Discussie, nieuwe inzichten, met elkaar eens worden, besluiten, … Allemaal belangrijke elementen van een goede voedingsbodem voor investeringsbesluiten.

Even recapituleren.
  • We zijn op 22 december 2012 nog steeds op deze aardbol ons leventje aan het leiden.
  • We waren even de slag bij Nieuwpoort vergeten.
  • De meeste profetische voorspellingen kun je zelf bedenken.
  • De uitdaging bij jou in de organisatie ligt niet in risicodekking op 95%.
  • Op basis van ‘ First Things First’  zul je moeten bouwen aan fundamentele bouwstenen in je security infrastructuur.
  • De meest voor de hand liggende methode voor waardevolle investeringen is het uitvoeren van risico assessments voor de belangrijkste processen.

Ga de uitdaging aan om van de huidige risicodekking van om en nabij 50% te komen tot een risicodekking die past bij jouw organisatie. Daar hoort niet een vast getal bij. De key proceseigenaren bij jou in de organisatie beslissen zelf welk risico ze acceptabel vinden.

Mocht je moeite hebben om de juiste argumentatie te vinden val dan niet direct terug in je vertrouwde oplossingsmethode ‘Wij van WC-eend’ . Heb je vragen waar je niet uitkomt ga dan een serieus gesprek aan met je security partner. Dan bedoel ik niet die ene die je net de nieuwste producteigenschappen heeft opgesomd.

Op naar de kalkoen en de schoonfamilie! Fijne feestdagen. Ik zie je bij IKEA.
Gepost door op Geen opmerkingen:

zaterdag 15 december 2012

De Nordman is binnen

Jawel, dit weekeinde staat de belangrijke opdracht voor het halen van de kerstboom op het takenlijstje. Je kunt niet thuiskomen met een zelf omgezaagde variant van een kersttak. Nee het wordt, net als vorige jaren, een Nordman!

Duur, dat wel. Maar kwaliteit, hé!

Met kerst voor de deur zie ik mensen in de vakantie weer lekker achter de laptop of tablet kruipen. De kerstkaartjes worden virtueel geknutseld en geplakt. Postzegel er op en naar de virtuele brievenbus. Meer mensen, meer tijd en de hang naar nonsensinformatie op je scherm. Laat het werk even het werk. Kerst is bedoeld om je gedachten even terug over het jaar te laten gaan en in gezellig samenzijn over koetjes, kalfjes en ander geluk te spreken.

Ik zie dan ook een gerede kans dat er meer laptops, tablets en smartphones besmet raken. Maar, who cares? We hebben ook nog de rest van de kerstvakantie om de rotzooi van het systeem te vegen. Minder bewust, onder het genot van een warme chocomel, gaat Nederland de digitale snelweg op. Nog even die leuke kerst app laden en dan de wereld aan wensen de ether in slingeren.

Is de kans groter dat juist met kerst meer besmettingen bewaarheid gaan worden? Ik heb geen zin om dat statistisch te gaan onderbouwen. Het is meer een gevoel.

Waar ik jullie nog wel even voor wil waarschuwen is de brandgevaarlijkheid rond kerst. Onderstaand een lijstje met mogelijke oorzaken van brand. 
  • verlichting/trafo kerstboom wordt te warm
  • slechte of overbelaste verlengkabels 230 volt
  • brandbaar materiaal dicht bij lampen, kachels, etc.
  • brandende kaarsen in kerststukjes
  • brandende kaarsen die omvallen of dicht bij de gordijnen staan
  • bijvullen met spiritus van warme branders voor het gourmetten
  • vlam in pan of flamberen tijdens het koken
  • vuurwerk op het toetje
  • niet geveegde schoorstenen
Het is zo logisch. Hier hebben we allemaal wel wat mee. Volendam, Enschede die hebben ons wel wakker geschud. Welke schade binnen de digitale wereld zou hetzelfde effect hebben? Een lek EPD? Een onbetrouwbare overheidsinstelling voor digitale certificaten?

Die laatste heeft natuurlijk het afgelopen jaar wel zijn sporen achtergelaten. We worden steeds bewuster. De overheid werkt daar ook positief aan mee. Maar de vraag is in hoeverre die indrukken blijven hangen?

Als ik denk aan de beelden van Volendam zie ik alle redenen om de bovengenoemde oorzaken van brand goed te checken.

Ik stel me zo voor.

Ministers Opstelten en Schippers staan met een drijfnat pak op het Binnenhof met een stapel, eveneens drijfnat, papier onder de arm (lees: het opengebroken digitale EPD). Onze digitale forensische brandweerman Erik Akerboom (Nationaal Coördinator Terrorismebestrijding) staat in brandweerpak ernaast. Hij houdt de nadruppelende brandweerslang nog in de aanslag.  

Maakt het indruk? Nee, ik zie weer die beelden uit Volendam. Die ontploffing in Enschede.

Leren we van iets wat indruk maakt?

Gisteren hoorde ik alweer dat er meer vuurwerk in omloop is dan vorige jaren. Er zullen wel dode slachtoffers vallen. Dat kan niet uitblijven.

Ik zeg, leg dat natte lekkende EPD op de verwarming. Laat het even drogen. Kruip lekker in de kerstvakantie achter je schermpje. Knutsel een leuk kaartje, laad die leuke app met dansende elanden. Stuur mij alleen geen eigen knutsels via internet. Ook ik wil even niet met mijn beroep bezig zijn.

Zo, nu die Nordman naar binnen slepen. Leuk, die echte kaarsjes er in!
Gepost door op Geen opmerkingen:

woensdag 12 december 2012

Is Noord Korea een Advanced Persistent Threat?


Vanmorgen heeft Noord-Korea een (langeafstands)raket gelanceerd en een satelliet in een vlucht om de aarde gebracht. De North American Aerospace Defense Command bevestigde het bericht. Gelukkig ‘vormden zowel de eerste trap als de tweede trap, inclusief bijbehorende afvalresten, geen gevaar voor Noord Amerika’. 

 
Ik stel me zo voor dat we hier te maken hebben met een geavanceerde tegenstander. Wellicht is de vergelijking met een Advanced Persistent Threat op z’n plaats.

 
Is dat wel zo? Laten we eens kijken naar de karakteristieken van een Advanced Persistent Threat. De volgende figuur geeft de levenscyclus van een APT weer.

 

 
De volgende aspecten zijn karakteristiek voor APT’s:
  • Ze zijn erg doelgericht (targeted). Vooraf wordt in kaart gebracht welk doelwit de meest waarschijnlijke grote buit herbergt.
  • Ze zijn complex. Ze zijn niet gemakkelijk te herkennen doordat ze samengesteld zijn uit verschillende aanvalsmethoden.
  • Ze zijn permanent. Bij de eerste tegenslag laten ze zich niet uit het veld slaan. Vasthoudend als ze zijn blijven ze zoeken naar wegen om de waardevolle informatie te ontfutselen.
  • Ze verstaan de kunst van het ontwijken. APT’s laten zich niet gemakkelijk zien. Ze kunnen nieuwe aanvalsmethoden toepassen op het moment van herkenning. Ze duiken zeer gemakkelijk onder de radar. 
 
De raketlancering van Noord-Korea is niet bepaald doelgericht te noemen. Althans niet gericht op een van hun opponenten (Amerika of Zuid-Korea). Maar wellicht dat hier een geavanceerde aanvalsstrategie achter zit en op later moment vanuit de ruimte een aanval gepleegd wordt? De mate waarin doelbewust voor deze aanval is gekozen valt te bezien. Misschien is het niet meer dan een stukje machtsvertoon en kan van een aanval domweg niet gesproken worden.

 
De complexiteit van de aanval laat zich moeilijker analyseren. Noord-Korea beschikt over de technologie om kernbommen te fabriceren. Op zichzelf is dat complex. Maar de complexiteit van de aanval maakt niet dat een potentiële aanval onherkenbaar blijft. Nogmaals, het kan zijn dat op later moment vanuit de ruimte een onverwachte aanval plaatsvindt. Dan zit momenteel de hele wereld zich onterecht te verontwaardigen over een NKISS (North Korean Impersonating Space Station). En hebben we regelrecht te maken met een atoomwapen.

 
Van de buiteland commentator van BNR (Bernard Hammelburg)  begreep ik dat Noord-Korea nog niet in staat is om hun kernkoppen dusdanig klein te maken dat ze op de langeafstandsraket passen. Het blijft gissen in mijn ogen. Wel staat boven water dat de raketlancering zeer zichtbaar is geweest voor de wereld.

 
Hoe lang het projectiel (lees satelliet) in de ruimte blijft is ook onbekend. Hoelang Noord-Korea in deze hoedanigheid dit soort spelletjes kan blijven spelen op het wereldtoneel is ook de vraag. Kortom, het is onduidelijk welke van de twee het meest permanente karakter heeft (de satelliet of Noord-Korea). Bij het permanente karakter van APT’s hoort ook een stuk vasthoudendheid. Met de geschiedenis van Noord-Korea voor ogen, in een snel veranderende wereld, wordt snel duidelijk dat er sprake is van vasthoudendheid bij de leiding van het land.

 
Hoe ontwijkend is Noord-Korea? APT’s hebben het vermogen om de aanvalstactiek aan te passen als ze op het punt staan ontdekt te worden. Hier is nauwelijks sprake van ‘op het punt staan om ontdekt te worden’. Het enige dat ik me kan voorstellen is het moment waarop de satelliet toch blijkt te beschikken over een geavanceerd wapensysteem. Daarbij is het goed mogelijk dat de communicatie tussen het control center in Noord-Korea en de satelliet te onderscheppen is. Ook hier is maar zeer beperkt sprake van enig ontwijkend karakter.

 
Is hiermee de vergelijking tussen Noord-Korea en APT’s voldoende duidelijk geworden?

 
De vraag is natuurlijk of je überhaupt die vergelijking kunt maken? Feit blijft dat APT’s tegenwoordig in vele verschijningsvormen een realiteit zijn. De dagelijkse werkelijkheid maakt dat organisaties zich echt zorgen moeten maken over verlies of diefstal van gevoelige informatie. Dreigend machtsvertoon van wederzijdse ‘Koude Oorlog praktijken’ speelt geen rol van betekenis hierbij.

 
De eenzijdige toepassing van deze tactieken door een land als Noord-Korea maken nog niet dat de wereld met een directe dreiging te maken heeft. Nauwlettend volgen van de situatie door de VN is het enig juiste wat moet gebeuren. Dat is een van de voordelen die deze raketlancering als gevolg heeft. In tegenstelling tot APT’s is het duidelijk welke dreiging er in de lucht hangt.

 
Wat dat betreft kun je jezelf misschien gelukkiger prijzen met deze situatie dan met de eerstvolgende cyberaanval op je IT-infrastructuur. Dat laat onverlet dat diefstal van vertrouwelijke informatie in geen verhouding staat tot de gevolgen van nucleaire dreiging!

 
APT's hebben de vervelende eigenschap onder de radar te duiken en te blijven. Vooropgesteld natuurlijk dat er een radar aanwezig is binnen de organisatie! Daarbij heeft het merendeel van organisaties enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn (Verizon). Er is geenszins te spreken van 'continuous monitoring'!

 
Dit in tegenstelling tot de raketlancering vanmorgen in Noord-Korea. Daarbij is direct duidelijk geworden dat de wereld op verschillende manieren dit soort activiteiten in de gaten houdt. Hier is weldegelijk sprake van een vorm van 'continuous monitoring'.

 
In mijn vorige blogartikel heb ik gesproken over 'terugkeer naar de basis'. Daar hoort wel de ambitie bij om sterk geautomatiseerd gebruik te gaan maken van security intelligence. Het gebruik van 'continuous monitoring' speelt een belangrijke rol. 

 
Is Noord-Korea een APT? Ik denk van niet. De situatie is wereldschokkend, dat wel. Maar de duidelijkheid van hetgeen gebeurt is maakt de behandeling door bijvoorbeeld de VN realiseerbaar. 

 
Vergelijk die situatie met je eigen organisatie. Is het duidelijk welke cyberaanvallen daar hebben plaatsgevonden? Is een concreet behandelplan actief om de infecties op te ruimen? Of duurt het nog enkele maanden voordat je door hebt dat de IT-infrastructuur geïnfecteerd is? 

 
Wat zul je staan te kijken als blijkt dat de eerstvolgende cyberaanval vanuit Noord-Korea plaatsvindt!

 
Succes met je voorbereiding op cyberaanvallen. 

 

 

 

 
Gepost door op Geen opmerkingen:

dinsdag 11 december 2012

Terug naar de basis


In november heb ik een aantal presentaties gegeven over de voorbereiding op cyberaanvallen. Op zowel het Cybersecurity congres van Heliview als het E-Crime congres vertelde ik over de wijze waarop organisaties zich zouden moeten voorbereiden op cyberaanvallen. Een aantal van de kernpunten in mijn betoog waren de volgende:
  • Meer dan de helft van de organisaties hebben enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn. Het duurt dan vaak nog enkele weken voordat ze de boel opgeruimd hebben (Verizon).
  • Advanced Persistent Threats zijn venijnige dingen. Ze blijven op geavanceerde wijze onder de radar (voor zover die aanwezig is in de organisatie). De malware draait al in de netwerken van organisaties in stealth mode.
  • De kennis voor het detecteren en oplossen van cyberaanvallen is niet in voldoende mate op de arbeidsmarkt aanwezig. In de Verenigde Staten is NICE opgestart om 30.000 cyber security specialisten op te leiden. Verhoudsingsgewijs komen er de komende jaren in Nederland géén 1.500 cyber security specialisten van de hogescholen en universiteiten.
  • Organisaties moeten een geavanceerd Cyber Defense Management System optuigen. Dit is een uitgebreid stelsel van maatregelen en services die gebaseerd zijn op security intelligence. Het systeem wordt gevoed vanuit verschillende feeds, waaronder bijvoorbeeld fraud feeds en geo-location feeds.
Organisaties beschikken gewoonweg niet over de kwaliteiten, de kennis en de ervaring om zich effectief te prepareren op cyberaanvallen. En daar waar ze willen investeren in kennis en/of ervaring is het aanbod de komende jaren minimaal. De keuze om eens met je security partner te gaan praten is in mijn ogen zo gek nog niet. De vraag is echter wat je verwacht van jouw security partner?

Je kunt je daarbij prima laten leiden door best practisces als die van SANS Institute (Twenty Critical Security Controls for Effective Cyber Defense). Op basis van die best practices kunnen bestaande security infrastructuren en het security management stapsgewijs op een hoger plan gebracht worden.

Veel van de organisaties waar ik over de vloer kom leunen nog op een perimeter-based security infrastructuur. Security wordt behandeld als een connectiviteitsvraagstuk. De beschikbaarheid en de performance van de firewall worden geoptimaliseerd. Dit is in mijn ogen dé snelweg naar een enorme crash waarbij vertrouwelijke personeelsgegevens, klantgegevens of patiëntendossiers op straat komen te liggen.

Ik ben ervan overtuigd dat meer security intelligence ingezet zal moeten worden om effectief voorbereid te zijn op cyberaanvallen. Helaas moet ik ook constateren dat in de basis nog veel zal moeten verbeteren voordat effectief gebruik gemaakt kan worden van security intelligence.

Terug naar de basis dus!      

Die basis bestaat uit de best practices zoals die in de SANS Critical Security Controls for Effective Cyber Defense zijn beschreven. Ze zijn ook gelinkt aan de Australische 35 Strategies to Mitigate Targeted Cyber Intrusions. Van deze 35 maatregelen hebben in het afgelopen jaar de eerste vier méér dan 85% van de cyberaanvallen op Australische overheidsinstellingen tegengehouden. We spreken hier over zaken als application whitelisting, patchen van applicaties en OS en beperken van admin rechten (local/domain).  

Nu zullen de meeste security professionals bezorgd zijn over de resterende 15%. Ikzelf maak me voor veel organisaties zorgen over die 85%. In de kern zullen veel organisaties nog alle zeilen moeten bijstellen om bovengenoemde basismaatregelen goed te realiseren. Vergaande automatisering is trouwens een voorwaarde voor een verhoogd effect van bijvoorbeeld de SANS best practices.

Goed voorbereid zijn voor cyberaanvallen lukt niet alleen door stapsgewijs de basismaatregelen in te gaan regelen. Met de wetenschap dat malware al in stealth mode in de netwerken draait bestaat de voorbereiding op cyberaanvallen ook uit een goede incident respons procedures. Wat ga je zeggen tegen de pers? Wie zijn de aangewezen personen om de gedupeerden te woord te staan? Welke weg bewandel je om dit soort bedrijfsrisico’s te managen?

Aan de huidige situatie rondom cyber security kleeft nu eenmaal de vraag ‘wanneer je gehackt wordt’. De vraag ‘of …’ is een gepasseerd station. 

 Ben je er snel genoeg bij? De tijd zal het leren. 

 Blijft het bij één keer? Wie zal het zeggen?

 Maar in ogen van cyber criminelen zijn marketingplannen, pricingstrategieën, ontwerpplannen, klantgegevens en patiëntendossiers toch echt bijzonder aantrekkelijk.

De eerste inbraak is al bezig. De tweede inbraak loert al om de hoek! Dus bereid je voor en bouw je basis security infrastructuur uit!
Gepost door op Geen opmerkingen:
Abonneren op: Posts (Atom)