donderdag 31 januari 2013

Onderzoeksjournalistiek loont!


NRC hoofdredacteur hoopt op meer onderzoeksjournalistiek.

Gisterenavond heeft Peter Vandermeersch in De Wereld Draait Door gepleit voor meer onderzoeksjournalistiek. Dat deed hij naar aanleiding van het gespreksonderwerp waarvoor hij was gevraagd ‘Het einde van de krant’. 

In de hoop dat de krant internet overleeft stelt hij dat meer onderzoeksjournalistiek de redding van de papieren kranten kan betekenen.

Dan maar even het sprongetje naar de onderzoeksjournalistiek van de New York Times. 

 Vier maanden lang hebben Chinezen de IT-systemen van de New York Times geïnfiltreerd. Dit gebeurde naar aanleiding van een achtergrondartikel over de zelfverrijking van de familie van de Chinese leider Wen Jiabao. 

De Chinezen waren op zoek naar sporen van informanten. Webwereld heeft hier al over bericht.

Er is gebruik gemaakt van 45 verschillende soorten ‘op maat gemaakte’ malware. Daarvan werd er slechts één ontdekt en tegengehouden door de endpoint security oplossing die de New York Times in gebruik had. De krant geeft Symantec de schuld van de hack. En andersom!

Helaas wordt weer eens bewezen dat geavanceerde aanvalsmethoden ingezet worden om gericht informatie naar boven te halen. De Chinezen konden de New York Times 4 maanden lang platleggen. Dat was niet de opzet.

Die antivirus oplossing die jij hebt draaien in je netwerk, en die werkt aan de hand van statische signatures, is niet toereikend. Het is een minimum vereiste!

Wat kun je nog méér doen?

Certificering voor ISO 27001 is een stap in de goede richting. Echter mijn ervaring is dat er bij  gecertificeerde organisaties net zo goed kruiwagens vol vertrouwelijke informatie het pand via de achterdeur verlaten.

De huidige IT-security infrastructuren blijken toch ontoereikend te zijn voor de hedendaagse aanvallen. De kloof tussen bekende software en onbekende kwaadaardige software groeit gestaag. De kans dat je als securityorganisatie die ontwikkeling bijhoudt is nihil.

Als securityorganisatie beschik je nu over te weinig budget, kennis, ervaring, middelen en specialisten. Je kunt er maar beter van uitgaan dat je al gehackt bent. Je staat op achterstand.

Twee tips kan ik je geven:
  1. Adopteer een best practices framework met cyber security controls. Bijvoorbeeld dat van SANS
  2. Werk samen met een professionele security provider. Krijg vat op je operationele security management. Contracteer de juiste kennis, ervaring en middelen.

Mocht je verder willen kijken dan je neus lang is, dan raad ik je aan om niet te veel onderzoeksjournalistiek in China uit te voeren.

Voor Peter Vandermeersch van het NRC hoop ik dat onderzoeksjournalistiek het ei van Columbus is voor de kranten. Daarnaast zou ik het op prijs stellen als hij me even belt voor een goed gesprek over operational security management.

 Blijf alert, de cybercriminelen zitten al op je netwerk!
Gepost door op Geen opmerkingen:

dinsdag 29 januari 2013

Bea besteedt koningschap uit! Wat doe jij met je security management?


Durf je security management uit te besteden!

Het is zover, Beatrix besteedt haar koningschap uit. ‘Koning Willem Alexander’ en ‘koningsdag’ daar zullen we aan moeten wennen. Dat ze 75 jaar wordt en dat Nederland 200 jaar een koninkrijk is lijken aanwijzingen dat ze bewust het stokje overgeeft aan haar zoon, de ‘Prins van Oranje’. De vraag is of er voldoende criteria tegen het licht gehouden zijn om te spreken van een ‘weloverwogen’ beslissing.

 


Gesteund door Maxima, heb ik wel vertrouwen in de komende 33 jaar met Lex. Met een gedegen microkredietaanpak weet Lex prima de spaarpotten van de prinsesjes te managen. Ook de waterschappen zullen opleven onder het bewind van de Global Water Manager Lex. Alleen nog maar Chaudfontaine en Vittel uit de kraan!

De vraag is hoeveel vertrouwen jij hebt in je Managed Security Provider?



Sinds de jaren negentig zijn IT-managers naarstig op zoek naar de goedkoopste en meest efficiënte beheeroplossingen voor hun IT-infrastructuur. Operational Excellence maakt dat op procesmatige wijze afwijkingen van de norm zo goed mogelijk worden voorkomen. Veel IT-beheer wordt geoutsourcet naar lage-lonen-landen. Dit werd in 2003 nog eens aangemoedigd door een artikel van Nicholas Carr ‘ITdoesn’t matter’.

Nu wil je als klant echter ook wel eens buiten de grenzen van het ‘wurgcontract’ met je outsourcingspartner treden. Klassiek neemt die partner voor de laagste prijs het beheer van de bestaande IT-infrastructuur over. Daar staat tegenover dat iedere wijziging extra geld kost en enorm veel ophef oplevert om door te voeren. Standaardisatie voert de boventoon, en jij wilde voor een dubbeltje op de eerste rang zitten.

Een beetje Fyra-gevoel bekruipt mij hier toch wel!



 

 Laten we eens kijken naar IT-security.

Security betekent in veel gevallen vertrouwen. Lekken we geen gevoelige data? Is het klantenbestand wel versleuteld? Mag die persoon wel bij die informatie? Hoe weten we zeker dat onze outsourcingspartner geen ongeoorloofde acties uitvoert op de systemen? Hoe weet ik zeker dat het Elektronisch Patiënten Dossier onder de Patriot Act wel veilig is bij de Amerikaanse outsourcingspartner? Dit zijn slechts enkele voorbeelden.

Omwille van Operational Excellence steekt menig IT-Manager nog wel eens de kop in het zand als het om dit soort vragen gaat. Lekker goedkoop en efficiënt, daar wint hij de oorlog mee.


Naar mijn mening is het niet mogelijk om al je security management uit te besteden onder die condities. Allereerst blijf jezelf verantwoordelijk. Uitbesteding van security is een maatregel om goed tegengewicht te bieden aan risico’s die de organisatie loopt. Te weinig resources, kennis, ervaring, capaciteit of tijd zijn goede redenen om te outsourcen. De verantwoordelijkheid blijft echter bij de organisatie zelf!

Als het gaat om beheer van de firewall kun je gerust onder Operational Excellence de boel outsourcen. Die firewall wordt echter steeds slimmer en houdt zich bezig met de hogere lagen van het OSI-model. Ook worden er steeds meer functies op die firewall geconsolideerd. Die situatie brengt twee nieuwe ontwikkelingen met zich mee:
  • De intelligentie die nodig is om gelogde informatie van de firewall te analyseren vraagt kennis van jouw business en de bijbehorende processen. Zonder context geen advies over jouw veiligheid.
  • De technieken die geconsolideerd op de firewall functioneren brengen leercurves, finetuning en organisatorische inbedding met zich mee. Intrusion Prevention en Data Loss Prevention staan bekend om hun false-positives. Die moet je gedurende een aanloopfase terug managen.

Deze twee aspecten vragen een extra inspanning van jouw Managed Security Provider (MSP). Hier redt je het niet met dienstverlening die gekenmerkt wordt door Operational Excellence. Hier verwacht je meer en zal jouw MSP aan de gang moeten met Customer Intimacy. Dan leeft de MSP zich in jouw situatie in en weet exact wat je nodig hebt om jouw bedrijfsprocessen te beveiligen.

Hetzelfde geldt voor diepgaande security analytics als het gaat over Managed SIEM-dienstverlening. Het feit dat je het niet meer zelf hoeft te managen maakt nog niet dat je een veilige dienstverlening hebt. De ‘tick-in-the-box’ is mooi om je auditor om de tuin te leiden, maar strookt niet met de ambitie die je zou moeten hebben om veilige bedrijfsvoering na te streven. Je zult jezelf moeten afvragen wat je nou verwacht van je MSP.

Een advies om in te grijpen op een kritiek punt in je primaire bedrijfsproces, op basis van geconstateerde security events biedt gerichte meerwaarde. Constateren dat er ‘iets mis’ is met een IT-systeem op basis van gecorreleerde security events is niet meer dan een mededeling.   

Voor degenen die de Operational Excellence en Customer Intimacy niet uit elkaar weten te houden is onderstaand een overzicht met kenmerken weergegeven. Ook Product Leadership is weergegeven.



Goed, je blijft dus in je maag zitten met een deel van dat verdraaid lastige security management! Je blijft eindverantwoordelijk, je moet gericht advies eisen van je MSP, die moet zich inleven in jouw specifieke situatie, jij moet meer tijd kunnen spenderen aan security informatie in plaats van beschikbaarheidsaspecten van de firewall, … Je moet voor een dubbeltje op de eerste rang zitten, want niemand heeft de moeite genomen om te berekenen hoe duur de kroonjuwelen zijn. En je moet de outsourcingspartner uitknijpen om meer hoogwaardig advies los te krijgen.

Ik zeg: ‘geen gemakkelijke positie waar je in zit’.

Daarom wens ik je veel sterkte bij je beslissing security buiten de deur te brengen. Vraag je echter wel af wat je exact verwacht van je MSP! Een beetje Operational Excellence en een boel Customer Intimacy.  Laat Product Leadership nog even links liggen. Je wordt geen Messi door de beste voetbalschoenen! Security management leren vraagt tijd, doorzettingsvermogen en incasseringsvermogen om saaie procesmatige werkzaamheden uit te voeren.

Als het jou al zoveel moeite kost, waarom zou je dan voor een habbekrats bij je MSP op de eerste rang willen zitten? Een beetje begrip voor jouw situatie, een beetje inleving en een redelijke factuur voor net dat beetje meer. Ik zou het doen! Pak de telefoon en nodig je MSP uit voor een goed gesprek.

Zou Rutte de rekening al opmaken voor zijn nieuwe Royalness Service Provider Willem Alexander? Gaat de Groene Draeck toch nog zo’n 4 ton op jaarbasis kosten! (Terug te vinden onder de post ‘regulier JSF-onderhoud’).
Gepost door op Geen opmerkingen:

donderdag 17 januari 2013

Wat is jouw record op de 100 meter cyberdefense?


Ben jij al gehackt? Of ben je net zo snel als Usain?

Laten we eens kijken naar Usain Bolt. Wie? Ja, de snelste mens op aarde over 100 meter!

Hij heerst op de korte afstanden. En is met 9,58 seconden wereldrecordhouder op de 100 meter sprint.

Hoe zit zo’n race in elkaar?

Het psychologische spel begint bij de start. Veel lopers proberen zo laat mogelijk bij de startblokken te zijn.

De tijd tussen het startschot en de eerste afzet tegen het startblok bedraagt 0,1 seconde. Dat houdt in dat het startschot vanuit het startpistool bij het oor van de loper komt en daarna reageert zijn lichaam.

Sinds 2003 mocht er 1 valse start gemaakt worden. De eerstvolgende loper die een valse start maakte werd gediskwalificeerd. Hier werd door de lopers op topniveau mee gespeeld. Wederom de psychologische oorlogsvoering. Om dit te voorkomen is de regel in 2010 aangepast. De eerste die een valse start maakt wordt gediskwalificeerd. Een dramatisch gevolg voor Usain Bolt tijdens de wereldkampioenschappen in 2011. Hij werd als gevolg van een valse start gediskwalificeerd.

Halverwege de race bereiken de lopers hun topsnelheid. De primaire focus op de 100 meter sprint is het ‘zo lang mogelijk vasthouden’ van die topsnelheid. Vertragen en versnellen zijn geen tactieken die nuttig zijn op die korte afstand. Het komt meer aan op de kwaliteiten en de techniek van de loper.

De winnaar is degene die zijn torso het eerste over de finishlijn heeft geduwd. Geen armen of benen die hier een rol bij spelen!

De climatologische omstandigheden kunnen van grote invloed zijn. Zeker de luchtweerstand speelt een belangrijke rol. Een staartwind van meer dan 2.0 m/s maakt een record ongeldig. Op grote hoogte is de lucht ijler en is er dus minder weerstand. Die ijlere lucht maakt wel het ademen zwaarder, maar dat mag geen naam hebben op zo’n korte afstand. De zuurstof voor de klachtexplosie zit bij de start al in de spieren.   

Nu wil ik graag de stap naar mijn professie maken. Ik gaf in mijn vorige blogartikel aan dat effectief security management een saaie opeenvolging van procesmatige activiteiten behelst. Je hoeft van mij niet de duurste apparatuur te kopen. Je moet je goed laten trainen en begeleiden om een speler op topniveau te worden!

Toch ben ik erg huiverig als ik kijk wat er nodig is om een topatleet te worden. Waar moet je toe in staat zijn. Een explosie van minder dan 10 seconden wordt bekroond op een verschil van enkele honderdsten van een seconde! Dat is topsport.

Hoe moet dat nou bij jou in de organisatie als je voorbereid wilt zijn op de eerstvolgende hackaanval?

Als we kijken naar de Verizon Data Breach Investigation Reports van 2008 t/m 2012 zien we een schrikbarend beeld. De onderstaande figuren geven het achtereenvolgens weer. Te beginnen bij 2008.

Het duurt bij meer dan 50% tot 60% van de organisaties weken tot maanden vóórdat ze door hebben dat ze geïnfecteerd zijn. 

Vervolgens duurt het bij méér dan 50% van de organisaties weken tot maanden voordat ze de schadelijke gevolgen hebben opgelost.  

Tijdlijn 2008

Tijdlijn 2009

Tijdlijn 2010

Tijdlijn 2011

Tijdlijn 2012

Vergeleken met de sprint op de 100 meter vallen me een aantal zaken op:
  • Er is bij hackaanvallen ook sprake van een psychologische oorlogsvoering. Wanneer vindt de aanval plaats? Welke ingang gebruikt de hacker? Heeft hij al een aantal keren een toenaderingspoging gedaan?
  • Organisaties kunnen geen voordeel behalen  uit enige vorm van staartwind. In de race tegen cybercriminaliteit en hackaanvallen zie je dat slachtoffers achter de feiten aanlopen. Als er sprake is van staartwind, dan is die in het voordeel van de hackers.
  • Hackers maken doorgaans geen gebruik van een startschot. De mogelijkheid om binnen 0,1 seconde uit de startblokken te komen bestaat ook niet. Zou die er wel zijn dan vraag ik me nogmaals af of organisaties die binnen enkele dagen gehoord hebben. Kortom, de snelheid waarmee infecties ontdekt worden zal niet drastisch ingekort worden!
  • Er is geen nadeel van diskwalificatie door een valse start. Per definitie maakt de aangevallen organisatie een valse start. Door pas na maanden te reageren. Hier is een verbetering mogelijk door de analyse van security informatie te verbeteren. Het signaleren van infecties moet effectiever!
  • Als de infectie eenmaal is ontdekt dan zie je iedereen rennen binnen de organisatie. Op naar de topsnelheid!. Voor zover een gelijkenis met de 100 meter sprint. Toch zakken veel organisaties af naar de sukkeldraf om er vervolgens weken tot maanden over te doen om de rotzooi op te ruimen. Vasthouden van de topsnelheid is een significant verbeterpunt in mijn ogen!
  • Climatologische voordelen kan ik niet bedenken. Of het moet zijn dat een ongetrainde organisatie na het ontdekken van een infectie in ademnood komt als ze opschakelen naar topsnelheid. De vergelijking met een hooglandbaan kan ik me dan nog voorstellen. Moeten we wellicht genoeg zuurstof in de organisatorische spieren hebben om een sprint aan te kunnen tegen de hackers?
  • En dan de finish. Die finish is toch echt pas bereikt als de rotzooi is opgeruimd, de lessons learned zijn vastgelegd en de signaleringsmogelijkheden zijn verbeterd en de organisatie zich de nieuwe crisisprotocollen eigen heeft gemaakt. De hacker heeft op topsnelheid zijn medaille al afgehaald.

OK, we kunnen niet allemaal Usain Bolt zijn. We kunnen ook niet allemaal de nummer twee van de wereld zijn. Maar het geeft te denken dat we wel de snelste, de meest klantvriendelijke en de meest kostenbewuste organisatie met de kleinste carbon footprint op deze aardkloot willen zijn. En dat zonder enige mate van voorbereiding op cybercriminaliteit.  

Mijn vraag aan jou is: ‘Hoe ga jij je voorbereiden op cybercriminaliteit?’

Ga je naar de gym (lees ‘security partner’) en laat je jezelf begeleiden om sneller door te hebben dat je geïnfecteerd bent? Of ga je door met aanmodderen om wellicht de volgende keer al na één maand de infectie te detecteren?

Je hebt geen keuze. Je moet een trainingsprogramma gaan draaien alsof je een topsporter bent. Je redt het niet met een ‘Sonja Bakker dieet’.

Luister trouwens naar het interview van Oprah met Lance Armstrong. Wellicht dat hij nog een goed idee heeft om jou een glansrijke carrière als ‘top security professional’ te garanderen.   

Stuur me even je nieuwe trainingsschema voor de komende twee maanden op! Wellicht kun je nog wat tips gebruiken?

Gepost door op Geen opmerkingen:

zaterdag 5 januari 2013

Op een oude fiets moet je het leren


In mijn jeugd heb ik veel gesport. Ik speelde hockey en tennis. Daarbij spreek ik niet over topsport maar er bestond wel aandrang om te winnen en steeds beter te willen spelen. Nu zijn hockey en tennis sporten waar je veel creativiteit in kwijt kunt. Er zijn weinig stramienen waarbinnen je moet blijven om tot een goede prestatie te komen.

 Op een gegeven moment kwam er een squashclub in het dorp. Een grote hal werd neergezet en ik was gelijk verkocht. Tennis werd ingeruild voor squash en ik begon fanatiek mijn vrije tijd in het spelletje te stoppen. Het eerste seizoen waren er al clubkampioenschappen en ik stond in de finale tegen een sluwe ervaren vos. Met 3-0 werd ik van de baan gemept. Maar ik was wel tweede bij de clubkampioenschappen!

In de jaren hierna nam het fanatisme niet af en heb ik steeds de uitdaging gehad om squash te spelen via vaste stramienen. Lange slagenwisselingen en een groot gebrek aan creativiteit. Ballen moesten strak langs de muur geslagen worden. Ook de juiste lengte speelde een belangrijke rol. Met mijn niveau heb ik eigenlijk altijd geworsteld om die stramienen tot in perfectie uit te kunnen voeren.

In de beginjaren is in die strijd, mede door de onkunde van een startende squashspeler, menig racket gesneuveld. De ontwikkeling op het vlak van het materiaal was enorm. En ik ben vaak gezwicht voor de nieuwste en mooiste rackets. Drie weken later stond ik dan weer met een kapot racket op de baan. Het mooie was dat de fabrikanten hun rackets voorzien hadden van de tekst 'Due to the nature of the game of squash we can not guarantee this racket'.

 Briljant, je kocht een duur racket, maar de garantie was niet eens tot aan de deur. Gewoonweg omdat er teveel muren in het spel zijn waartegen je het racket kunt beschadigen.

Waarom vertel ik je dit? Twee zaken die ik hierboven beschrijf zie ik in mijn professie terugkomen.

Vooropgesteld, ik zie veel organisaties fanatiek hun IT en bijbehorende security regelen. Toch valt het op dat veel investeringen in security gebaseerd worden op de keuze van het beste apparaat. Na veel 'Fear, Uncertainty en Doubt' door fabrikanten en commerciële broeders van 'Wij van WC-eend' kiezen organisaties vaak voor het 'beste' product. De kostenoverwegingen even daargelaten.

Het tweede aspect is het gebrek aan structuur waarmee securityprocessen worden uitgevoerd. Soms voeren organisaties te weinig securityprocessen uit. Elders houden organisaties er een ad-hoc beleid op na en wordt pas gereageerd als er een virusinfectie plaatsvindt.

Gelukkig worden technische securityoplossingen wel gegarandeerd en kun je er denkbeeldig naar hartelust mee tegen de muren van je securityorganisatie aan slaan. Toch maakt de beste apparatuur je nog niet de professional die je moet zijn in dit vakgebied. Messi scoort meer dan 85 keer in een seizoen, maar niet doordat hij de beste schoenen draagt. Hij is wel de beste speler, en krijgt daarom ook de beste schoenen. 

 Ik zie de fabrikanten trouwens nog niet hun apparatuur sponsoren aan organisaties die security op topsport niveau willen uitvoeren.

 Je zult daarnaast security moeten gaan organiseren volgens saaie vaste stramienen van security management. Enerzijds het leren spelen op een gestructureerde wijze, en anderzijds het volharden in het steeds beter uitvoeren van de vaste stramienen maken je tot de profspeler die je moet zijn.

Als squashspeler luisterde ik goed naar mijn trainer. Hij leerde mij een betere speler te worden. Ook gaf hij me advies over mijn materiaalkeuze. Gelukkig trof ik trainers die met beide voeten op de grond stonden, en koos ik voor goed materiaal. De duurste rackets bleven in de winkel. Ze hebben me geleerd hoe ik via lange vaste stramienen de mogelijkheid had om steeds beter te gaan spelen. Het was aan mij en mijn gebrekkige talent om daarbij het onderste uit de kan te halen.

Tegenwoordig sta ik niet vaak meer op de squashbaan. De instelling om steeds beter te worden is niet gewijzigd. Professioneel bezoek ik daarom regelmatig een coach die mij leert werken volgens vaste stramienen. Het doel is om beter te worden.

Ik wil je meegeven om goed na te denken over de wijze waarop je security organisatiebreed wilt opzetten. Verlaat het ad-hoc beleid en overweeg welke risico's je wilt afdekken. Zoek daar de goede middelen voor. Daarnaast zul je procesmatig aan de gang moeten. Security management is wat anders dan ITIL, ITSM of COBIT. De verwevenheid daarmee is bij de een groter dan bij de ander. Maar security management kent een eigen set processen en procedures die vervlochten moeten worden met de processen van je IT-beheer.

Die procesmatige aanpak maakt security management net zo saai als een slagenwisseling van 20 tot 30 forehandslagen langs de muren van een squashbaan. Maar net als met squash kun je jezelf bij security management geen rare fratsen veroorloven. Die worden direct afgestraft.

 Ik heb al vaker aangegeven dat je eens met de juiste security partner om tafel moet gaan zitten. Bespreek dan waar je volgend jaar wilt staan op het gebied van security management. Laat je begeleiden en opleiden tot een betere speler op het vlak van security. Leer lange saaie slagenwisselingen te maken op het gebied van security. Laat je niet iedere keer verleiden tot het aanschaffen van de duurste materialen.

Als je de opzet en de uitvoering van het spel niet beheerst maken de duurste technische hulpmiddelen geen prof van je! 

 Anders dan de titel doet vermoeden zul je de oude fiets niet moeten gebruiken. Haal echter wel het beste uit je huidige security infrastructuur! Dat lukt door een goede procesmatige opzet van het beheer en het bijbehorende security management.

 Ik hoor graag waar jij volgend jaar wilt staan op het gebied van security. Waar wil jij beter in worden? Welke aspecten van security management in jouw organisatie wil je beter gaan organiseren en uitvoeren?

 Succes met de volgende virusuitbraak!
Gepost door op 1 opmerking:

woensdag 2 januari 2013

Houdt jouw voornemen stand?


Allereerst, de beste wensen voor een veilig 2013!

 Voor een beetje voornemen heb je jezelf de afgelopen feestdagen behoorlijk rondgegeten. Oliebolletje en een appelflapje erin. En na 30 dagen vermageren, diëten, rennen, zweten en het vervloeken van de weegschaal geef je er weer de brui aan. 

 Die voornemens zijn eigenlijk de beste voorspellingen voor zo’n nieuw jaar. Je houdt het toch niet vol. Daar kun je met grote zekerheid van uit gaan. Beter nog dan Gartners voorspellingen over IT-security. Daar voegden ze nog wel eens een probability van zo’n 70% aan toe. Die 70% is veilig. Het is een beetje waar, maar toch ook weer niet. Je kunt Gartner er niet op afrekenen. Zullen ze wel een disclaimer voor hebben.

 Halen jouw IT-security voornemens die 70% dit jaar? Verschillen ze van jouw persoonlijke voornemens (afvallen, …)? Heb je hoop dat je jouw IT-security voornemens wel succesvol realiseert? Natuurlijk, die wel! In tegenstelling tot het afvallen dat zeker strandt. 

 Waar mik jij op in 2013? Meer firewalls, betere firewalls, goedkopere firewalls, efficiëntere firewalls, …? Of doe je het eens een jaartje zonder firewall? Ja, dat is een goed idee! Gewoon een jaartje open en bloot aan het internet. Dan ben je ook af van al die onzekerheid of de organisatie wel veilig is. Weg met die valse zekerheid. Trek de firewall gewoon uit je netwerk. 

 Even een disclaimer van mijn kant: ‘ik adviseer je om de firewall gewoon in je netwerk te laten zitten’. Ik wil niet dat een manager bij jou in de organisatie mij aansprakelijk gaat stellen voor iets dat allang aan de gang is in jullie netwerk. De malware is daar in stealth mode al bezig om kostbare vertrouwelijke informatie te verzamelen. 

 Ik kan die uitspraak makkelijk doen. Volgens Verizon zijn meer dan de helft van de organisaties er pas na maanden achter dat ze geïnfecteerd zijn. Ook de antivirus oplossing bij jou in het netwerk faalt bij zo’n 70% van de bedreigingen. 

 ‘Doemdenker’ hoor ik je al zeggen. Nee, integendeel. Er zijn mooie kansen om op te pakken. 

 Ikzelf zou de handschoen oppakken om van 50% risicodekking naar bijvoorbeeld 75% of 80% te komen. Laat die ambitie om van 95% naar 98% te komen varen. Je zit namelijk pas op 50%. Let wel, iedere organisatie kent natuurlijk een eigen grens ten aanzien van de acceptabele restrisico’s. 

 Ga van start met een goede set best practices. Bijvoorbeeld die van SANS of van de Australische overheid. Het mooie van de Australische best practices is de top vier maatregelen. Die hebben in het afgelopen jaar meer dan 85% van de cyberaanvallen op Australische overheidsinstellingen tegengehouden. Die top vier bestaat uit:

  • Application whitelisting
  • Patchen (applicaties)
  • Patchen (OS)
  • Beperken van admin rechten (local/domain)

Het zijn zeer fundamentele maatregelen, die in mijn opinie onvoldoende aandacht krijgen in veel organisaties. 

 Specifiek wil ik even stilstaan bij application whitelisting. Daar zijn een aantal zaken interessant.  

  • Weet jij wie welke applIcaties gebruikt?
  • Op welke manier worden applIcaties gebruikt?
  • Zijn gebruikers zich bewust van het gebruik van ongewenste applicaties?
  • Zijn gebruikers zich bewust van applicatiegebonden risico’s?
  • Hoeveel bandbreedte nemen ongewenste applicaties voor hun rekening?
  • Hoe pas je policies voor ongewenste applicaties toe over verschillende gebruikersgroepen?
  • Hoeveel productiviteit gaat verloren door het gebruik van ongewenste applicaties?
  • Is er een mogelijkheid om integriteit van applicaties en apps te achterhalen?
  • Hoe voorkom je dat ongewenste applicaties geïntroduceerd worden door gebruik van USB-sticks, CD/DVD en het downloaden vanaf internet?
  • Application whitelisting houdt in dat ongewenste applicaties niet geïnstalleerd kunnen worden. 
  • Ongewenste applicaties mogen ook niet worden opgestart of uitgevoerd.
  • Goede aandacht voor application whitelisting krijg je door te starten bij hoger management. Die gebruiken minder applicaties zodat het aantal false positives beter te managen is.  
  • Application whitelisting is onderdeel van verschillende endpoint security oplossingen.
  • Gebruik wel een oplossing die vanuit centraal management eenduidig een policy kan invoeren en beheren. Combineer die policy over de perimeter en de endpoints

Een hoge mate van automatisering is voorwaarde bij het verhogen van de risicodekking!

 Wat ik je mee wil geven is de uitdaging om een eenduidlige policy die geldt binnen de perimeter door te trekken naar de werkplek. Gebruik daar de juiste endpoint security oplossing voor. De perimeter is slechts één van de vele ingangen in de organisatie. Ook jouw organisatie heeft smartphones en tablets aangesloten op het netwerk waarvan je geen weet hebt. Ook jouw organisatie doet zaken met partijen waarvan je niet weet dat er vertrouwelijke informatie mee wordt uitgewisseld. Ook jouw organisatie kent medewerkers die vertrouwelijke bedrijfsinformatie op dropbox hebben neergezet. 

 Ik doe geen voorspellingen. Maar gezond verstand zegt me wel dat bewezen maatregelen ook effectief kunnen zijn in jouw omgeving. Heb je de holy grail te pakken? Misschien niet, maar je bent een goed eind op weg. 

 Voor de komende maand afzien bij het afvallen wil ik je nog succes wensen. Weten dat je gaat opgeven op 31 januari en toch stug volhouden. Dat kenmerkt de echte stijfkop! En dat is wat je moet zijn de komende tijd om ongewenste applicaties uit je netwerk te houden.

 Terug naar de basis en op naar de juiste risicodekking! 

Gepost door op Geen opmerkingen:
Abonneren op: Posts (Atom)