Fijn, we mogen weer aan
de gang. De zinnen zijn verzet.
De vakantie is achter de rug.
De vakantie is achter de rug.
Waar vakantie voor velen betekent dat er platgelegen wordt heb ik zelf al menig jaar achter de rug met een dakkoffer vol boeken. De eega is namelijk professioneel boekenverslindster en vakantie heeft zo voor iedereen dus een andere betekenis.
Zelf neem ik twee spannende
boeken mee en onderhoudende vakliteratuur. Die twee boeken lees ik uit, maar de
vakliteratuur daar kom ik niet aan toe. Jammer toch, want de NSA zit ook niet
stil. Blijkt nog eens dat ze veel meer kunnen zien dan wat we tot nu toe dachten! Als security professional moet je dus wel al je vrije tijd gebruiken
om op de hoogte te blijven.
Die zomermaanden draaien dus
eigenlijk maar om één ding - informatieverwerking.
De eega leest een
dakkoffer leeg, de NSA kijkt door een typefout naar de elektronische berichtgeving van héél Egypte en ikzelf lees twee spannende boeken. Nu heb ik deze zomer een
meevaller ervaren. De eega had nog wat kadobonnen over en heeft daar een
e-reader voor gekocht. Tientallen boeken in één hand. Dat betekende echter niet
dat de dakkoffer thuis kon blijven. De vrijgekomen ruimte hebben we gevuld met
allerlei andere nuttige vakantiespullen.
Eenmaal thuisgekomen concludeerde ik dat, als ik de sleutel van de dakkoffer was kwijtgeraakt, er niemand naar zou kraaien. Voor zover was deze vakantie dus nog steeds een zware klus met de montage van het ding, het volladen van het ding, het onbenut weer uitpakken van het ding en het weer losmaken en opbergen van het ding.
Maar goed, laten we even
bij de informatieverwerking blijven.
De laatste vakantiedag
heb je de werklaptop of werktablet weer aangeslingerd en de inbox ontploft alweer.
De stress begint dus al voordat je klaar bent voor de eerste werkdag. Ook
informatieverwerking!
Waar het me om gaat is de
explosie aan informatie waaraan we als security professionals worden
blootgesteld. Big data is de heilige graal bij het oplossen van alle
ineffectieve securitymaatregelen. Continuous monitoring, reporting, SIEM,
correlation, incident management, .. Allemaal informatieverwerking! Nu dachten
we dat SIEM een schone dood gestorven was. Maar in werkelijkheid is SIEM een
eerste stap in de goede richting geweest.
Alles verzamelen,
normaliseren, correleren, analyseren en rapporteren.
Probleem is echter dat
SIEM-projecten per definitie schuivende panelen kennen. Alles moet worden
verzameld en iedereen voelt zich eigenaar van de data. Er is dus geen eindverantwoordelijke
beheerder. Bijkomend nadeel is dat we al ons vertrouwen in de techniek hebben
gelegd. We zijn als security professionals onvoldoende in staat om al die
bergen informatie goed in te kaderen en de juiste informatie er uit te halen.
Daarom lieten we dat over aan de machines.
Verzamelen zonder onze
eigen informatiebehoefte te kennen. Hoeveel organisaties hebben netjes
vastgesteld welke security informatie ze allemaal willen en kunnen verwerken?
Hoeveel van die organisaties hebben de juiste middelen daarvoor vrijgemaakt?
En dan heb ik het niet
over de technische infrastructuur, maar over mensen, kennis, ervaring,
vaardigheden!
Er zijn onvoldoende
security professionals die beschikken over de juiste kennis, ervaring en
vaardigheden om de juiste informatieverwerking onder tijdsdruk goed uit te
voeren. Steeds meer nadruk komt te
liggen op de juiste sociale vaardigheden van security managers om security
onder de aandacht te brengen bij de directie. Dat is op zich een goede
ontwikkeling. Maar de realiteit met Advanced Persistent Threats (APT) vraagt om
een juiste voorbereiding op het eerstvolgende incident. OK, daar heb je geld voor nodig van de witte
boorden. Maar je moet nu al op zoek naar de juiste mensen.
APT’s hebben de neiging
onder de radar te blijven. Dat betekent dat security professionals in staat
moeten zijn om overal afwijkende zaken te kunnen waarnemen. Dat vraagt
inderdaad om tooling. Maar ik maak me zorgen om de verwerking van al die
informatie. Gedurende een incident zal dat onder tijdsdruk moeten.
Ik denk dan aan Sherlock
Holmes die in staat is om alle details in zijn omgeving waar te nemen. Hij is
zelfs in staat om die informatie op te slaan in de hersenpan. Hij filtert daar
echter uit wat ter zake doet en weet iedereen te verbazen met de juiste
conclusies.
Tegen Watson zei hij
eens:
‘How often have I
said to you that when you have
eliminated the impossible, whatever remains, however
improbable, must be the truth?’
Hij filterde al het onmogelijke uit zijn waarnemingen en wat
overbleef moest dan wel de waarheid zijn (deductie).
´Deductie´, ´abductie´ - allemaal
terminologie die wijst op een wetenschappelijke aanpak. Analyses van zijn
aanpak roemen zijn opmerkingsvermogen, maar spreken ook van een grote dosis
geluk aan zijn zijde. Zijn geestelijk
vader, Sir Arthur Conan Doyle, wilde natuurlijk wel dat Sherlock de misdaden
zou oplossen.
Dat Sherlock Holmes
gebruik maakte van diverse technieken is leuk om eens verder te bekijken (maar
niet nu en niet hier).
Een voordeel voor
Sherlock Holmes was het gebrek aan tijdsdruk. Dat is tijdens een security
incident wel anders.
Hoe goed zijn de security
professionals bij jou in de organisatie in staat om onder tijdsdruk de juiste
waarnemingen te doen, filters toe te passen, analyses uit te voeren en
conclusies te trekken? Roep dan niet dat SIEM dat juist allemaal doet. De
bedenkers van SIEM hebben standaard correlatieregels toegepast die misschien
net niet de juiste zaken aan het daglicht brengen in jouw specifieke situatie.
Daarnaast hebben jouw security professionals eigen regels toegevoegd.
Beschikken zij over de juiste vaardigheden om alle goede correlaties in te
voeren?
Bijkomend feit is dat
aanvullende monitoringtools in de praktijk nauwelijks zijn ingebed in SIEM
(ondanks de mogelijkheden daartoe). Als de organisatie nu wordt aangevallen
moeten de security professionals op meerdere schermen tegelijk hun informatie verzamelen.
Ik gun iedere organisatie
een team met de analytische vermogens van Sherlock Holmes. De realiteit is dat
die professionals nauwelijks op de arbeidsmarkt aanwezig zijn en ze worden ook niet in grote getalen
opgeleid op de hogescholen en de universiteiten.
Hou hierbij in gedachten
dat Sherlock Holmes slechts op papier bestaat!
Wellicht zijn we als mens
niet eens in staat om deze vermogens aan te spreken. Laat staan dat de evolutie
ons in staat heeft gesteld die vermogen te ontwikkelen.
Intussen laad ik de
digitale serie van Sherlock Holmes op de e-reader van de eega. Ik kijk nu al
uit naar de volgende vakantie. Niks ‘zware klus’ die informatieverwerking
tijdens de vakantie.
Succes met het volgende
security incident.
