zondag 20 oktober 2013

READY FOR ACTION – CYBERAANVALLEN BESTRIJDEN

In een voorgaand blogartikel (Wat is jouw record op de 100 meter cyberdefense?) heb ik je al gevraagd of je voorbereid was op cyberaanvallen.

Het bestrijden van cyberaanvallen, zoals een Advanced Persistent Threat (APT), vraagt om intensieve voorbereiding  op het onverwachte. Dat zie ik terug bij klanten. In 2013  staat bij hen eigenlijk maar 1 vraag centraal.

Wat gebeurt er allemaal in mijn infrastructuur?


Organisaties weten niet:
  • Hoe hun infrastructuur er uit ziet.
  • Welke kwetsbaarheden er zijn.
  • Welke maatregelen ze hebben genomen.
  • Hoe effectief de maatregelen hun werk doen.
  • Wie ongeoorloofd toegang hebben tot gevoelige data.
  • Waar de gevoelige data is.
  • Wanneer aanbevolen (en goedgekeurde) oplossingen eindelijk ingevoerd worden.

Zo kan ik nog wel even doorgaan. Feit is dat het hier om basale vragen gaat die iedere organisatie al lang moet kunnen beantwoorden. Op het eerste oog lijkt het er op dat IT-Managers hun verantwoordelijkheid niet kennen. Of ligt het toch lastiger?

Het nare aan APT’s is hun complexiteit, hun vasthoudendheid en ze blijven steeds slim onder de radar opereren. Ze verpakken hun communicatie met Command & Control servers (C&C) in DNS-verkeer. Of ze sturen requests naar random domeinnamen waarop uiteindelijk een C&C-server reageert. Hoe krijg je dat dan wel in beeld?

Organisaties schaffen wel tooling voor securitymonitoring aan, maar het merendeel van hun tijd zijn ze bezig om die tooling te beheren. Ze werken niet MET de tooling. Eigenlijk tuigt de IT-afdeling een informatiesysteem op waarbij ze zelf gebruiker zijn. Ze hebben echter geen gebruikers aangewezen voor het werken met die tooling. Dan heb ik het over gebruikers die de verantwoordelijkheid en de tijd hebben om er mee te werken!   

OK, wel tooling maar geen gebruikers van die tooling. Dat is een klein schoonheidsfoutje.

Maar de realiteit is dusdanig dat APT’s slimmer worden. Daar hoort dus een nog grotere hoeveelheid tooling en informatie tegenover te staan. Dat is de redenatie in de vakbladen.

Lol! Nog meer tooling in organisaties die wel beheerders, maar geen gebruikers, hebben voor die tooling .

Als je denkt dat tooling je ultieme redmiddel is, vergeet het dan maar. Je zult als IT-afdeling extra kwaliteiten moeten ontwikkelen om APT’s te ontdekken. Vergelijk het met de blinde jongen uit de onderstaande film. Zijn ogen zijn op jonge leeftijd operatief verwijderd. Intussen heeft hij zijn andere zintuigen optimaal ontwikkeld waardoor hij op basis van klikgeluid van zijn tong zijn omgeving kan verkennen. Verbaas jezelf gerust eventjes.


Mooi hè?

Deze week  werd trouwens de icane geïntroduceerd. Een blindenstok die communiceert met de smartphone. En dan kan ik natuurlijk niet voorbijgaan aan de trouwste vriend van de mens. De blindengeleidehond.

Een kwaliteit die sterk bepalend is voor het effectief bestrijden van cyberaanvallen, en andere securityincidenten, is samenwerking. Noem het teamwork.


Overal is het duidelijk dat de mannen van het securityteam prima dingen doen. Toch is er geen gezamenlijke inspanning op dat vlak. Een voorgestelde oplossing voor een lek in de werkplekomgeving ligt na 1,5 jaar gewoon nog te wachten op invoering. Luisteren naar de mannen van security gebeurt niet.

Twee dingen die ik daarover kwijt wil:
  1. Beste teamleider van security operations, als je niet gehoord wordt moet je er op af. Zing een ander deuntje, gebruik andere overtuigingstechnieken, regel dat je gehoord wordt. Zorg dat ze naar je luisteren.
  2. Beste IT-manager, neem je verantwoordelijkheid. Zorg dat de mannen van security operations ruimte krijgen om hun werk te doen. Jaag alle teamleiders van werkplekbeheer, systeembeheer, netwerkbeheer en applicatiebeheer, samen met security operations, in een hok. Draai de deur op slot en laat ze er pas uit als ze eensgezind een aanvalsplan hebben opgesteld voor samenwerking op het gebied van security operations. Pak die bal op. Breek muurtjes af, laat ze van elkaar leren. Zorg er voor dat ervaring niet wegvloeit naar praatfuncties als IT-architecten. Maak operations leuk. Het is een vak waar je alleen terecht komt als je jaren ervaring achter de kiezen hebt. 

Goed, voor zover het domineesvingertje.


Ik zie ook veel organisaties die nadenken over het outsourcen van hun operationele securitybeheer. Niet alleen het beheer van hun securityinfrastructuur, maar ook security monitoring. Organisaties vinden het niet hun kerntaak. Of ze zijn al jarenlang niet in staat om hun operationele securitybeheer en/of –monitoring  op de rit te krijgen.

Dat laatste is niet verwonderlijk als je het eerste gedeelte van dit blogartikel in het achterhoofd houdt. Het is niet makkelijk, zeker niet als je aangeschafte tooling alleen maar afstoft en niet functioneel gebruikt.


Maar als je security gaat uitbesteden kom je vanzelf de klassieke valkuilen tegen:  
  • Je denkt dat je verantwoordelijkheid kunt uitbesteden.
  • Je ziet de partij waaraan je uitbesteedt als leverancier en niet als partner.
  • Je wilt voor een dubbeltje op de eerste rang zitten.
  • Je betaalt een fixed price voor een fixed service. Ieder stapje meer heet méérwerk, met dito factuur.
  • Je laat het na om in de eigen organisatie goed third-party management op te tuigen.
  • De cultuur van je eigen organisatie sluit niet aan bij die van je ‘securitypartner’ (klopt ook wel als je die slechts ziet als leverancier).
  •  

Ook hier kan ik nog wel even doorgaan.

De uitdaging is om samenwerking te verweven in de uitbestedingsrelatie. Dat is niet altijd het uitgangspunt voor de klant. Maar ik ben wel blij dat veel organisaties zich toch over laten halen om security operations goed te organiseren.

Bij intakegesprekken voor uitbesteding zie je steeds weer dat medewerkers elkaar aankijken als gevraagd wordt: ‘wie pakt bij jullie securityincidenten op waar wij geen mandaat hebben?’. Daar raak je direct het keiharde gebrek aan samenwerking binnen de klantorganisatie als het gaat om security operations.

Zo’n incidentmelding moet gelijk opgepakt kunnen worden. Delegeren is ook prima, maar wel aan iemand die voldoende mandaat heeft. Veelal duidt het ‘elkaar aanstaren’ op gebrek aan zeggenschap, veel hiërarchie, gescheiden beheersilo’s en een starre verticale organisatie. Van horizontale verbinding is geen sprake.  


Een uitbestedingsrelatie moet groeien. De securitypartner moet in staat zijn om klantorganisaties te leren hoe ze operationeel securitybeheer moeten uitvoeren. De eindverantwoordelijkheid ligt bij de klant. Die heeft nog steeds intern securitytaken liggen die de securitypartner niet kan of mag uitvoeren. Bij de securitypartner moeten alle valkuilen van horizontaal verbinden en teamwork vermeden, of opgelost, zijn.


Kennis moet tussen de bureaus door vloeien. De operators moeten de strategische functies invullen binnen de organisatie. Zij zijn leidend als bij de klanten de IT-infrastructuur wordt gehackt.  

Ik verkeer vaak in de situatie waardoor ik klanten, die outsourcing overwegen, de juiste handvatten kan bieden. Ik bouw op die manier dagelijks aan samenwerking met klanten. Zij zijn hierdoor vrijwel direct in staat om cyberaanvallen te bestrijden.

Mooi toch, als er in samenwerking weer een incident voorkomen is? Zeker als er van geleerd wordt en de uitbestedingsrelatie toch weer mensenwerk blijkt te zijn. 

Wanneer spreken wij elkaar over effectieve security operations?

Geen opmerkingen:

Een reactie posten