Vakantie - een zware klus al die informatieverwerking

Fijn, we mogen weer aan de gang. De zinnen zijn verzet. 
De vakantie is achter de rug.

Waar vakantie voor velen betekent dat er platgelegen wordt heb ik zelf al menig jaar achter de rug met een dakkoffer vol boeken. De eega is namelijk professioneel boekenverslindster en vakantie heeft zo voor iedereen dus een andere betekenis.

Zelf neem ik twee spannende boeken mee en onderhoudende vakliteratuur. Die twee boeken lees ik uit, maar de vakliteratuur daar kom ik niet aan toe. Jammer toch, want de NSA zit ook niet stil. Blijkt nog eens dat ze veel meer kunnen zien dan wat we tot nu toe dachten! Als security professional moet je dus wel al je vrije tijd gebruiken om op de hoogte te blijven.

Die zomermaanden draaien dus eigenlijk maar om één ding - informatieverwerking.

De eega leest een dakkoffer leeg, de NSA kijkt door een typefout naar de elektronische berichtgeving van héél Egypte en ikzelf lees twee spannende boeken. Nu heb ik deze zomer een meevaller ervaren. De eega had nog wat kadobonnen over en heeft daar een e-reader voor gekocht. Tientallen boeken in één hand. Dat betekende echter niet dat de dakkoffer thuis kon blijven. De vrijgekomen ruimte hebben we gevuld met allerlei andere nuttige vakantiespullen.

Eenmaal thuisgekomen concludeerde ik dat, als ik de sleutel van de dakkoffer was kwijtgeraakt, er niemand naar zou kraaien. Voor zover was deze vakantie dus nog steeds een zware klus met de montage van het ding, het volladen van het ding, het onbenut weer uitpakken van het ding en het weer losmaken en opbergen van het ding.  

Maar goed, laten we even bij de informatieverwerking blijven.

De laatste vakantiedag heb je de werklaptop of werktablet weer aangeslingerd en de inbox ontploft alweer. De stress begint dus al voordat je klaar bent voor de eerste werkdag. Ook informatieverwerking!

Waar het me om gaat is de explosie aan informatie waaraan we als security professionals worden blootgesteld. Big data is de heilige graal bij het oplossen van alle ineffectieve securitymaatregelen. Continuous monitoring, reporting, SIEM, correlation, incident management, .. Allemaal informatieverwerking! Nu dachten we dat SIEM een schone dood gestorven was. Maar in werkelijkheid is SIEM een eerste stap in de goede richting geweest.

Alles verzamelen, normaliseren, correleren, analyseren en rapporteren.

Probleem is echter dat SIEM-projecten per definitie schuivende panelen kennen. Alles moet worden verzameld en iedereen voelt zich eigenaar van de data. Er is dus geen eindverantwoordelijke beheerder. Bijkomend nadeel is dat we al ons vertrouwen in de techniek hebben gelegd. We zijn als security professionals onvoldoende in staat om al die bergen informatie goed in te kaderen en de juiste informatie er uit te halen. Daarom lieten we dat over aan de machines.

Verzamelen zonder onze eigen informatiebehoefte te kennen. Hoeveel organisaties hebben netjes vastgesteld welke security informatie ze allemaal willen en kunnen verwerken? Hoeveel van die organisaties hebben de juiste middelen daarvoor vrijgemaakt?

En dan heb ik het niet over de technische infrastructuur, maar over mensen, kennis, ervaring, vaardigheden!

Er zijn onvoldoende security professionals die beschikken over de juiste kennis, ervaring en vaardigheden om de juiste informatieverwerking onder tijdsdruk goed uit te voeren.  Steeds meer nadruk komt te liggen op de juiste sociale vaardigheden van security managers om security onder de aandacht te brengen bij de directie. Dat is op zich een goede ontwikkeling. Maar de realiteit met Advanced Persistent Threats (APT) vraagt om een juiste voorbereiding op het eerstvolgende incident.  OK, daar heb je geld voor nodig van de witte boorden. Maar je moet nu al op zoek naar de juiste mensen.

APT’s hebben de neiging onder de radar te blijven. Dat betekent dat security professionals in staat moeten zijn om overal afwijkende zaken te kunnen waarnemen. Dat vraagt inderdaad om tooling. Maar ik maak me zorgen om de verwerking van al die informatie. Gedurende een incident zal dat onder tijdsdruk moeten.

Ik denk dan aan Sherlock Holmes die in staat is om alle details in zijn omgeving waar te nemen. Hij is zelfs in staat om die informatie op te slaan in de hersenpan. Hij filtert daar echter uit wat ter zake doet en weet iedereen te verbazen met de juiste conclusies.

Tegen Watson zei hij eens:

‘How often have I said to you that when you have eliminated the impossible, whatever remains, however improbable, must be the truth?’

Hij filterde al het onmogelijke uit zijn waarnemingen en wat overbleef moest dan wel de waarheid zijn (deductie).   

´Deductie´, ´abductie´ - allemaal terminologie die wijst op een wetenschappelijke aanpak. Analyses van zijn aanpak roemen zijn opmerkingsvermogen, maar spreken ook van een grote dosis geluk aan zijn zijde.  Zijn geestelijk vader, Sir Arthur Conan Doyle, wilde natuurlijk wel dat Sherlock de misdaden zou oplossen.   

Dat Sherlock Holmes gebruik maakte van diverse technieken is leuk om eens verder te bekijken (maar niet nu en niet hier).

Een voordeel voor Sherlock Holmes was het gebrek aan tijdsdruk. Dat is tijdens een security incident wel anders.

Hoe goed zijn de security professionals bij jou in de organisatie in staat om onder tijdsdruk de juiste waarnemingen te doen, filters toe te passen, analyses uit te voeren en conclusies te trekken? Roep dan niet dat SIEM dat juist allemaal doet. De bedenkers van SIEM hebben standaard correlatieregels toegepast die misschien net niet de juiste zaken aan het daglicht brengen in jouw specifieke situatie. Daarnaast hebben jouw security professionals eigen regels toegevoegd. Beschikken zij over de juiste vaardigheden om alle goede correlaties in te voeren?

Bijkomend feit is dat aanvullende monitoringtools in de praktijk nauwelijks zijn ingebed in SIEM (ondanks de mogelijkheden daartoe). Als de organisatie nu wordt aangevallen moeten de security professionals op meerdere schermen tegelijk hun informatie verzamelen.

Ik gun iedere organisatie een team met de analytische vermogens van Sherlock Holmes. De realiteit is dat die professionals nauwelijks op de arbeidsmarkt aanwezig zijn  en ze worden ook niet in grote getalen opgeleid op de hogescholen en de universiteiten.

Hou hierbij in gedachten dat Sherlock Holmes slechts op papier bestaat!

Wellicht zijn we als mens niet eens in staat om deze vermogens aan te spreken. Laat staan dat de evolutie ons in staat heeft gesteld die vermogen te ontwikkelen.

Intussen laad ik de digitale serie van Sherlock Holmes op de e-reader van de eega. Ik kijk nu al uit naar de volgende vakantie. Niks ‘zware klus’ die informatieverwerking tijdens de vakantie.

Succes met het volgende security incident.