InfoSec Dialogue Benelux 2015 (2/2)
19/May 2015
Na een drukke eerste dag op de InfoSec Dialogue Benelux conferentie, met zo' 15 presentaties en gesprekken, is de tweede dag wat rustiger Er waren maar 6 presentaties cq. panel discussies en zelf had ik twee dialogen met leverancier. Nadat ik op de eerste dag de lunch dialoog had gemist omdat ik mijn partner niet kon vinden, regelde de organisatie vandaag wel twee interessante gesprekspartners. Meer daarover verderop in deze posting.
Het verslag van de eerste dag is hier te vinden.
Defending enterprise IT in today's highly connected world
Claus Cramon Houman is hoofd IT van de Banque Öhman S A in Luxemburg. Hij is zeer actief op het gebied van Information Security (InfoSec), zoals te zien is aan zijn grote hoeveelheid presentaties. De presentatie op dinsdag was bijna dezelfde als de Keynote bij de Cyber Security Summit in Praag.
Hij begon met duidelijk te maken dat het niet de minste organisaties waren waar ingebroken wordt. Natuurlijk valt iedereen gelijk het logo van Sony op. Make.believe gold echter ook voor het CSIRT van Sony. Meer dan de helft van het team was niet operationeel en was hoger management zonder enige kennis van zaken op het gebied van (IT) security.
Hij draagt veel bij aan The Analogies Project, een project gericht op het duidelijker maken, door analogiën uit het dagelijks leven te gebruiken voor het duiden van informatie beveiliging, net als de rechter in de zaak van de 17-jarige.
Hij is ook actief bij de I am the cavalry beweging, een organisatie die zich richt op het (IT) veiliger maken van apparaten die, bij problemen, schade toe kunnen brengen aan mensen. Denk hierbij aan medische apparatuur, auto's en vliegtuigen.
Ook hij kon het niet laten om de Death Star te gebruiken om aan te geven hoe ketwsbaar ook het meest-veilige systeem kan zijn. En hij was ook duidelijk over leveranciers. In de eerste plaats is er geen enkele leverancier die DE oplossing biedt. Je zult altijd een afgewogen samenstel van bescherming aan moeten brengen. Daarnaast blijkt keer op keer dat patchen ook niet werkt. Want het is niets ander dan software en software bevat fouten.
De kern van zijn oplossing werd duidelijk vanaf sheet 18. je hebt niets aan oplossingen als je geen goede basis hebt. Zorg om te beginnen voor een omgeving die te verdedigen is. Het is geen wonder dat forten grachten en ophaalbruggen hadden. De infrastructuur zorgt ervoor dat je tegenmaatregelen kunt nemen, terwijl de aanvaller probeert over de gracht te komen.
Een paar van zijn oplossingen, zoals Deep Packet Inspection, zijn in Nederland, en zeker in een universitaire wereld, niet mogelijk en in veel gevallen zelfs illegaal. Het vraagt dan fantasie om de kern te blijven volgen en daar de krenten uit te halen.
Changing board level mindset
Het volgende halfuur werd niet besteed aan weer een presentatie, maar was een panel discussie met Evert Steenhoudt, CISO bij de Colruyt Group, en Paul Swarbrick.
De dialoog tussen het panel en de zaal richtte zich op de wijzen waarop je het bestuur van de organisatie zo ver krijgt om informatie beveiliging serieus te nemen. Analogiën helpen, maar maak ze niet te simpel. Dat kan er op duiden dat je hen niet serieus vindt. Dat vinden ze niet leuk. Gebruik aan de andere kant niet te veel kreten en termen voor ingewijden. Als ze die niet snappen, voelen ze zich dom. Dat zijn ze niet, anders zaten ze daar niet, en zo willen ze ook niet overkomen.
Hoe graag ik het woord "cyber" ook niet wil gebruiken, in bepaalde kringen is het "sexy" en ontkom je er niet aan om het te gebruiken. Het zorgt voor aandacht bij het hogere management omdat ze hun collega's het horen gebruiken.
Security strategy and kill chain defence
De laatste presentatie werd gegeven door Claude Vandelle, Security manager bij Philips.
De meeste aanvallers proberen een bedrijf niet binnen te komen om wat rond te hangen en niets te doen. Als je een aanvaller dat ziet doen, dan weet hij zijn acties goed te verbergen. Een aanvaller heeft meestal het doel om op jacht te gaan naar meer informatie en die, uiteindelijk, uit het bedrijf in zijn handen te krijgen.
Zelfs als je niet kunt voorkomen dat hij bij je binnenkomt, kun je op diverse andere plaatsen op zijn pad valkuilen plaatsen en/of bariëres opwerpen. Dat heet de Cyber Kill Chain®. Het geeft aan welke acties een aanvaller uit moet voeren om bij de gewenste gegevens te komen en op welke plaatsen een CSIRT in zou kunnen grijpen.
Er blijft altijd een dilemma of je vroeg ingrijpt of wacht tot hij de informatie (bijna) heeft. Als je te vroeg ingrijpt, kan het zijn dat hij een nieuwe poging waagt, die je niet (tijdig) detecteert. Als je geduld hebt, kun je hem een vals pad opsturen. Je komt er dan ook achter waar hij achteraan zit en, vaak, hoe je dat beter kunt beschermen. In de meeste gevallen zal een "Kill" later in het pad ook voldoende informatie geven over het gevolgde pad. Waar vervolgens extra maatregelen getroffen genomen kunnen worden om de kans op herhaling in de toekomst te verkleinen.
Maar je kunt niet op je lauweren blijven rusten. De wereld verandert en dat geldt voor investeringen in beveiliging. De aanvallers veranderen, evenals de wetgeving. Maar ook de organisatie wijzigt. Denk aan verhuizing van (een deel van) de te beveiligen informatie van het eigen datacentrum naar de cloud. Ook het meer mobiele werken, met verschuiving van PC naar tablet en smartphone, vraagt om een totaal andere manier van beveiligen.
Big9 + Carbon Black
Dit is weer een bedrijf dat zich richt op end-point security. Ook toen ik aangaf dat ik verantwoordelijk ben voor een netwerk met 2.000 beheerde systemen en 20.000 onbeheerde systemen, zag hij de combinatie van Bit9 en Carbon Black als de oplossing voor de universiteit.
De combinatie zorgt voor een doorlopende monitoring van, in het geval van de universiteit, servers. De meeste gevoelige informatie staat daar op en dus zal een inbreker altijd daar uitkomen als hij iets wil hebben. Door de logging is na detectie een uitgebreide analyse mogelijk van de aanval en acties van de inbreker. Ook is het mogelijk om de toegang te achterhalen door het spoor terug te vinden. Voor CSIRT's die dergelijk forensisch onderzoek doen, is dit een zeer geschikt product.
Naast monitorin en analyse van aanvallen, worden ook externe "Indicators of Compromise (IoC) gebruikt om bekende aanvallen te detecteren. Dat kan een CSIRT helpen om aanvallen te detecteren die gebruik maken van de nieuwste technieken, zoals 0day aanvallen waar nog geen signatures van zijn opgenomen in anti-virus producten. Of waar geen malware van is gemaakt, maar wat gewoon als aanval wordt gebruikt.
Dell SecureWorks
Sinds begin dit jaar hebben we een tool voor het resetten van vergeten wachtwoorden van Dell Secureworks om te koppelen aan het IDM systeem van de universiteiteen tool voor het resetten van vergeten wachtwoorden van Dell Secureworks om te koppelen aan het IDM systeem van de universiteit.
Dat is echter niet de primaire dienstverlening van SecureWorks. Dat is dienstverlening rond om security. Je kunt dan denken aan beheer van de perimeter, maar ook uitgebreide Security Operation Center (SOC) diensten zijn mogelijk. In feite kun je voor het geheel aan Managed Security Services bij hen aankloppen.
Lunch
De lunch op deze dag werd ingeruimd voor een gesprek met een paar andere deelnemers die interesse hadden in het delen van kennis en ervaring op het gebied van SCIRT's en SIEM. Het uitgebreidst heb ik gesproken met Olaf Jonkers van de Brusselse luchthaven.
We hebben het over het afstudeeronderzoek gehad dat ik heb laten uitvoeren naar SIEM systemen. Uit ons onderzoek kwam Splunk als beste systeem naar voren. Olaf had dezelfde conclusie getrokken, maar vanwege het beschikbare budget een andere moeten kiezen. Hij had er nog steeds spijt van.
Olaf herkende ook het probleem dat de universiteit heeft met leveranciers. Een systeem wordt onveilig opgeleverd en als je daar een opmerking over maakt, is het antwoord een offerte om het systeem veilig te maken. Zelfs nieuwe systemen waarvan je kunt verwachten dat de leverancier op de hoogte is van de laatste stand van zaken rond beveiliging. Ze lijken er echter alleen maar een extra inkomstenbron van te maken. Alsof ze bewust onveilige omgevingen bouwen om herconfiguratie te kunnen factureren.
Social engineering - nr 1 insurance fraud tool
Na de lunch ging het weer verder met presentaties en dit keer was Bert Koelewijn, hoofd Information Security & risk management ICT bij ASR Nederland.
Bert besprak het gebruik van sociale media bij fraude onderzoek rond
verzekeringen. Het grote probleem hierbij is het gebruik van valse
identiteiten om verzekeringen af te sluiten of claims in te dienen.
Niet iedere crimineel is er op uit om je bankrekening leeg te halen op
basis van je gestolen identiteit. Het kan ook zijn dat ze
verzekeringen op je naam afsluiten en vervolgens valse claims
indienen. Als de verzekeringsmaatschappij achter de fraude komt,
probeer dan maar eens te bewijzen dat je onschuldig bent.
"Ik ben niet op vakantie geweest en ben mijn camera niet
verloren."
"Dat zeggen we ook. U bent uw camera niet verloren. U probeert
fraude te plegen."
Een verrassende opmerking in dit kader was dat ze complete profielen, inclusief (besloten) berichten, kochten bij Facebook om te kunnen achterhalen of er misschien onderling tussen familieleden of met vrienden over de fraude werd gesproken. Of heb ik dat verkeerd begrepen en zal Facebook nooit persoonlijke communicatie verkopen?
Een tip die voor iedere beveiliger raadzaam is om aandacht aan te besteden: Maak een businesscase vanuit het standpunt van de crimineel. Dat kan zeer verhelderend werken.
Security by design and software certification - eliminating software vulnderabilities
Het zou zoveel gemakkelijker zijn als alle software veilig(er) was. Waarom gelden er wel eisen voor alle andere producten en niet voor software? En het lijkt er op dat sommige (hardware) fabrikanten hun spullen slechter maken en er dan maar software instoppen. Dan kunnen ze die de schuld geven als er iets fout gaat.
Hoe kan het anders dat een TV het net iets langer dan twee jaar goed doet om net na het verstrijken van de garantie te begeven. Het probleem wordt vervolgens opgelost door een softwareupgrade.
Dit is allemaal niet besproken in de presentatie van Fred Hendriks, maar ik denk dat hij dezelfde gedachtengang had toen hij inging op het aanbod van de Security Academy om te werken aan een Framework voor het veilig ontwikkelen van software en voor de certificatie daarvan.
Het lijkt een onmogelijke taak, maar het heeft toch een resultaat opgeleverd en dat wordt vormgegeven in de Secure Software Foundation. De presentatie ging over de weg er naar toen en over de foundation. Het omvat meer dan ik hier kan beschrijven en zelfs meer dan Fred in de presentatie kwijt kon.
Het is zeker de moeite waard om de site met een bezoek te vereren.
Effective third party supplier management
Het laatste onderdeel was weer een panel discussie. Dit keer met Tony Hibbert, hoofd IT infrastructure van G4S Nederland, en Bert Koelewijn.
De meeste organisaties kunnen niet zonder externe leveranciers die in hun netwerk opereren. Die apparatuur leveren die in dat netwerk moeten opereren. Ook hierbij moet rekening gehouden worden met de beveiliging van dat netwerk, die apparatuur en de informatie. De enige manier waarop je dat enigszins kunt aanpakken is om ook voor die leveranciers een risico analyse uit te voeren en, zoals altijd, gebaseerd op de informatie waar zijn toegang toe hebben of waartoe er toegang kan komen als er zich problemen voordoen.