De hacker bepaalt of je IT-security goed genoeg is

In een decennium waarin organisaties ongekend snel en flexibel moeten opereren in steeds complexere omgevingen, neemt ook cybercrime in een moordend tempo toe. Iedere CEO kijkt regelmatig in de spiegel en stelt zichzelf de vraag: is mijn security goed genoeg?

‘Je security is goed genoeg wanneer je alle cyberaanvallen en datadiefstal voorkomt.’

Het is een eenvoudige vraag. Te eenvoudig, op het eerste gezicht. Toch kozen Marcel van Eemeren en Lieuwe Jan Koning – de twee oprichters van beveiliger ON2IT – deze vraag niet zomaar als thema voor hun security-event Bright & Cloudy. De 2017 editie van dit congres in Amersfoort was de grootste ooit, met honderden ICT-professionals als bezoekers en topsprekers van toonaangevende ondernemingen als VMware, Palo Alto Networks en Stroz Friedberg.

“Het antwoord op de vraag lijkt eenvoudig”, zegt Van Eemeren. “Je security is goed genoeg wanneer je alle cyberaanvallen en datadiefstal voorkomt.” Maar die doelstelling is zo onrealistisch, dat je er in de praktijk niets mee kunt. “De kans dat een organisatie niet getroffen wordt door een cybercrime aanval is nul procent”, zegt hij. “Wanneer dat je maatstelling voor een goede security is, dan kun je op voorhand vaststellen dat je security niet goed genoeg is en dat ook nooit zal worden. Zeker in het licht van de nieuwe Europese GDPR, waarin het lekken van data net zo schadelijk kan zijn als de meest gevaarlijke zero-day. ON2IT definieert goed genoeg dus niet als honderd procent veilig, maar veel meer in de context van risico’s verkleinen, impact beperken, zien en reguleren en automatiseren van je response. Dat is geen simpel antwoord, maar de wereld is niet simpel.”

Rijp voor een reality check

Van Eemeren en Koning staan niet alleen in hun realistische kijk op de maximaal haalbare security. Ook John Kindervag, de invloedrijke Amerikaanse architect van het Zero Trust beveiligingsconcept, hanteert als mantra “Never trust, always verify”. ON2IT bracht het Zero Trust concept (dat inmiddels is omarmd door Google en de CIA) als eerste naar Europa en naar zijn klanten, mede door een jarenlange en intensieve samenwerking met Kindervag.

“Software bevat programmeerfouten, configuratie van security controls, zoals firewalls of endpoint protection software, gebeurt soms niet goed, en medewerkers klikken op bestanden met zero-day exploits”, zegt Koning. “Wanneer je wereldbeeld en je beveiligingsideaal is gebaseerd op de aanname dat dit bij jouw onderneming nooit gaat gebeuren, dan ben je toe aan een reality check. Trust is a vulnerability. Dat is ook de ervaring van de meest ervaren security-managers en CIO’s in ons klantennetwerk. De kwaliteit van je IT-security kun je afmeten aan de acties die plaatsvinden wanneer er een incident gebeurt, want dat dit gebeurt is een zekerheid in dit leven. Zero Trust is helemaal gebouwd op deze aannames. Wanneer er een beveiligingslek is in een bepaald deel van het netwerk (en dat zal gebeuren), hoe kunnen we dan de impact op andere delen beperken, bijvoorbeeld door alle gevoelige data in apart beveiligde segmenten op te slaan.”

Maar ik voldoe toch aan de norm?

Op het eerste gezicht lijkt er wel degelijk een alternatieve, meer voor de hand liggende route te zijn om te bepalen of je security goed genoeg is. We hebben toch een overvloed aan normen en regelingen? ISO, PCI, SOX, HIPPAA, NEN en AVG/GDPR: de vakbladen en congressen berichten maandelijks over updates, uitbreidingen en nieuwe regels. Het recept lijkt dus eenvoudig: kies de normeringen en certificeringen die voor jouw branche relevant zijn, en tref de bijbehorende organisatorische en technische maatregelen. Dan is je security in theorie goed genoeg.

“Natuurlijk moet iedereen voldoen aan bijvoorbeeld Europese privacywetgeving”, zegt Van Eemeren, “dat is niet eens een keuze die je kunt maken, net zoals Nederlandse zorgaanbieders aan de NEN-normen moeten voldoen. En met de zogeheten GDPR op komst is gegevensbescherming ook het zorgenkind geworden van de CEO en de raad van commissarissen. De hoofdelijke aansprakelijkheid en mogelijke miljoenenboetes in de verordening schudden bestuurders goed wakker.”

Maar het is daarmee nog steeds niet eenvoudig om die kaders en normen te vertalen in een optimale security-strategie. Dat komt op de eerste plaats omdat de meeste normen je niet vertellen hoe de technische oplossingen die je kiest eruit moeten zien. Je kunt met software en hardware van uiteenlopende leveranciers voldoen aan de norm. De norm vertelt je evenmin of je Security Operations Center vier of veertig FTE’s moet hebben.

Minimumeis norm is geen garantie voor continuïteit

Toch zijn de interpretatieverschillen rond een norm of wet niet het grootste probleem waardoor ze onbruikbaar zijn om de échte kwaliteit van je IT-security te ijken, zegt Van Eemeren. “De achtergrond van normen en wetten is doorgaans de bescherming van burgers of consumenten, en dat is een groot goed. Maar voor onze klanten, en dus voor ons, is een goede security nog vele ordegroottes belangrijker. Het kan namelijk het verschil zijn tussen overleven of een faillissement. Natuurlijk helpen we onze opdrachtgevers maximaal met compliance.

“Simple. Secure. Now!”

Maar de continuïteit van de organisatie is de echte inzet van de oorlog tussen hackers en beveiligers. Die oorlog win je niet met een jaarlijkse audit of een pen test per kwartaal. Daarvoor moet je Security Operations Center 24 uur per dag on full alert zijn om de impact van elke nieuwe dreiging te kunnen inschatten en minimaliseren. De management-rapportages die je moet opleveren om aan bestuurders te laten zien dat je compliant bent aan de normen en wetten, die beschouwen wij als de ondergrens van ons werk. De echte uitdaging is veel complexer.” Van Eemeren vat het compact samen als “Simple. Secure. Now!”

Wat is dus wel goed genoeg?

Daarmee is de vraag wanneer je security goed genoeg is nog steeds niet eenvoudig beantwoord. “Het klinkt misschien een tikje arrogant, maar wij willen samen met onze klanten in diverse branches de lat voor goed genoeg steeds hoger leggen”, zegt Van Eemeren. Volgens hem en Koning kun je aan de ontwikkeling van ON2IT in de afgelopen jaren zien hoe zij die uitdaging invullen.

“We zijn voor veel toonaangevende marktleiders, zoals Palo Alto Networks en VMware, een bewezen kennispartner. We kennen hun producten van binnen en van buiten, en hebben ze bij tientallen klanten geïntegreerd in managed hosting dienstverlening. We hebben in de afgelopen jaren het Zero Trust Security Framework (ZTSF) ontwikkeld, een security-concept dat strategie, beleid, architectuur en operatie omvat. ZTSF is ook de basis voor onze Managed Security Services, waarin we de producten en diensten van onszelf en onze partners voor een maandbedrag aanbieden. Of het nu om NSX, TRAPS, Threat Cloud of App Defense gaat, onze engineers hebben altijd de laatste workshops en opleidingen gevolgd en werken er dagelijks hands-on mee. Dat niveau van integratie van meerdere leveranciers en producten is zeldzaam in onze markt, zo horen we van veel klanten.”

De steeds verder gaande ontwikkeling van het managed security concept is ook in lijn met de ON2IT aanpak. “In elk Europees land is er maar een handvol multinationals die het zich kan veroorloven om een SOC met tientallen engineers, consultants en ethische hackers op de been te hebben. Wij kunnen dat wel, omdat onze klanten via het managed dienstverlening concept gebruik maken van het feit dat we dit voor veel ondernemingen doen. Daarmee kunnen ze voor een aantrekkelijk bedrag beschikken over alle dagelijkse monitoring en alert functies voor hun netwerk, compleet met beveiliging op de endpoints en het gebruik van databases waarin duizenden ondernemingen wereldwijd informatie over malware, aanvallen en oplossingen real-time delen.”

Automatisering

Het is volgens Van Eemeren trouwens een misverstand om te denken dat je met managed security vooral menskracht en talent afneemt. Dat was enkele jaren geleden misschien nog wel zo, en natuurlijk zijn de kennis, de passie en het talent van de ON2IT specialisten moeilijk bij elkaar te krijgen op een eigen automatiseringsafdeling. Een bedrijf als ON2IT ademt IT-security, 24 uur per dag, en de gesprekken bij de koffieautomaat gaan steevast over de laatste exploits en malware.

Maar door de omvang van de wereldwijde bedreiging zijn de detectie van inbraak of malware en het zonder tijdverlies nemen van tegenmaatregelen onmogelijk nog alleen door mensen uit te voeren. “Alleen met behulp van deep learning, datamining en onze geautomatiseerde playbooks is het mogelijk om een dreiging te isoleren zodra deze zich voordoet. Wij noemen dat rules of engagement: wanneer er op je wordt geschoten mag je jezelf tot (bijna) elke prijs verdedigen. Wanneer we het grootste deel van ons werk niet automatiseren, dan verliezen we de wedstrijd. Natuurlijk komen die incidenten ook in de event-log van onze portal voor evaluatie achteraf, maar we wachten bij een dreiging niet met het afsluiten van een verdacht werkstation, smartphone of netwerksegment. Hackers werken real-time, dus moet jij dat ook doen.”

De cloud? De cloud?

De exponentieel groeiende adoptie van (vooral) de publieke cloud zet de vraag of je security goed genoeg is weer in een ander, en vooral complexer, perspectief. Koning en Van Eemeren begrijpen de voordelen die de grote cloudleveranciers als AWS, Google, Salesforce en Microsoft 365 aan multinationals bieden, ook al zijn de soms te beperkte garanties, de hoge prijs, de vendor lock-in en de security issues geen punten die je zomaar kunt wegvegen.

“De hybride cloud is voor al onze klanten de nieuwe werkelijkheid geworden”, zegt Van Eemeren. “Voor ons betekent dit dat we met onze partners ervoor moeten zorgen dat onze heilige Zero Trust uitgangsbeginselen niet alleen in het eigen datacenter, maar ook voor bedrijfsdata in de cloud gelden. Dus: segmenteren, al het verkeer inspecteren, policies afdwingen en controleren, en rules of engagement die ook in de cloud gelden. Ook in de cloud moet een ring van security rondom iedere applicatie met kostbare informatie onder eigen controle blijven, en moet je precies weten wie wanneer toegang heeft gehad tot welke data.”

Palo Alto Networks en VMware, partners waarmee ON2IT al sinds de oprichting tien jaar geleden samenwerkt, bieden inmiddels vrijwel alle functies van hun on premises producten ook in de cloud in omgevingen als AWS en Google for Business. Daarnaast werkt ON2IT ook nauw samen met de allerbeste startups die een specifiek onderdeel van cloud security voor hun rekening nemen, zoals LogRhythm, BitSensor en SafeBreach.

Goed genoeg is vooral een mentaliteit

Hoewel de technologie om hackers buiten de deur te houden met de maand geavanceerder en slimmer wordt (net als de hackers zelf ), lijkt het er uiteindelijk toch op dat het antwoord op de vraag wanneer je security goed genoeg is, niet uitsluitend in termen van techniek kan worden gevangen. En evenmin in de klinische checklists die bij de audits voor het normenkader horen.

Voor de ON2IT directeuren is goed genoeg op de eerste plaats toch een mentaliteitskwestie. Van Eemeren: “Je hebt een speciaal soort mensen nodig die er een kick van krijgt om de bad guys weg te houden uit de netwerken en bij de data van onze klanten. Als onderneming heb je een sparringspartner als ON2IT nodig om voortdurend scherp te krijgen hoeveel inspanning en middelen volstaan. Deze wereld is extreem dynamisch. Het klinkt als een cliché, maar hier in ons vakgebied kan een dag niet opletten tot rampen leiden. Je moet jezelf bovendien telkens opnieuw uitvinden en rücksichtslos blijven innoveren. Dat geldt voor onze klanten, dat geldt voor ons. Disruptieve businessmodellen van nieuwkomers kunnen complete marktsegmenten binnen tien jaar wegvagen.”

‘We weten niet wat voor dreigingen, malware en exploits morgen weer de kop opsteken, maar wij zijn er samen zo klaar mogelijk voor.’

Koning sluit af: “Wanneer wij niet blijven bewegen zijn we gezien. De enige constante in onze sector is voortdurende beweging. En dat vinden wij en onze specialisten echt te gek. Om tegen je klant te kunnen zeggen: ‘We weten niet wat voor dreigingen, malware en exploits morgen weer de kop opsteken, maar wij zijn er samen zo klaar mogelijk voor’. Dat is waarschijnlijk de beste definitie van wat goede security is.”