Elimineer de menselijke factor uit de security operatie

Cybersecurity is niet langer het domein van nerds en it-professionals. Dat danken we vooral aan nieuwe Europese wetgeving. Met de zogeheten GDPR op komst, is gegevensbescherming ook het zorgenkind geworden van de CEO en de raad van commissarissen. De hoofdelijke aansprakelijkheid in de verordening schudt velen goed wakker. Dat merkt beveiligingsexpert ON2IT aan de veranderende houding van klanten en prospects.

We spreken met Lieuwe Jan Koning, CTO en medeoprichter van ON2IT. Hij legt uit dat hun beveiligingsfilosofie uitgaat van het zogeheten ‘Zero Trust principe’. “Wanneer het aankomt op it-security is vertrouwen een kwetsbaarheid. Het gaat er niet om dat je mensen niet zou vertrouwen, het gaat erom dat je netwerkverkeer a priori niet kunt vertrouwen. Tegen alle mail, websites en social mediaverbindingen zeggen we aanvankelijk ‘nee’ en vervolgens bepalen we in welke gevallen en onder welke voorwaarden dat ‘ja’ kan worden.

Dat Zero Trust concept werkt vooral goed in combinatie met segmentatie, waarbij we om ieder logisch samenhangend deel van de infrastructuur een slotgracht leggen. Ieder groot onoplosbaar probleem hakken we in kleine stukjes. Omgevingen waarin een datacenter de mailomgeving en het financiële pakket naast elkaar staan, trekken wij los van elkaar. En al die losse zogeheten microperimeters beveiligen we individueel. Door een aantal kleine behapbare problemen op te lossen, bereik je veel meer dan wanneer je je blijft blindstaren op een groot onoplosbaar probleem.” Dat lijkt kostbaar, maar het tegendeel is waar. Het leeuwendeel is software, een infrastructuur ontwerpen vanuit security zorgt voor lagere kosten en de compliance wordt eenvoudiger en dus ook voordeliger.

Het SOC-probleem

Het Security Operations Center (SOC) is het zenuwcentrum van waaruit de security-infrastructuur die Koning beschrijft 24/7 beschikbaar moet zijn. Het is voor bestuurders niet eenvoudig om het goede SOC te kiezen. Er zit in die markt veel kaf tussen het koren. Wanneer is it-security goed? IT-security volgens Zero Trust heeft een dubbel effect: het verminderen van de kans op infectie en het zoveel mogelijk verkleinen van de impact bij een lek of hack. De focus ligt vaak op het verkleinen van de kans op infectie en dat is een gemiste kans. Koning brengt de beruchte hack in herinnering op de Amerikaanse retailer Target in 2013. “Hackers kwamen toen binnen via een managementsysteem voor de klimaatbeheersing, waar de beveiligingsmaatregelen van Target zich niet op concentreerden. De hackers konden vervolgens ongehinderd ‘binnendoor’ doorlopen naar het datacenter waar de buit lag: creditcardgegevens van miljoenen klanten. Door segmentatie en individuele beveiliging van elk segment voorkom je deze vorm van ‘lateral movement’.”

“Je kunt beter enkele kleine probleem oplossen dan je te blijven blindstaren op een groot onoplosbaar probleem”

De beveiligingsexpert legt uit dat het aanpakken van it-security als één geheel bovendien te traag werkt. “Het geheel aanpakken is letterlijk onbegonnen werk voor een menselijke analist. Je zoekt naar een speld in een hooiberg, terwijl je niet eens weet of er een speld is, en evenmin dat als je er één hebt gevonden, je ze daarmee allemaal hebt gevonden. Dat is in het kort het probleem van een SOC. Het is arbeidsintensief, de tijd tussen detectie en maatregel is daardoor te groot, en het schaalt niet. Een bedrijf dat SIEM (Security Information & Event Management) echt goed wil inrichten, heeft al minstens acht mensen nodig. Dergelijke schaalgrootte is alleen haalbaar voor grote bedrijven, zoals Philips of ING. Toch moeten ook kleinere ondernemingen een goede it-security hebben, omdat ook zij uiteindelijk GDPR-compliant moeten zijn.”

Security Automation & Orchestration Platform

Om dit probleem van te weinig mankracht op te lossen heeft ON2IT haar eigen ‘Security Automation & Orchestration Platform’ ontwikkeld. Uiteraard op basis van het Zero Trust principe. Hier zit ruim twaalf jaar aan ervaring in. “Om een SOC effectief te maken zetten we onze intelligentie anders in”, vertelt Koning. “Analyse wordt waar mogelijk geautomatiseerd. Door toepassen van kunstmatige intelligentie, door gebruik te maken van externe kennis (Threat Intelligence Feeds) en door het anders gebruiken van de intelligentie van de analist. Traditionele SOC-tools, zoals een SIEM, zijn gemaakt om de analyse door mensen te vereenvoudigen. Onze tools helpen om intelligente maatregelen ineens voor al onze klanten te definiëren. Als je bedenkt dat ons mailfilteringsysteem iedere minuut veertien zero-day-bedreigingen tegenhoudt, wordt het duidelijk: we moeten automatiseren en maatregelen orkestreren. Zo is er meer tijd en focus voor de speciale events die aandacht en manuele analyse behoeven. Alleen zo blijft ons SOC slim en snel – superlage responstijden – en betaalbaar.”

Van detectie naar preventie

Koning noemt als voorbeeld een infectie op een werkstation. “Iemand heeft ondanks alle awareness toch op een link geklikt en de antivirus heeft dat niet tegengehouden. Deze malware veroorzaakt ‘command & control traffic’ op netwerkniveau, zodat de malware van afstand bestuurd kan worden door de hacker. Next generation firewalls zien dit, maar kunnen de infectie niet ongedaan maken. In een traditioneel SOC ziet iemand via de logging dat die desktop geïnfecteerd is geraakt. Hij gaat ernaar kijken, belt met systeembeheer en overlegt over de beste aanpak. Dat kan anders en vele malen sneller. Zodra ons platform verdacht verkeer detecteert, wordt een zogeheten ‘playbook’ afgespeeld. Deze initieert zo snel mogelijk een preventieve actie, afhankelijk van de correlaties binnen een situatie. De desktop wordt uitgezet, de gebruiker wordt geblokkeerd of wat dan ook. In ieder geval is het: prevention first. Vervolgens komt er automatisch een alarm, met daarin een samenvatting van de chain of events. De bedreiging is afgewend, zonder menselijke tussenkomst. Het grote effect dat dit heeft is dat wij detectie omzetten naar preventie.”

Security improvement advisories

Koning: “Een belangrijke focus van onze analisten is om voortdurend te leren, aan te passen en beter te worden, door bijvoorbeeld die playbooks te blijven tunen. Wij streven ernaar om het gedrag van alle soorten malware, inclusief gewenste respons, volledig in kaart te brengen. Dat is een illusie, want hackers zitten niet stil. Door reeds bekende zaken te automatiseren in playbooks, kunnen we ons voornamelijk richten op nieuwe soorten aanvallen. En op het verbeteren van de situatie van individuele klanten. Bijvoorbeeld door bepaalde segmenten nog verder te segmenteren. Wij prioriteren die actie en rapporteren daar maandelijks over in onze ‘security improvement advisories’, een to-do-lijst met structurele verbeteringen op ieder vlak waar de CISO direct mee aan de slag kan.”

Daarmee is de cirkel van GDPR naar security en weer terug naar GDPR rond. In onze portal ziet de gebruiker precies wat er allemaal in de gaten wordt gehouden, welke eventuele lekken er zijn geweest en welke acties daarop zijn uitgevoerd. Koning: “Hiermee kan een bedrijf ruimschoots aantonen dat ze aan hun plicht hebben voldaan. Geloof mij, je hebt echt liever dat wij een zwakheid rapporteren dan dat een hacker dat doet.”


Interview met Lieuwe Jan Koning
CTO ON2IT
Uitgave ICT Magazine oktober 2017