Schuberg Philis en METRI: Meer security maakt je niet automatisch weerbaarder
Het is een bekend gezegde in securityland: het veiligheidsincident van vandaag vormt altijd belangrijke input voor het securitybeleid van morgen. Schuberg Philis vormt echter een concreet bewijs dat er een belangrijk omslagpunt bereikt is in de manier waarop organisaties cybersecurity benaderen. Van louter of voornamelijk incidentgedreven naar meer structurele, geïntegreerde aandacht. Technologie is nog steeds belangrijk, maar niet langer bepalend in de strategie om organisaties weerbaarder te maken. Frank Breedijk van Schuberg Philis en Sytse van der Schaaf van METRI lichten toe.
Beeldvorming rond security en vooral meer aandacht voor de reële risico’s die organisaties lopen zijn belangrijke redenen om anders met security om te gaan. Dat is de indruk van Frank Breedijk, Security Officer bij managed services provider Schuberg Philis, die platformen voor bedrijfskritische applicaties beheert. “Een belangrijke factor is dat security-incidenten vaker voorkomen en veel zichtbaarder zijn geworden”, licht hij zijn stelling toe. “Nu het grote publiek zich bewuster is geworden van de risico's van digitale gegevensdiefstal – zoals het plunderen van een bankrekening – zul je als bedrijf moeten laten zien dat security je aan het hart gaat. Daarmee is het meteen ook een directieonderwerp geworden.”
Maar er is meer aan de hand. De toenemende dreiging en de aandacht hiervoor in het publieke debat is niet de enige reden dat cybersecurity prominent, en vooral ook meer structureel, op de directie agenda's verschijnt. “De invoering van de Europese General Data Protection Regulation (GDPR) en de Nederlandse Cybersecuritywet (Csw), die beide in 2018 van kracht worden, zullen naar verwachting hun sporen nalaten binnen de directiekamers.
Nu de overheid boetes kan opleggen die oplopen tot 4% van de wereldwijde omzet wanneer een organisatie data onvoldoende heeft beveiligd, is security meer dan ooit een business issue geworden. In plaats van dat directies security als een aardige verzekering zien die mogelijk ooit op een slechte, stormachtige dag van pas zal komen, zijn veel organisaties gaan inzien dat een betere weerbaarheid broodnodig is. Een gedegen en grondig securitybeleid vormt een noodzakelijke bouwsteen om de huidige, continue storm aan hackpogingen via internet te kunnen weerstaan.”
Zorgplicht
Tegelijkertijd maakt de nieuwe wetgeving het een stuk veiliger voor organisaties de data, of de beveiliging van die data, uit te besteden. “Serviceproviders hebben een uitgebreidere zorgplicht gekregen over de persoonsgebonden data die klantorganisaties hen hebben toevertrouwd. Ze zijn wettelijk verplicht zich aan bepaalde veiligheidsregels te houden en dragen daarbij zelf de verantwoordelijkheid als het om de een of andere reden toch nog mis mocht gaan. Dat is natuurlijk een groot verschil met de oude situatie. Daarin droeg je je data over, maar bleef de juridische verantwoordelijk grotendeels bij de eigen organisatie liggen.” Daarmee lijkt een belangrijk obstakel weggenomen voor directies die nog altijd erg huiverig zijn hun privacygevoelige data aan een externe partij, waaronder bijvoorbeeld een managed securityprovider, toe te vertrouwen.
Minstens zo belangrijk is hoe de weerbaarheid vorm krijgt. “De vraag blijft natuurlijk staan hoe zo'n directie vervolgens het securitybeleid in de dagelijkse praktijk invult”, stelt Breedijk. “Een antwoord op die vraag kan nooit voor elke organisatie hetzelfde zijn. Security blijft voor een belangrijk deel maatwerk, omdat de uitvoering afhangt van de manier waarop een organisatie of business ingericht is.” Maar in het algemeen kan hij wel stellen dat de verleiding om eenvoudigweg meer tools en services in huis te halen zo veel mogelijk moet worden weerstaan. “Het hebben van meer beveiligingstools maakt je niet automatisch weerbaarder. Het gaat erom dat je gericht maatregelen neemt, op basis van het algemene dreigingsbeeld en de specifieke inrichting van je IT-organisatie.”
Breedijk wijst naar de neiging rond cybersecurity om alle aandacht te richten op geïsoleerde, technische security oplossingen. “Als je kijkt naar een evenement als infosecurity.nl dan gaat het vooral om producten en maatregelen tegen specifieke dreigingen. Dat is natuurlijk ook het leukste om over te praten. Maar als puntje bij paaltje komt, heeft het feit dat ik mijn database niet rechtstreeks aan het internet knoop, of dat ik niet al mijn infrastructuur in één enkele netwerkomgeving stop, veel meer impact op de weerbaarheid dan de nieuwste en meest geavanceerde hulpmiddelen. In een goed securitybeleid zijn dit soort hygiënemaatregelen van de standaardomgeving van onschatbare waarde.”
Sexy tools
Dit maakt beheerders die een omgeving kunnen ontwerpen en bouwen met ‘security by design’ in het achterhoofd een belangrijkere asset dan de nieuwste technologie. “Goed systeembeheer is helaas niet zo heel sexy om over te praten”, verzucht Breedijk. “Ik zeg weleens dat mijn beste securityhulpmiddelen binnen Schuberg Philis mijn collega-engineers zijn, die gewoon weten hoe ze een infrastructuur veilig moeten opzetten en beheren en met updates bij de tijd houden.” Schuberg Philis hanteert dan ook een securitymodel, genaamd de ‘security survival pyramid’, waarin een gelaagde aanpak centraal staat en de aanschaf van tools en services een rol speelt, maar zeker niet het belangrijkste onderdeel is. “Het is belangrijk om bij de basis te beginnen”, legt Breedijk uit, “omdat dat zowel vanuit kostenoogpunt als effectiviteit de meest waardevolle manier van werken is. Dit levert gewoonweg de hoogste weerbaarheid op.”
Securitymaatregelen zijn altijd suboptimaal en duurder als je deze achteraf aanbrengt. Breedijk illustreert deze visie aan de hand van de geschiedenis van de Hollandse Waterlinie. “Die forten werden niet van gewapend beton gebouwd, omdat dat toen niet nodig was voor bescherming tegen vijandelijk vuur vanaf de tegenoverliggende oever. Maar toen kwam het vliegtuig en de mogelijkheid om een bom direct op het fort te laten vallen. De ingenieurs hadden toen de keuze uit twee mogelijkheden: alsnog een laag van gewapend beton aanbrengen of geschutskoepels bouwen waarmee vijandelijke vliegtuigen konden worden uitgeschakeld. Men koos voor die laatste optie, omdat dit de snelste en gemakkelijkste oplossing leek. Wat bij deze keuze over het hoofd werd gezien was dat het continu bemannen van al die geschutskoepels, en het steeds weer opnieuw opleiden van al die bemanning, op termijn natuurlijk veel duurder was dan het aanbrengen van een laag gewapend beton.”
Bouw je beveiliging vanaf het begin in, wil hij maar zeggen, dan maakt je dat meteen ook een stuk weerbaarder en ben je op termijn veel goedkoper uit. Directies die het belang van security inzien, moeten dit intern en extern dan ook goed communiceren en als belangrijke eis neerleggen in de uitvraag, stelt Breedijk. “Dan pas heb je kans dat security ook daadwerkelijk in de basis aanwezig is en daarmee dus ook in een hoger niveau in de stack op bijvoorbeeld het softwareniveau.”
Softwareontwikkeling
En juist hoog in de stack speelt de gedachtegang van security als basisprincipe een belangrijke rol. Software wordt heel vaak gespecificeerd op basis van wat de uiteindelijke gebruikers met deze software moeten kunnen. Security is alleen een ‘non-functional requirement’. Kijk maar naar hoe ‘user stories’ zijn geformuleerd: die draaien allemaal om afvinklijstjes van functionaliteiten die in de software moeten zitten. Security draait juist vooral om wat een hacker of een ander die het systeem oneigenlijk wil gebruiken níet moet kunnen. Hoe reageert de software als je het op een andere manier gebruikt dan de bedoeling is, bijvoorbeeld voor het uitbuiten van kwetsbaarheden? Welke risico's loop je dan? Op zo'n manier programmeren, met security als absolute requirement, vereist een heel andere instelling en werkwijze dan die van een doorsnee softwareprogrammeur. Je moet dan namelijk ook kijken naar de randvoorwaarden waar de code altijd minimaal aan moet voldoen en niet alleen naar de story points.”
Om miscommunicatie en mismatches zo veel mogelijk te voorkomen, is het belangrijk die verschillende mindsets in het oog te houden bij het beveiligen van je data door een derde, in security gespecialiseerde partij. “Er is een groot verschil tussen cybersecurity en de rest van het IT-domein. Waar reguliere IT'ers zich proberen te wapenen tegen standaard oorzaken van uitval zoals een crashende server of een plots opspelende bug, draait het in het securitydomein vooral om doelgerichte, door menselijke actoren geïnitieerde exploitatie van kwetsbare plekken in het systeem. Wij zijn er hier in de loop der jaren achter gekomen dat securitytalent voorkomt uit een verwrongen wereldbeeld. Je moet altijd van alle toepassingen de schaduwzijden kunnen zien. Fundamenteel over security kunnen denken is dan ook een schaarse vaardigheid. Deze kunde is onontbeerlijk om security strategisch te kunnen benaderen. Standaard werkzaamheden kunnen eventueel uitbesteed worden.”
Managed services
Een belangrijke factor in de groeiende vraag naar managed securitydiensten is de schaarste aan securityspecialisten in de huidige IT-arbeidsmarkt. Dat maakt het lastig voor klantorganisaties om voldoende en afdoende eigen expertise op te bouwen. Met hulp van buiten kun je als klantorganisatie de eigen securitymensen zo goed mogelijk inzetten. Bij het afnemen van managed services is het essentieel om de juiste partij te kiezen. Maar hoe weet je met welke partij je in zee moet gaan en hoe houd je het toezicht in handen, als je zelf niet over de vereiste securityexpertise beschikt? Een cruciaal punt is de vraag of je beoogde managed security serviceprovider ervaring heeft met jouw type business of IT-organisatie. Of, nog beter, een leverancier die een passende oplossing biedt voor jouw specifieke organisatie en business.
Breedijk: “Security moet namelijk altijd passen. Hoe beter het is aangepast op de klant, hoe beter de dienst kan reageren op specifieke bedreigingen. In de markt zie je nog veel managed securityservices die alles voor iedereen proberen te doen. Ik zie veel confectie en weinig maatwerk. De monitoring van een klantomgeving vanuit het Security Operations Center van een dienstverlener ziet er dan voor een retailer bijvoorbeeld hetzelfde uit als die voor een bank. Dat gaat ten koste van de effectiviteit. Specialisatie en maatwerk komen wel tegen een prijs, maar je krijgt als klantorganisatie meer waar voor je geld.”
Bij het afnemen van securitydiensten is het essentieel om als klantorganisatie duidelijkheid te hebben over de basislijn van de reguliere IT-omgeving. Je moet bij dit soort dienstverlening bijvoorbeeld goed voor ogen hebben dat je van een security dienstverlener bruikbare data aangeleverd krijgt. “Ik weet dat veel ‘security information en event management’-diensten (SIEM) standaard rapportages afleveren. Die zitten voorgebakken in het systeem, om meteen een resultaat te kunnen laten zien zodra je het apparaat aanzet. Zo bevestig je dat een apparaat het doet. Maar uiteindelijk komt er zo’n generiek rapport uit dat je er met betrekking tot de uitvoering van je beveiligingsbeleid niets mee kunt, en dus niets aan hebt. Want wat heb ik aan een rapport waarin staat dat er x-keer op een systeem is ingelogd zonder toegang te krijgen? Zonder enige context zegt me dat niets. Medewerkers loggen zo vaak verkeerd in. Ik laat zelf ook mijn capslock-toets voor het intypen van meerdere hoofdletters wel eens onbedoeld aanstaan.
Wil ik dan achteraf weten dat er vier keer verkeerd is ingelogd op het systeem? Nee, als securityspecialist van een klantorganisatie wil ik alleen weten wat afwijkt van gangbare inlogfouten. Dan is de kans een stuk groter dat er blijkbaar wat aan de hand is. Of neem de logbestanden van een firewall waarin terug te vinden is welke verbindingen in het netwerk niet toegestaan werden. Ik wil niet weten wat die allemaal heeft tegengehouden. Ik wil in de overzichten alleen zien of er tussen die geweigerde verzoeken misschien een gerichte aanval van een hacker zit. Alleen met deze op incidenten toegespitste informatie krijg je bruikbare en dus nuttige informatie waar je actie op kunt ondernemen.”
Risicoanalyses
Breedijk benadrukt dat het verstandig is om niet alle beveiliging uit te besteden aan externe experts. De beste aanpak is om de beveiliging deels in eigen huis te houden en deels aan een gespecialiseerde leverancier uit te besteden. Een mogelijke insteek is om commoditydiensten uit te besteden. De eigen securityspecialisten kun je vervolgens zo effectief mogelijk inzetten om het beveiligingsbeleid beter uit te voeren door de weerbaarheid te verhogen. “In plaats van dat ik mijn schaarse en goed betaalde securitymensen belast met het beheren van een firewall, neem ik dit als een commoditydienst af bij een hyperscale provider als AWS of Google. Zo krijgen mijn eigen mensen de ruimte om op een meer strategisch niveau over security na te denken. Welk dreigingsniveau heb ik waar in de organisatie? Waar zet ik de firewalls in? Om dat adequaat in te kunnen schatten heb je risicoanalyses nodig die gebaseerd zijn op business-uitgangspunten. En die business, daar hebben organisaties zelf natuurlijk het meeste verstand van. Om die reden is het verstandig om de strategische kant van beveiliging in huis te hebben en te houden. Want als jij als organisatie niet weet waartegen je moet beveiligen, dan loop je het risico dat securitymaatregelen bedrijfsprocessen tegenhouden of er een rem op zetten omdat alles zo dichtgetimmerd is dat innovatie onmogelijk wordt.”
Die ankers in een IT-omgeving kunnen een behoorlijke barrière vormen voor vernieuwing. Want, zo onderstreept Breedijk, “securitymensen houden niet van verrassingen en veranderingen. En dat is nou precies de essentie van innovatie. Als je een securityexpert vraagt zich te wagen aan iets wat hij of zij niet kent, dan zal hij dat dan ook standaard weigeren. De toegevoegde waarde van security is immers het bieden van zekerheden. Maar je wilt niet dat je securityvoorziening je SaaS-dienst om de haverklap blokkeert. Of dat het softwareprogramma dat op de achtergrond zorgt voor de communicatie met de SaaS-dienst het label van malware meekrijgt en daarmee door de securityvoorziening overstemd wordt. Om dit soort effecten in die orkestratie adequaat te kunnen beoordelen, moet je vanuit de eigen organisatie een afdoende mix van tactische en praktische kennis rond security organiseren. Zolang je die expertise in huis hebt en houdt, en het commodity werk kunt uitbesteden, dan denk ik dat je op de goede weg zit. En ja, dan heb je wel mensen met de juiste expertise nodig. Die dichter bij de business zitten dan de klassieke security officer. Iemand ook die niet alleen maar als een politieagent rondloopt en mensen continu op hun fouten wijst. Maar iemand die medewerkers duidelijk maakt dat security een standaard onderdeel vormt van het kwaliteitsproces.”
Dat is natuurlijk niet voor iedere organisatie weggelegd. “Als je niet de middelen en kennis hebt om dat proces goed te begeleiden, dan zul je ook die securityfuncties gewoon moeten uitbesteden. Maar kijk dan wel eerst goed naar wat je precies nodig hebt en wat in jouw situatie mogelijk te veel van het goede is. Iemand met een eigen klusbedrijf kan zich veel geld en kopzorgen besparen door gebruik te maken van een basis-clouddienst met een uitstekende reputatie. En houd goed voor ogen dat je tegenwoordig vrijwel alles op securitygebied kunt uitbesteden, behalve de verantwoordelijkheid voor een veilige verwerking van de persoonsgebonden gegevens waarvan je organisatie gebruikmaakt. Dat een securityprovider nu in die verantwoordelijkheid deelt, doet aan dat laatste niets af. Security is en blijft dan ook in meerdere opzichten kritisch voor het functioneren van je organisatie.”
De Security Survival Pyramid
Schuberg Philis maakt bij zijn securityanalyses gebruik van het model van de ‘Security Survival Pyramid’ als raamwerk om de eigen dienstverlening te ordenen en klantorganisaties te helpen bij het maken van securitykeuzes die passen bij hun ambities en behoeften. Oorspronkelijk werd dit schema ontwikkeld door de bekende Amerikaanse ethische hacker en cybersecurityexpert Joshua Corman. Het model gaat uit van vier verschillende, hiërarchisch opgebouwde lagen of niveaus van beveiliging. Ieder niveau bouwt voort op de lagere, voorafgaande niveaus en biedt naar verhouding steeds minder veiligheidsopbrengsten per bestede euro. Schuberg heeft de piramide aangekleed met een verzameling van 40 tot 50 concrete maatregelen, processen of hulpmiddelen die uit de eigen dienstverlening voortvloeien. Daardoor is een geheel eigen versie van de piramide ontstaan, die doorlopend wordt aangepast aan de veranderende prioriteiten en technische mogelijkheden.
Aan de basis van de piramide staat de zogenoemde ‘defensible infrastructure’. Dit is de vesting die je bouwt als basisvoorziening tegen de bedreigingen op het internet. De voorziening bestaat uit software en een IT-infrastructuur die vanaf de basis zijn opgebouwd met beveiliging als integrale en overkoepelende vereiste. Altijd is er sprake van een geïntegreerde totaaloplossing met weerbaarheid als uitgangspunt, die is afgestemd op een nauwgezette, op de eigen organisatie toegespitste actuele dreigingsanalyse. Bij deze aanpak kan dus geen sprake zijn van bijvoorbeeld een firewall die achteraf op een al ontworpen IT-omgeving wordt aangezet. De IT-omgeving is vanuit het ontwerp al gesegmenteerd.
In de tweede laag bevindt zich alle kennis en kunde op securitygebied die de eigen organisatie, en/of de security services provider, in huis heeft. Hier speelt niet alleen puur technische kennis een rol. Het gaat er vooral ook om dat op basis van een combinatie van ervaring en afdoende kennis van nieuwe ontwikkelingen adequaat gereageerd wordt op incidenten. Corman heeft het in dit kader over ‘operational excellence’. De kanonnen zijn in stelling gebracht. Maar zijn de artilleristen ook wakker, fit en bekwaam genoeg om vriend van vijand te kunnen onderscheiden, en een vervelende mug van een kudde dolle olifanten? Of knallen ze er meteen vol op los? In de derde laag bevindt zich de situational awareness. Zijn we wel voldoende op de hoogte van alle bestaande risico's en bedreigingen? Kunnen we ook anticiperen op nieuwe ontwikkelingen, binnen en buiten de organisatie? We bevinden ons hier op het gebied van de security intelligence. Dit is een continu proces waarbij securityexperts een vinger aan de pols houden van actuele ontwikkelingen op securitygebied, inclusief de activiteiten van ethische hackers.
Pas op het vierde en hoogste niveau is er aandacht voor tegenmaatregelen in de vorm van specifieke beveiligingshulpmiddelen en managed securityservices. Zij zijn het minst kosteneffectief en moeten eigenlijk alleen worden ingezet als zich specifieke actuele dreigingen voordoen. Ze vormen het tegendeel van ‘security by design’: het zijn de noodzakelijke stopmiddelen voor als de eerste drie beveiligingslagen door een onvoorziene gebeurtenis of bedreiging niet afdoende blijken te werken. Dit worden ook wel mitigerende maatregelen genoemd, waarover het meest wordt gepraat op securitycongressen. Maar waar je het liefst zo weinig mogelijk mee te maken hebt, omdat ze vooral van pas komen nadat zich al een potentieel ernstig security-incident heeft voorgedaan.
Frank Breedijk is Security Officer bij Schuberg Philis, Sytse van der Schaaf is Research Consultant bij METRI.
