Alles wat je hier ziet; dat vinden wij nou interessant, en we hopen natuurlijk dat jij dat ook vindt. Alle artikelen, blogs en video’s die je hier ziet gaan over waar wij ons de hele dag mee bezig houden; solliciteren, ict-arbeidsmarkt, evenementen, it-ontwikkelingen en natuurlijk nog veel meer.
Terug naar het overzicht

Security hier – security daar – zorg dat je voorbereid bent

Categorieën: Summit

Wouter Arts – Ethisch hacker – security specialist bij Smarts IT/ Security en spreker tijdens de Security Summit op 20 september bij iSense ICT Professionals. Wij vroegen Wouter naar zijn visie op de huidige ontwikkelingen rondom security. Iedere IT’er is het inmiddels wel gewend; zo’n beetje alles draait om security – security in de basis opnemen – budget vrij maken voor security – hacks – security audits en awareness verhogen. Het is Security dat de klok slaat.

Weten we inmiddels alles niet al over digitale veiligheid?
IT bestaat inmiddels uit zoveel vakgebieden en specialisaties. Het is in het huidige landschap onmogelijk om alles te beheersen. Voor security geldt hetzelfde; er zijn zo veel disciplines. Voorheen was security de verantwoordelijkheid van netwerkbeheerders, dat is al lang niet meer zo; het is geen gedeelde verantwoordelijkheid en iedere IT’er heeft er dagelijks mee te maken.

Ik ben daarom voorstander van de verantwoordelijk voor IT-security bij een afdeling of iemand beleggen binnen iedere organisatie. Het is namelijk nog lang niet altijd zo dat er een security expert meekijkt naar opgeleverde producten of daar vanaf het begin in mee denkt. Wat mij betreft worden er twee vragen vergeten:

Voldoet dit product aan ons (security) beleid en voldoet het aan de eisen van de huidige wet- en regelgeving en aankomende Global Data Protection Regulation (GDPR)?
Wat IT’ers naar mijn idee zouden moeten leren is om bij alle activiteiten, projecten, initiatieven, changes en ga zo maar door, altijd security mee nemen in de basis en dus ook in het budget. Deze budgettaire verantwoordelijkheid ligt bij de IT’er en bij het bedrijf (lees; C-level). Een eindverantwoordelijke, bijvoorbeeld een CIO, moet wel gevoed worden door zijn/haar IT’ers.
 

Wat te doen met de huidige kwetsbaarheden – bijvoorbeeld EternalBlue?
Over EternalBlue is veel informatie bekend en er zijn ook al geruime tijd security updates vanuit Microsoft beschikbaar. De details en verdere informatie ga ik natuurlijk in mijn sessie samen met Remko Weijnen geven maar, de kwetsbaarheid was niet bekend en dat het zo schadelijk kon zijn ook niet. Tegen ‘Zero Days’ kun je je niet wapenen (Zero Days – kwetsbaarheden die uitlekken op ‘dag nul’ waar nog geen patch voor is).

Tegenwoordig kom je regelmatig bedrijven tegen die beweren dat zij met Artificial Intelligence bijvoorbeeld mimikatz tegen kunnen houden. Niets is minder waar; genoeg voorbeelden van tools die dat soort next-gen endpoint security programma’s kunnen omzeilen. 


Het betreft vaak Cryptolockers of (crypto)malware
In feite zijn dit gewoon programma’s of applicaties. Vaak wordt misbruik gemaakt van een kwetsbaarheid in Windows, middleware (bijvoorbeeld: Java, Flash, Silverlight, etc.) of een applicatie zoals Office of PDF Reader. Vervolgens wordt, afhankelijk van de rechten van het geïnfecteerde account waaronder het programma wordt uitgevoerd, schade toegebracht aan het systeem. De volgende stap is dat andere systemen in datzelfde netwerk ook aangevallen worden.

Dit soort cryptolockers of malware – daar zitten ook gewoon Bugs in
Vaak, en gelukkig, zitten in dit soort malware ook gewoon bugs. Simpelweg ontwikkelfouten, hackers hebben vaak geen ontwikkelstraat met een ‘vier-ogen principe’. Toch is sommige malware echt goed gemaakt, vaak hebben deze als doel om heel veel geld te verdienen. Als je dat vergelijkt met Wanna-Cry dan heeft Wanna-Cry betrekkelijk weinig geld opgeleverd. Enkele tienduizenden euro’s.

Wat je niet weet, dat weet je niet.
Écht goede hacks of echt goede hackers hoor en zie je niet en die komen al helemaal niet in het nieuws. Er zijn hacks bekend waar honderden miljoenen euro’s zijn gestolen, werd in de media niet veel over gerept en die honderden miljoenen zijn nog steeds spoorloos. Goede hacks worden niet bekend. Wat je niet weet, dat weet je niet.

Valt de schade mee of tegen?
Dat ligt echt aan de context, impact, data- en productieverlies. Als je het nu aan APM/Maersk Terminals vraagt…. Het kan potentieel in de honderden miljoenen lopen, bij Renault lag de productieband voor lange tijd stil. Het is in ieder geval niet bevorderlijk voor het imago van het bedrijf.

Het wordt alleen maar erger en meer; dagelijks zelfs. Zeker als de grote geheime diensten (bijvoorbeeld: Amerika, Rusland, China) ‘Zero Days’ op blijven sparen, die zo nu en dan uitlekken doordat zij zelf gehackt worden. De exploits worden geavanceerder en het worden er meer. Bedrijven gaan vervolgens ook nog eens publiekelijk aan de schandpaal, Name & Shame.

Geheime diensten geven miljarden uit aan Cyber Security
De verschillende geheime diensten geven bedragen uit die wij niet voor mogelijk hielden. ‘Obamacare’ wordt geprobeerd af te schaffen omdat dit 300 miljard zou besparen, een gigantisch bedrag. Echter valt dit in het niet bij de uitgaven aan cyber security. Alleen al het Pentagon gaf in 2015 5,5 biljoen uit aan Cyber Security. Deze cijfers zullen vast niet exact kloppen maar laat deze op zijn minst een indicatie zijn. De geheime diensten luisteren met grote waarschijnlijkheid (delen van) het internet af, zij hebben er op zijn minst het budget en de mensen voor. Zij zullen alles doen om kleine ‘concurrentievoordelen’ te behalen.

Worden hacks slimmer of…?
Iedere software en hardware bevat bugs. Dus ook security bugs, afhankelijk van de adoptie van de oplossingen richten hackers (en geheime diensten) daar meer of minder aandacht op. Het is een zeer gevarieerde groep, van professionele blackhat hackers die er een beroep van gemaakt hebben tot slimme ‘kinderen’ die op jonge leeftijd hebben leren programmeren. Neem de ‘Ziggo storing’ een paar dagen lang zaten duizenden huishoudens zonder internet. Gewoon een jongen die met zijn eigen ip-adres, dat dan weer wel, het Ziggo netwerk probeert plat te leggen.

Patchen is als poetsen
Patchdiscipline moet binnen iedere organisatie verankerd zijn. De Plan-Do-Check-Act methode past hier goed bij. De meeste aanvallen kunnen simpelweg voorkomen worden door up-to-date te zijn qua updates en patches. Ik zeg altijd en ik zeg het tijdens mijn sessie weer: “patchen is als poetsen, poets je niet goed dan krijg je gaatjes”.
Een gedegen en nageleefd update beleid is de oplossing. Wanneer binnen een omgeving de juiste middelen/tools aanwezig zijn en de juiste mensen daar de juiste handelingen mee uitvoeren dan kost het weinig moeite om up to date te blijven.

Ik mis bij veel organisaties een sense of urgency hoe belangrijk IT-security is. Iedereen denkt: “ach het valt wel mee, het waait wel over”. Dat is niet waar, bepaal je strategie op het feit dat je al gehackt bent en dat je er geen weet van hebt. Er zijn zeker bedrijven waar hele volwassen IT afdelingen zijn; goede mensen met goede tools. Helaas zijn deze zeldzaam. Ik schat dat zo’n tachtig procent van de Nederlandse bedrijven niet adequaat kan handelen als een noodpatch uitgerold dient te worden.

Je eigen trouwfoto’s op straat
Bedrijven en IT’ers zien de urgentie pas als het hen zelf overkomt. Als ik tijdens een pentest volledige controle heb over systemen kan ik vaak echt alles. Denk hierbij aan webams aanzetten, afluisteren, print screens maken, live meekijken, echt alles kan. De urgentie dringt pas echt door als ik het dan over trouwfoto’s, babyfoto’s en belastingaangiftes heb. Bedrijfsgegevens voelen toch minder urgent dan eigen materiaal.

Recente artikelen
op7-5-2019 10:00
1063 bekeken | 0 reacties
op30-4-2019 16:00
877 bekeken | 0 reacties

Reageer

CAPTCHA ImageNieuwe codeSpeel de code af
Auteur
iSense / Wouter Arts
Publicatiedatum
20-03-2017
Reads
2063
Comments: No comments
Share
Onze updates als eerste ontvangen?

Wil jij al onze events, whitepapers en blogs als eerste ontvangen? Gebruik onderstaande button om je aan te melden voor onze maandelijkse update!

Schrijf je in

Weet u zeker dat u de pagina wilt verlaten?
U heeft wijzigingen gedaan aan het formulier op deze pagina en deze gegevens nog niet opgeslagen. Weet u zeker dat u deze pagina wilt verlaten?