Op 23 september is John Kindervag, Vice-President van Forrester Research, in Nederland. Hij is de keynote speaker op het jaarlijks congres Bright & Cloudy van IT-beveiliger ON2IT. Kindervag is in securitykringen vooral bekend als de grondlegger van het Zero Trust concept, een nieuwe kijk op de beveiliging van bedrijfsnetwerken.
Kindervag's idee klinkt simpel: vertrouw niets of niemand, en inspecteer alle dataverkeer op je netwerk. Toch was dat een jaar of vijf geleden nog vloeken in de security-kerk. De gangbare manier om een bedrijfsnetwerk te beschermen was gebaseerd op het idee dat je een boze buitenwereld had en een vertrouwd bedrijfsnetwerk. Aan de de poort stond een zogeheten firewall, een apparaat dat ongewenst verkeer moest tegenhouden. In het bedrijfsnetwerk zelf moesten virusscanners op pc's uitkomst bieden wanneer er toch een bedreiging door de poort was geglipt, maar voor de rest ging je ervan uit dat alle dataverkeer op het interne netwerk vertrouwd was.
Trust no one, inspect everything
In de Zero Trust wereld van Kindervag bestaan er geen vertrouwde bedrijfsnetwerken meer, als veilige haven voor het onveilige internet. Medewerkers, patiënten en leveranciers hebben steeds vaker toegang tot data in het netwerk van ziekenhuizen of GGZ-instellingen. Waar je voorheen een netwerk als Hyves nog kon blokkeren voor je medewerkers, spelen sociale netwerken
Het gangbare idee was dat je een boze buitenwereld had en een vertrouwd bedrijfsnetwerk
als Facebook, Twitter en LinkedIn tegenwoordig een duidelijke rol in de externe communicatie. Daarnaast vragen klanten en werknemers via tablets en smartphones het liefst 24/7 toegang tot het bedrijfsnetwerk. Kortom: een onveilige buitenwereld en een veilige binnenkant met een flinke muur eromheen is een fictie geworden. Elke server, elk apparaat en elke pc moeten beschermd worden tegen bedreigingen van buiten, en vooral de zogeheten kroonjuwelen, bijvoorbeeld elektronische patiëntendossiers.
In 2014 zijn het overigens niet langer virussen, maar zogeheten Advanced Persistent Threats (APT) die het grootste risico vormen voor de data van organisaties. Een APT is een langdurige en doelgerichte cyberaanval waarbij kwaadwillenden voor langere tijd toegang krijgen tot een netwerk. Het doel van een APT-aanval is niet om direct schade te veroorzaken, maar om continu toegang te verkrijgen en gegevens te stelen.
De opbouw van zo’n APT vertoont een herkenbare structuur. In
Een gehackt netwerk wordt gebruikt voor data-diefstal, maar ook voor aanvallen op andere organisaties
een eerste fase wordt het doelwit zorgvuldig verkend om zwakke plekken te vinden. De eerste aanval is er op gericht om een achterdeur te vinden, waarmee een vooruitgeschoven post beschikbaar komt om het netwerk van een organisatie van binnen uit verder te verkennen en zo veel mogelijk rechten te verkrijgen. Daarna kan eventueel extra malware worden geïnstalleerd en is alles er op gericht om niet gedetecteerd te worden door de beveiligingsmaatregelen.
Een netwerk dat eenmaal (deels) onder controle is van een criminele organisatie kan worden gebruikt voor data-diefstal, maar ook voor aanvallen op andere organisaties. Een bekend voorbeeld is de aanval op het Nederlandse DigiNotar in 2011, waarbij hackers de controle kregen over de uitgifte van zogeheten beveiligingscertificaten naar andere bedrijven.
Oude aanpak werkt niet meer
Het wordt steeds duidelijker dat de oude aanpak (het herkennen van bekende bedreigingen) niet meer werkt. Cybercriminelen gebruiken (en verhandelen onderling) bijvoorbeeld zogeheten Zero Day Exploits. Dit zijn bugs en lekken in bestaande software die nog niet bekend zijn bij de leverancier, laat staan bij de gebruikers van die software of hardware. Een bruikbare Zero Day Exploit levert op de zwarte markt honderdduizenden dollars op en stelt een aanvaller in staat om, totdat het lek is ontdekt, vrij spel te hebben. In sommige gevallen kan dat maanden of jaren zijn.
Wat is de beste aanpak voor die steeds slimmere cybercriminelen?
Op Bright & Cloudy 2014 geven ON2IT consultants, analysten en leveranciers antwoord op de vraag wat volgens hen de beste aanpak is voor die steeds slimmere cybercriminelen, Zero Day Exploits en APT's. Ook is er aandacht voor de (Europese) privacywetgeving die steeds strenger wordt. Lokke Moerel is als partner bij advocatenkantoor De Brauw Blackstone Westbroek verantwoordelijk voor de ICT portefeuille voor de internationale praktijk. Zij gaat in op de juridische aspecten van cyberaanvallen, privacy en datalekken. Volgens haar is de top van organisaties vaak onvoldoende betrokken bij het security- en privacybeleid. Dat kan ernstige juridische en financiële gevolgen hebben.
Hier vind je meer informatie over Bright & Cloudy 2014 en het programma van 25 september. Aanmelden kan via www.brightandcloudy.nl/
Plaats een Reactie
Meepraten?Draag gerust bij!