2 juli 2018 3 min Auteur: Erik Remmelzwaal

De 5 belangrijkste security lessen

Kennis is nog altijd het machtigste wapen tegen cybercriminaliteit. Daarom stond het securityevent D3NH4CK, georganiseerd door dochteronderneming DearBytes, in het teken van het delen van die kennis. Deze vijf inzichten stonden centraal.

D3NH4CK was in allerlei opzichten geslaagd. Het event toonde de kracht en het enthousiasme van de ethical hacker-community. Zo was de betrokkenheid waarmee de sessies werden bijgewoond, en de sfeer tijdens de Capture The Flag-hackwedstrijd enorm fanatiek. Het is bewonderenswaardig te zien met hoeveel passie zij samenwerken en kennisdelen als je ze daarvoor de gelegenheid geeft. Dat biedt kansen voor de verbetering van cyberweerbaarheid van organisaties. Daar moeten en kunnen we nog veel meer van profiteren, zo concludeerde ook het Economic Board Zuid-Holland.

Er viel in ieder geval genoeg te leren over security. Dit waren de 5 belangrijkste lessen:

1. Consumenten-IoT: houd rekening met datalekken

Het Internet of Things (IoT) biedt prachtige mogelijkheden, maar brengt ook risico’s met zich mee. Mattijs van Ommeren, Principal Security Consultant bij Nixu Corporation, ontdekte acht jaar geleden een ernstig lek in een populaire consumenten-NAS, waardoor hij toegang kreeg tot de bestanden van willekeurige eigenaren van het model. Acht jaar later is er volgens hem maar weinig veranderd, zo bleek uit een steekproef met een populaire IP-camera.

Wesley Neelen heeft eveneens zijn bedenkingen bij de veiligheid van IoT-apparaten voor consumenten. De ethical hacker van DearBytes ontdekte recentelijk een groot lek in kindersmartwatches. Kwaadwillenden konden door het lek de actuele locatie van kinderen achterhalen. Ze hoefden daarvoor niet eens in de buurt te zijn.

Volgens Van Ommeren en Neelen zijn hun bevindingen geen uitzonderingen. Security is voor veel consumentgerichte IoT-fabrikanten geen prioriteit. Hun advies: het Internet of Things biedt kansen, maar ga ervan uit dat data die ermee worden verwerkt ooit in handen van derden komen.

2. Security draait niet alleen om techniek

Boardrooms van Nederlandse bedrijven maken vaak verkeerde keuzes als het gaat om security. Dit was een belangrijke conclusie die klonk tijdens ‘the Boardroomgame’. Tijdens deze simulatie vormden de deelnemers de directie van de fictieve fietsenfabriek Antilopen. Ze kregen een beperkt budget voor de aanschaf van beveiligingsmaatregelen over meerdere rondes. Na iedere ronde hoorden de deelnemers aan welke dreigingen de organisatie had blootgestaan.

Dat verliep niet vlekkeloos. De deelnemers investeerden pas in de derde ronde in een beveiligingsbeleid en incident-response, terwijl dergelijke elementaire zaken juist vanaf het eerste moment belangrijk zijn. Deze benadering kwam volgens de deelnemers goed overeen met de werkelijkheid, waarin deze zaken ook vaak ondersneeuwen. Security is niet enkel een kwestie van techniek, maar ook van beleid, processen en mensen.

3. Responsible disclosure: belangrijk wapen tegen cybercriminaliteit

Organisaties zouden veel meer gebruik moeten maken van de kennis en kunde van de hackersgemeenschap, zo betoogt Zerocopter CEO Edwin van Andel. Veel ethical hackers zijn bereid aangetroffen kwetsbaarheden te melden zonder daarvoor een financiële vergoeding te verwachten. Toch doen ze dat vaak niet, omdat ze het risico lopen aangeklaagd te worden voor computervredebreuk.

Dit probleem is met een responsible-disclosurebeleid eenvoudig te omzeilen. In een verklaring geeft de organisatie aan op welke manier een ethical hacker een lek netjes en zonder consequenties kan melden. Zo is het niet kies een lek te delen met de rest van de wereld voordat het is opgelost. Ook aangetroffen data behoren hackers met rust te laten. In ruil daarvoor belooft de organisatie geen aangifte te doen bij een melding.

Inmiddels is een ISO-normering opgesteld voor een dergelijk beleid. Ook het NCSC heeft hiervoor richtlijnen opgesteld.

4. Cyber Fusion Cell: threat intelligence 2.0

Kennis is macht, en dat geldt ook voor security. Kennisverwerving is dan ook precies het doel van threat intelligence, de securitydiscipline die draait om het vergaren van inzicht in cyberdreigingen. Volgens Matthijs van der Wel van PwC gaat dat wel gepaard met de nodige uitdagingen. Threat intelligence is enorm veelomvattend. Het beslaat kennis over de vijand, maar ook over de eigen organisatie.

Deze inzichten zitten vaak ‘verstopt’ in silo’s: bij individuen, in securitylogs en databases vol ongestructureerde gegevens. Die silovorming bemoeilijkt het verkrijgen van een goed inzicht in de situatie en maakt het lastig op basis van die inzichten acties te ondernemen.

Een mogelijke oplossing is de creatie van een soort intelligence-dashboard waarop alle inzichten en informatiebronnen samenkomen: een Cyber Fusion Cell. Deze combineert en correleert diverse informatiebronnen en zorgt zo voor waardevolle inzichten. Alle actoren krijgen vanuit deze informatiecel de juiste, ‘actionable’ inzichten op het juiste moment aangereikt.

5. Gebouwautomatisering: nieuw aanvalsoppervlak voor hackers

Volgens Suzanne Rijnbergen, portfoliomanager Security bij KPN, zijn gebouwautomatiseringssystemen steeds vaker het slachtoffer van cyberaanvallen. Deze zijn namelijk in toenemende mate gekoppeld aan het internet. Daardoor kunnen hackers bijvoorbeeld de koeling uitschakelen, waardevolle data stelen of de lichten bedienen.

Deze risico’s bestaan niet alleen in theorie. Zo werd de Amerikaanse winkelketen Target slachtoffer van een hack. De aanvallers kwamen binnen op het netwerk via de systemen waarmee een externe partij de airco’s beheerde. Uiteindelijk wisten de hackers de hand te leggen op creditcard- en NAW-gegevens van ruim 40 miljoen klanten.

Gelukkig is er een oplossing: BrAIN. Dit netwerkgebaseerde Intrusion Detection System (IDS) van KPN en SecurityMatters kan aanvallen op gebouwautomatisering herkennen en weren. Op basis van black- en whitelists controleert de oplossing de datacommunicatie binnen het gebouwbeheersysteem. Daarnaast herkent BrAIN misconfiguraties en manipulaties van deze systemen.

Erik Remmelzwaal

Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

- Auteur: Erik Remmelzwaal

Gerelateerde artikelen