Trick or treat’: een Halloween security-les

Mike Bursell is Chief Security Architect bij Red Hat

Eigenlijk is Halloween helemaal niet aan mij besteed. Tijdens dit festijn zou ik het liefst de gordijnen sluiten en doen alsof er niemand thuis is. Terwijl ik daar over nadacht, realiseerde ik me dat wij als security professionals misschien nog wel wat kunnen leren van het hele ‘trick or treat’-gebeuren.

Volgens mijn Amerikaanse collega’s is de kern van Halloween dat kinderen naar je huis komen met de bedoeling je de stuipen op het lijf te jagen. Je krijgt hierbij wel een keuze: je laat je bang maken (de ‘trick’), of je koopt de angstaanjagende boefjes af met allerlei snoep en suikergoed (de ‘treat’). Ben je een hippe moeder of vader? Dan is dit natuurlijk een no-go en sta je uren in de keuken om gezonde tortillachips van quinoa voor de kinderen te bakken. 

Wat mij opviel aan het hele fenomeen is dat iedereen kiest voor de ‘treat’, ofwel het afkopen van de schrik. Terwijl het soms juist goed is even om bang te zijn. Dit geldt ook voor organisaties. Als je niet van tijd tot tijd angst ervaart, kun je vervallen in een van twee modi: (1) zelfingenomenheid of (2) blinde paniek.

Bedrijven die in de zelfingenomen staat verkeren, zijn zich wel bewust van mogelijke bedreigingen, maar denken dat ze voldoende maatregelen hebben genomen. Ze denken dat elke 8 tot 12 weken security-patches doorvoeren wel voldoende is om een ramp te voorkomen. Maar dat is niet het geval. Als jouw organisatie wordt aangevallen of je systemen zijn besmet met malware, dan kan je dagelijkse business op zijn gat vallen en loopt je reputatie een flinke deuk op. Ook kun je vervolgd worden onder de Algemene Verordening Gegevensbescherming (AVG) en staat je baan op het spel.

Bedrijven die in de paniekmodus verkeren, zien in signalen meteen de meest desastreuze situaties. Elke piek in het netwerkverkeer wordt gezien als een DDoS-aanval en ze voeren continu de laatste systeemupdates door, zonder de gevolgen voor productie in te calculeren. En het development-team mag niets implementeren zonder dat het eerst het 64-stappenplan heeft doorlopen dat jaren geleden gehaast werd opgesteld toen de baas lastminute om het veilige development lifecycle-proces van de organisatie vroeg. Het ergste dat hierdoor kan gebeuren, is een complete verlamming van je organisatie door onderling wantrouwen en het afschuiven van schuld op elkaar. Je organisatie valt stil en kan niet verder ontwikkelen op het tempo van de competitie. 

Gelukkig is er nog altijd de gulden middenweg. Die houdt in dat je voorbereid moet zijn op onvoorziene situaties, maar ook ruimte moet laten voor verandering. Dit pad kun je alleen bewandelen door af en toe wat angstgevoelens toe te laten. De mens heeft deze adrenalinekick nodig om te leren en vooruit te denken. Ik wil helemaal niet beweren dat we nu al onze systemen open moeten gooien, zodat aanvallers schade kunnen toebrengen aan je bedrijfssystemen. Dat zou hetzelfde zijn als een hoofdpersonage in een horrorfilm aanmoedigen juist dat donkere bospad op te lopen waar anderen op mysterieuze wijze zijn verdwenen. Wat ik wel zeg is dat je een vorm van controle moet houden, en vooral, dat je voorbereid moet zijn op eventuele aanvallen.

De eerste stap om je voor te bereiden is door een risicoanalyse te doen. Welke data, welke systemen, welke mensen en welke processen kunnen je organisatie schade toebrengen als ze aangetast zijn of onbruikbaar zijn geworden? Wat zou de impact daarvan zijn? Als je dit in kaart heb gebracht, weet je precies waar je meeste aandacht aan moet besteden. Je kunt ook nadenken over de verschillende typen aanvallen en aanvallers, ook al is het raadzaam hier niet te lang over na te denken. Elke aanval zal toch een onverwachte verrassing zijn. Om het verrassingselement te beperken kun je een team inhuren of een interne brainstorm houden. Aan deze brainstorm moeten mensen van alle afdelingen van het bedrijf deelnemen. Mensen van de juridische of salesafdeling zullen een heel andere kijk op de situatie hebben dan de IT-afdeling. 

Hoe tegenstrijdig het ook klinkt, het gaat niet zozeer om proactief te handelen, maar meer om het voorbereiden om op de juiste manier te handelen als er een aanval plaatsvindt. Het is niet meer een geval van “als” we aangevallen worden, maar “wanneer”. Het zal voor veel opluchting zorgen als het personeel weet wat het moet doen als er iets onverwachts gebeurt. Dat geldt voor alle lagen van het bedrijf, van de directeur tot de secretaresse. Ze moeten allemaal voorbereid worden op hun taak bij een eventuele aanval. Als hier geen proces voor is, zullen mensen op dit soort momenten nooit de juiste dingen doen en de juiste mensen inlichten, en dan ontstaat er paniek.

Wat is dan het allerbelangrijkste? Automatiseren. Mensen zijn beperkt in hoe snel ze kunnen analyseren en handelen. En aan de andere kant kunnen machines nog geen slimme beslissingen nemen (ook al komt dat wel dichterbij door de opkomst van machine learning en artificial intelligence), maar ze kunnen wel zonder onderbrekingen in hoog tempo werken. Jij bent natuurlijk wel degene die beslist wanneer ze iets analyseren en waar ze prioriteit aan geven. Hierbij moet je denken aan vragen als: “Heeft het online houden van de online shop prioriteit, of het analyseren van een mogelijke malware attack?” Dit heeft veel te maken met de gemaakte keuzes in je risicoanalyse. Machines zijn verder slecht in het voorspellen van onverwachtse zaken, dus moet jij bepalen welke gebeurtenissen ze precies moeten monitoren. Ook kunnen machines nooit alles zien en begrijpen. Denk bijvoorbeeld aan het volgen van het nieuws over een nieuw soort ransomware-aanval, of een bezoeker die een usb-stick in een niet-geautoriseerde computer stopt. Jij moet jouw bedrijf op zulke gevallen voorbereiden en het personeel ervan overtuigen dat mensen daar een belangrijke rol bij spelen. Of natuurlijk zombies, weerwolven of vampiers – afhankelijk van je persoonlijke voorkeur.