Op 30 november 2015 publiceerden het NCSC en de AIVD praktische informatie voor bedrijven om hun netwerk veilig te houden. In het document gaan de organisaties vooral in op het onderwerp detectie: hoe zie je of er een aanval is geweest en of de genomen maatregelen echt werken? Saillant detail: Sybrand Buma (CDA) pleitte er op 22 november 2015 nog voor om de AIVD meer bevoegdheden te geven voor bijvoorbeeld het aftappen van verbindingen. Diezelfde organisatie adviseert nu het Nederlandse bedrijfsleven over de beveiliging van hun netwerken.
Die ogenschijnlijke dubbelrol van de AIVD is minder vreemd dan u denkt. Vriend en vijand maken gebruik van alle voordelen die internet ons biedt. Organisaties kunnen door de cloud profiteren van het delen van resources, en criminelen kunnen dat helaas ook. Het is dan ook logisch dat de AIVD enerzijds meewerkt aan het beschermen van ons economisch belang en anderzijds probeert criminelen te ontmoedigen.
Het eerste dat opvalt aan het document van het NCSC en de AIVD is de grootte ervan: 44 pagina’s schoon aan de haak. Deze omvang zorgt ervoor dat de gemiddelde ondernemer ervoor kiest om het document ‘later nog eens te bekijken’, waarna het waarschijnlijk onderop de (digitale) stapel komt te liggen. Dat is jammer, want het document bevat veel informatie en goede uitleg over begrippen als Intrusion Detection Systeem (IDS), Intrusion Prevention Systeem (IPS) en Security Information and Event Management (SIEM). Aan de hand van diagrammen en andere figuren worden in het document processen beschreven en door middel van tabellen worden de verschillende oplossingen met elkaar vergeleken. Het is een aanrader om het document een keer door te nemen, maar een praktisch document zou ik het niet willen noemen.
Waar ik ook moeite mee heb, is de expliciete splitsing die de organisaties hebben aangebracht tussen preventie en detectie. Naar mijn mening kun je deze twee onderwerpen niet los van elkaar behandelen. De mate van volwassenheid van een organisatie op het gebied van informatiebeveiliging bepaalt de preventieve maatregelen, maar ook de mitigerende en curatieve. Wordt de organisatie meer volwassen, of verandert de IT-omgeving, dan moeten alle maatregelen weer opnieuw beoordeeld worden. Dat is een continu proces. Daarbij komt dat de oplossingen van de AIVD en NCSC voor veel ‘false positives’ zorgen: de systemen melden – zeker in het begin -, veel kwaadaardig verkeer, zonder dat het daadwerkelijk kwaadaardig verkeer betreft. De praktijk leert dat veel systeembeheerders daardoor het vertrouwen verliezen in de systemen en vervolgens minder waarde hechten aan de meldingen. Ook gebeurt het vaak dat slechts delen van het internetverkeer gescand worden, waardoor er een onvolledig beeld ontstaat.
Waar moet je als organisatie dan wel beginnen met het inrichten van detectie? Ik ben van mening dat het voor organisaties zinvol is om het (meestal relatief lage) budget dat ze hebben in te zetten op die maatregelen die het meeste effect hebben, maar het minste kosten. Daarnaast is het zinvol om te beginnen met een oplossing die een relatief lage belasting geeft voor de huidige beheersorganisatie. Dat is wat mij betreft het in kaart brengen van kwetsbaarheden, waarna een organisatie zelf bepaalt welke zij als eerste oplost. Het uitbesteden van het beheer en/of de opvolging van meldingen van IDS, IPS of SIEM kan natuurlijk ook. Als organisatie moet je je dan wel afvragen en in kaart brengen of je zelf nog in control bent.
Om al deze redenen bieden we bij Guardian360 een centrale oplossing die kwetsbaarheden detecteert (preventie), deze inzichtelijk maakt aan de klant (detectie) en probeert eventuele hackers snel te betrappen (detectie) zonder dat de beheersorganisatie van klanten eronder leidt. Daarbij zijn klanten in control en kunnen ze op ons terugvallen voor ondersteuning. Neem contact met ons op, we vertellen u graag meer!