Security is hot. Informatiebeveiliging bedrijven schieten als paddestoelen uit de grond. In hoog tempo worden producten gelanceerd die dé oplossing zijn voor informatiebeveiliging problemen. Hypes volgen elkaar daarbij snel op. Om er een paar te noemen: next generation firewall, next generation anti virus, zero day protectie, advanced persistence threat protectie en endpoint security (al dan niet met machine learning gecombineerd). De producten en diensten vergen vaak een hoge investering. Deze oplossingen helpen echter slechts tegen script kiddies en criminelen zonder skills, maar absoluut niet tegen ervaren en gemotiveerde hackers.
Paard van Troje?
Daarnaast kopen kwaadwillenden deze “oplossingen” ook om hun aanvallen te testen. Ze kunnen dus gemakkelijk testen of hun malware herkend wordt en hebben daardoor een tijd vrij spel om hun malware te verspreiden. Pas op het moment dat de malware genoeg schade heeft aangericht, zodat zij opgemerkt wordt door anti-virus ontwikkelaars, wordt er een update ontwikkeld voor anti-virus systemen. Malware ontwikkelaars maken daarbij ook gebruik van de voordelen van ‘de cloud’: doordat computing power goedkoop is kunnen ze makkelijk veel systemen inzetten om hun malware te testen. Ook machine learning wordt daarbij ingezet, (zie ook dit Guardian360 blog: https://www.guardian360.eu/nl/kunstmatige-intelligentie-versus-anti-virus-let-the-games-begin).
Naast dat de “oplossingen” dus niet goed werken, zorgt de snelle oplevering ervan dat de producten zelf niet veilig zijn. Voorbeelden hiervan zijn de backdoors in firewall apparatuur (https://arstechnica.com/information-technology/2016/01/secret-ssh-backdoor-in-fortinet-hardware-found-in-more-products/), remote code execution in diverse Anti-Virus end point security oplossingen. Of zelfs ernstige kwetsbaarheden in SIEM software die het mogelijk maakt om het centrale security systeem over te nemen. Het is natuurlijk een zeer kwalijke zaak als je bedrijfsomgeving juist door het inzetten van een security product volledig wordt gecompromitteerd. Security partijen zijn daarbij een populair doelwit van black hat hackers en worden daarom zelf ook gehackt, denk bijvoorbeeld aan de recente hack van Mandiant (https://blogs.wsj.com/moneybeat/2017/07/31/fireeye-shares-fall-after-hackers-target-cybersecurity-analyst).
Het zero day sprookje
In de praktijk blijkt dat zero days nauwelijks ingezet worden om bedrijfsnetwerken te hacken. Waarom zou een black hat hacker die moeite nemen als er standaard office functionaliteit beschikbaar is om malware te activeren op een werkplek? Je hebt namelijk maar een gebruiker nodig die een office macro met malware activeert en het hele netwerk ligt open! Want als je code kunt uitvoeren op een systeem, al is het maar een ’simpele’ werkplek, dan kan een hacker software (https://github.com/gentilkiwi/mimikatz) activeren die wachtwoorden gaat ophalen uit het geheugen. Andere software brengt het netwerk verder in kaart zodat de black hat hacker weet welke netwerklocaties hij extra aandacht moet geven. Het inzetten van een zero day levert daarnaast ook het risico op dat de partij die de zero day ontvangt deze logt of afvangt, met de kans dat de zero day daarmee ontdekt wordt en opgelost wordt. Daar gaat al het onderzoek en kosten die in de zero day ontwikkeling gestoken zijn.
Systemen die beloven dat ze zero days onderscheppen liegen de aanschaffers ervan voor. De systemen werken voornamelijk reactief en op basis van bekende ‘signatures’ (zie ook dit Guardian360 blog: https://www.guardian360.eu/nl/anti-virus-is-dood-lang-leve-anti-virus) of op patronen die in eerdere zero day exploits gevonden zijn. De producten kunnen alleen bedreigingen herkennen die lijken op een al bekende bedreiging. Totaal nieuwe bedreigingen die hier van afwijken worden niet gezien of herkend. Echte zero day protectie bestaat dus niet!
Threat intelligence stupidity
Partijen die threat intelligence aanbieden zorgen voor informatiebronnen met informatie over bedreigingen. Je kunt je echter afvragen of het zinvol is om informatie te krijgen over een hack in China, waar jij in Nederland wellicht nooit mee te maken krijgt? Voor veel it-afdelingen zorgen deze informatiestromen voor alleen maar meer data, zonder dat het bruikbare informatie is waar ze echt wat mee kunnen. De bedragen die leveranciers van deze informatiebronnen vragen zijn hoog, we hebben offertes van $ 500.000,- gezien. Dat is een heleboel geld voor informatie die in veel gevallen geen informatie hoeft te zijn, of juist gratis verkrijgbaar is via diverse ‘open’ bronnen!
Een ander voorbeeld zijn ‘suit impressors’ zoals de Norse Attack Map. Door http://map.norsecorp.com op een scherm te tonen lijkt het net alsof er de hele dag aanvallen zijn tussen verschillende landen. Veruit het meeste verkeer dat daarom zichtbaar is zijn geautomatiseerde scans van honeypots die over de hele wereld verspreid staan. Deze scans doen weinig kwaad, maar het overzicht ziet er zo spannend uit, dat bestuurders al snel denken dat ze continu onder vuur liggen.
Deze threath intelligence blijkt dus in veel gevallen niet meer te zijn dan ’spiegeltjes en kralen’ die er weliswaar leuk uitzien, maar voor veruit de meeste bedrijven geen zinvolle informatie opleveren!
Samevattend bestaat de cyber bubble uit een aantal bubbles:
De vacaturebubble
Tijdens de internet bubble werden systeembeheerders in de showroom van een autodealer aangenomen. Kon je een windows NT cd opstarten, of meepraten over het millennium probleem? Dan had je gelijk een baan en bijbehorende leaseauto. De vraag naar specialisten is groot, daardoor wordt het aanname proces minder kritisch en nauwkeurig. Toen de problemen niet zo groot bleken zaten bedrijven met een overschot aan specialisten die niet meer ingezet of omgeschoold konden worden. Binnen de informatiebeveiliging zien we dit weer ontstaan. Met een CEH certificaat kun je aan de slag als informatiebeveiliger. Als je kali linux of metasploit kunt opstarten kun je direct als pentester aan de slag.
Helaas ontberen veruit de meeste informatiebeveiligers de juiste kennis en ervaring om systemen echt te beveiligen. Dat probleem is niet eenvoudig te tackelen. Kennis over security werd in het verleden slecht gedeeld, het lijkt iets beter te gaan, maar daar is nog een flinke slag te maken. Daarnaast zijn de echt goede hackers al vanaf hun 12e bezig met het reverse engineeren van systemen en het hacken van IT-omgevingen. Deze ervaring doe je alleen op met uren maken en doe je niet op met het behalen van een CEH certificaat of het volgen van een training.
Daarnaast wordt er onvoldoende gebruik gemaakt van automatisering. De systemen die nu op de markt zijn zorgen alleen maar voor meer werk. Systeembeheerders worden geacht om elke kwetsbaarheid afzonderlijk op te lossen. Threat feeds hoesten een eindeloze stroom aan ‘informatie’ op en SIEM zorgt voor een grote hoeveelheid alerts. Deze stroom aan data zorgt ervoor dat een beheerder alleen maar minder overzicht krijgt en zich niet kan focussen op wat belangrijk is. Daarom zorgen we er binnen het Guardian360 platform voor dat we zoveel mogelijk echte informatie tonen, in plaats van alleen maar meer data.
De investeringsbubble
De markt is nog zo onvolwassen dat het voor klanten onmogelijk is om producten en diensten te vergelijken. Mensen weten momenteel niet waar ze in moeten investeren. In de media lezen ze dagelijks nieuws over hackers, ransomware en de algemene verordening gegevensbescherming. Doordat ze niet de juiste kennis hebben worden ze bang. Angst is een slechte raadgever, daardoor kopen ze maar iets om veilig te zijn. De fabrikant die het hardste schreeuwt dat hij dé oplossing heeft wordt gezien als magic quadrant leader, zonder dat er gekeken wordt of de oplossing echt doet wat er beloofd wordt. Hij krijgt echter wel de deal, een klant kan toch niet makkelijk achterhalen of het klopt en verwacht zijn angst af te kopen… Het grote probleem daarbij is dat de businesscase niet goed in kaart gebracht wordt (zie ook dit Guardian360 blog: https://www.guardian360.eu/nl/hoe-bepaal-businesscase-informatiebeveiliging).
Dit is vergelijkbaar met de vastgoedbubble: er werd geïnvesteerd in stenen in de verwachting (of heilige overtuiging) dat de waarde alleen maar kon toenemen. Nu wordt er geïnvesteerd in oplossingen die de organisatie veilig houdt, terwijl dat niet kan… Ook zal de algemene verordening gegevensbescherming van organisaties vragen dat ze opnieuw investeren in informatiebeveiliging. Het benodigde budget voor informatiebeveiliging zal de komende jaren alleen maar hoger worden.
De waarderingsbubble
Informatiebeveiliging bedrijven krijgen veel aandacht van (durf)investeerders. Bedrijven die een oplossing (lijken te) hebben kunnen eenvoudig investeringsgeld ophalen. Rapporten over marktontwikkeling, potentiële omzetten en winsten worden gebruikt om de bedrijfswaarde op te pompen, terwijl de werkelijke cijfers deze niet onderbouwt. Soms is het zelfs zo dat een bedrijf een oplossing aanbiedt waar de informatiebeveiliging industrie zelf niet eens in gelooft. Veel afnemers zullen de komende jaren van een koude kermis thuis komen. Leveranciers gaan failliet doordat hun businessmodel niet goed is of hun oplossing geen oplossing blijkt te zijn. Investeringen in dit soort bedrijven zullen een desinvestering blijken te zijn.
De veiligheidsbubble
Mensen investeren in oplossingen in de verwachting dat de organisatie dan veilig is, terwijl 100% veiligheid niet gegarandeerd kan worden! Toch wordt het door fabrikanten wel beloofd. Koop hun product of dienst en je hebt geen last meer van virussen, malware, hackers en/of cryptolockers. Daardoor zullen bedrijven die zich veilig wanen toch gehackt worden of geconfronteerd worden met een ander incident.
Advies
Mijn advies is om op het gebied van informatiebeveiliging ‘bezint, eer gij begint’ toe te passen. Bedenk eerst wat waardevolle informatie en belangrijke informatiesystemen zijn. Breng de waarde ervan in kaart en schat de kans in dat iemand deze zou willen binnen dringen. Pas dan kun je nadenken over mogelijke oplossingen en de bijbehorende businesscase. Zie ook dit Guardian360 blog: https://www.guardian360.eu/nl/hoe-bepaal-businesscase-informatiebeveiliging.