Onlangs werd de volgende lichting cybersecurity-experts getraind in Amsterdam door het SANS Institute. Voor Techzine een goed moment om een van de instructeurs eens aan de tand te voelen over cybersecurity vandaag de dag. Wat is het belangrijkst? Waar is meer aandacht nodig?
We gingen in gesprek met Chris Dale, hij staat aan het hoofd van het Cyber Security team bij Netsecurity in Noorwegen. Ook is hij een van de instructeurs die trainingen geeft voor het SANS Institute om nieuwe cybersecurity-experts klaar te stomen voor het echte werk. Hij gaf in Amsterdam de SEC504 training, Hacker Tools, Techniques, Exploits, and Incident Handling. Een intensieve zes daagse training van ’s morgens vroeg tot een uur of zes ’s avonds.
Kunnen we cybercriminaliteit verslaan?
Cybercriminaliteit is iets wat we vrijwel dagelijks tegenkomen en waar steeds meer bedrijven mee te maken krijgen. We vroegen Dale naar hoe hij tegen de ontwikkelingen aan kijkt en of we deze vorm van criminaliteit kunnen stoppen.
Dale gebruikt duidelijke bewoordingen: stoppen kunnen we het niet, het is te vergelijken met de oorlog tegen drugs. In het ene land is het een groter probleem dan het andere land, maar helemaal verdwijnen zal het waarschijnlijk nooit. Daar komt nog bij dat cybercriminaliteit inmiddels lucratiever is dan drugshandel en minder risicovol. De kans dat je gepakt wordt voor cybercriminaliteit is een stuk kleiner.
“We kunnen niet doorgaan op de huidige weg”
De cybercriminelen worden elke dag slimmer. We moeten sneller schakelen, we moeten minimaal net zo snel zijn als de cybercriminelen. We kunnen niet doorgaan op de huidige weg want dan verliezen we het gevecht. Cybercriminaliteit is de grootste bedrijfstak die er is.
Verandering van mindset en educatie
Volgens Dale moeten we af van uitspraken als “hier zijn onze gebruikers niet slim genoeg voor” en “dit heeft een negatieve impact op de gebruikservaring”. Dale geeft regelmatig trainingen aan het leger en de politie waarin hij dit soort excuses ook presenteert. “Volgens jullie leiding zijn jullie te dom om een password manager te gebruiken”, om vervolgens een demonstratie te geven hoe simpel een password manager is. Of “volgens jullie leiding zijn jullie te dom om een VPN te gebruiken”, om vervolgens een VPN-client te tonen met een grote groene knop met het woord ‘Connect’. Het hoeft allemaal niet zo moeilijk te zijn, met de juiste tools en de juiste basisveiligheid kan al enorm veel worden bereikt. Een inbreker in de straat kiest over het algemeen ook het huis met de slechtste sloten en niet met de beste sloten. Hoe meer tijd een crimineel kwijt is aan binnenkomen, hoe groter het risico om gepakt te worden.
“Stop met het maken van excuses over gebruiksvriendelijkheid en complexiteit”
Zijn advies aan bedrijven is dan ook om te stoppen met het maken van excuses en zorg dat de basisveiligheid, security, omhoog gaat. Zaken als een ip-adres, bandbreedte, cpu-power en opslag staan gelijk aan geld voor een cybercrimineel. Je moet er dus voor zorgen dat ze daar geen toegang toe krijgen.
Je moet niet mikken op 100 procent veiligheid, dat zal de gebruikservaring namelijk de nek omdraaien. Je moet een acceptabele compromis zien te vinden tussen gebruikservaring en beveiliging, de gebruikers tevreden houden maar tegelijk zorgen dat de systemen veilig genoeg zijn. Een goed voorbeeld hiervan is multi-factor authentication. Het is zeer vervelend als je elke keer een code moet invoeren bij het inloggen, maar je kan er ook voor kiezen om een additionele code te vragen wanneer er wordt ingelogd vanuit een andere locatie, vanaf een andere client-pc of wanneer er andere verdachte activiteit is.
Bewijs planten bij slachtoffer
Natuurlijk is er de afgelopen jaren ook wel wat gewonnen. Opsporingsdiensten zijn slimmer geworden maar dat geldt ook voor cybercriminelen. Dale ziet dat cybercriminelen steeds beter hun sporen uitwissen of juist bewijs planten om de opsporingsinstanties op het verkeerde been te zetten. Bijvoorbeeld wanneer iemand zijn pc als proxy wordt gebruikt om een hack uit te voeren, er kan bewijs worden achtergelaten in de browsergeschiedenis of in een document over het bedrijf dat gehackt is. Als de opsporingsinstanties dan binnenvallen bij het huisadres van de proxy en alle computers in beslag nemen, gaan ze het bewijs eenvoudig vinden. Zeker als de cybercrimineel zijn sporen goed gewist heeft en er geen aanwijzingen zijn dat een hacker toegang heeft gehad tot het systeem.
Alleen een forensich IT-bedrijf kan die bewijzen vaak nog achterhalen. Er moet dan echter wel forensisch onderzoek gedaan worden en dat gebeurt niet snel. Zo’n onderzoek is namelijk extreem prijzig. Techzine leerde eerder al uit anonieme bron dat tarieven van 750 euro per uur voor forensisch IT-onderzoek redelijk normaal is. Dat moet je als persoon of klein bedrijf maar net kunnen betalen.
Security-industrie moet betrouwbaar zijn en standaarden omarmen
We vroegen Dale ook naar de uitgebreide security-industrie, waarin duizenden bedrijven actief zijn. Deze industrie is zo groot omdat er veel geld te verdienen is voor bedrijven die goed zijn in beveiliging of goed kunnen inspelen op de angsten van mensen en bedrijven. Helaas zijn de motieven van dit soort bedrijven niet altijd helemaal zuiver. Zo wezen we hem op het recente Citrix-beveiligingslek, waarin het bedrijf geen tijd kreeg om een patch te ontwikkelen. Ook was er recent een bedrijf dat DDoS-beveiliging aanbiedt, dat vervolgens zelf DDoS-aanvallen uitvoert om klanten te winnen.
Dale verwijst naar de standaard procedures die door de industrie zijn ontwikkeld. Daar zou iedereen zich aan moeten houden. Een goed voorbeeld van zo’n procedure is responsible disclosure, waarbij je bij het vinden van een beveiligingslek in een grote software-oplossing niet direct alle details naar buiten brengt. Eerst zorgt men ervoor dat het beveiligingslek is gedicht of er een oplossing voor handen is. We vroegen hem dan ook hoe Netsecurity hiermee omgaat als zij een groot beveiligingslek vinden, want bedrijven reageren niet altijd positief als je iets in hun software vindt.
Dale stelt dat het per bedrijf verschilt hoe ermee omgegaan wordt. Sommige bedrijven hebben procedures en zijn blij met de melding, andere bedrijven willen je zoveel mogelijk buiten houden en presenteren direct een non-disclosure overeenkomst met allemaal boetebepalingen. Bij Netsecurity, waar Dale werkt, informeren ze in de eerste plaats hun klant. Met die informatie kan de klant zich dan beschermen. Die klant kan echter op zijn beurt een klant zijn van de software waarin het lek zit. Netsecurity krijgt dus niet betaald om daar vervolgens nog actie op te ondernemen. Bij kleine softwareleveranciers wordt nog wel de vendor geïnformeerd, stelt Dale. In de meeste gevallen betreft het echter grote oplossingen. Dan gaat Netsecurity niet in gesprek met de vendor maar stuurt het alle data door naar een lokale CERT (Computer Emergency Response Team). Elke land heeft zijn eigen CERT, welke onderling weer samenwerken. Zij hebben gezamenlijk voldoende slagkracht om dit op een goede manier op te pakken richting een vendor en ervoor te zorgen dat een beveiligingslek tijdig en verantwoord kan worden gepatcht. Zij werken heel verantwoord volgens de procedures opgesteld door de industrie. De CERT’s waarschuwen bedrijven en overheden ook als een beveiligingslek een groot probleem wordt en er direct actie moet worden ondernomen.
Hoe train je de cyberexpert van de toekomst?
We vroegen Dale ook hoe je in zes dagen een cyberexpert traint die voorbereid is op criminelen die zich constant verbeteren. Dale stelt dat je ze moet laten denken als een cybercrimineel. Je moet ze dus ook leren hacken en ze laten zien hoe systemen platgelegd kunnen worden. Als je weet hoe een hacker opereert en weet hoe een cybercrimineel zoekt naar mogelijkheden om ergens binnen te komen, dan kan je dat als beveiligingsexpert ook doen. Vervolgens kan je die gaten dichten en de beveiliging opvoeren.
Uiteindelijk kan je volgens Dale met die basiskennis en de juiste tools een cyberexpert een goed startpunt geven. Het blijft een kat-en-muisspel waarbij de ontwikkelingen van hacks, malware en beveiligingen zich in rap tempo opvolgen. Er is geen allesomvattend pakket waarmee je alles kan afvangen, een cyberexpert moet zichzelf met het juiste fundament ontwikkelen en ervaring op doen. De beste cyberexperts zijn ook degene die zich goed kunnen verplaatsen in hackers en out-of-the-box kunnen denken om een systeem te penetreren. Daar leren vervolgens andere beveiligingsexperts ook weer van.
We vroegen Dale ook of hij mensen aanneemt die zijn cursussen volgen; hij liet weten dat naast het volgen van de SANS-training het halen van het GIAC-examen ook belangrijk is. Dat moet je wel halen. Inmiddels werken er al drie mensen die de SANS-training gedaan hebben bij Netsecurity. In Amsterdam was ook één van zijn collega’s aanwezig om de training te volgen. Mocht je opzoek zijn naar een carriere-switch richting pentester of cybersecurity-expert dan is de training van Dale wellicht een mooi startpunt.
2 uur geleden
