Monthly Archives: juli 2013
SecureLink benoemt Jeroen Roosien tot General Manager
Symantec presteert goed in teruglopende PC-markt
Symantec lijkt weinig last te hebben van de slechts presterende PC-markt. De omzet van het beveiligingsbedrijf in het eerste kwartaal van het fiscale jaar komt uit op 1,71 miljard dollar. Dit is hoger dan verwacht.
Symantec presteert goed in teruglopende PC-markt
Symantec lijkt weinig last te hebben van de slechts presterende PC-markt. De omzet van het beveiligingsbedrijf in het eerste kwartaal van het fiscale jaar komt uit op 1,71 miljard dollar. Dit is hoger dan verwacht.
Everest behaalt ISO 27001-certificaat
Everest behaalt ISO 27001-certificaat
Portugal Telecom gaat mPaaS-oplossing van Veliq leveren aan klanten
SIEM is dashboard voor real-time managen van security en compliancy
Om op een succesvolle manier IT-omgevingen te beveiligen, moeten Informatiebeveiliging en cybersecurity geïntegreerd worden in één platform, stellen Rhett Oudkerk Pool en Erik de Bueger van Kahuna. Door real-time informatie te verzamelen uit logfiles van netwerkcomponenten, tools, security-componenten, servers, laptops, desktops, applicaties en databases en deze vervolgens te correleren en te analyseren, geeft SIEM een overzichtelijk beeld van de actuele status van de security van een organisatie en maakt het bestuur- en controleerbaar.
Het verschil tussen informatiebeveiliging en cybersecurity zit 'm in twee aspecten. Informatiebeveiliging gaat voor 80 procent om interne incidenten (bewust of soms gewone fouten en sloridigheden), bij cybersecurity is er altijd sprake van een externe aanval met een kwaadaardige intentie. “Informatiebeveiliging gaat over gedrag, over cultuur en de inrichting van bedrijfsprocessen. De betrokkene kan door een fout per ongeluk slachtoffer zijn. Bij cybersecurity kan de getroffene zelf het doelwit zijn, maar in toenemende mate worden de slachtoffers gebruikt als een middel, een stepping stone”, zegt Rhett Oudkerk Pool, oprichter en directeur van Kahuna. “Dat is een heel indirecte methode, bijvoorbeeld de zogenaamde drinkplaats-aanpak. Cybercriminelen hacken Nu.nl om de bezoekers van de nieuwssite te pakken te nemen, RSA wordt gehackt om iedereen die een RSA-token gebruikt te kunnen hacken en ze infiltreren duizenden werkplekken met als doel een botnet naar onze banken op te bouwen.”
Volgens Oudkerk Pool vereisen informatiebeveiliging en cybersecurity één geïntegreerde aanpak. “Veel organisaties vragen zich af of ze voldoende maatregelen genomen hebben en of hun maateregelen wel werken. Draait er wel iedere nacht een backup en wordt het back gebruikers account niet misbruikt? Wij hebben daar een geïntegreerde oplossing voor in de vorm van ons SIEM-platform.”
Geïntegreerde monitoring
Vijftien jaar geleden wist eigenlijk elke beveiliger wel wat hem te doen stond en was de business case snel gemaakt. “Maakt de organisatie gebruik van internet, dan moet er een firewall op de voordeur.
Van de daarop volgende Intrusion Prevention Systemen was de business case al een stuk lastiger rond te krijgen, want het is een preventieve oplossing. Als men zich op het standpunt stelt dat de kans om gehackt te worden heel klein is, wordt vaak afgezien van maatregelen, ook al zou de impact van een hack groot zijn. Daar is een kentering in gekomen: de meeste organisaties willen minstens weten wat er in en om de infrastructuur gebeurt.”
Het kan zelfs een verplichting zijn: DNB vraagt financiële instellingen aan te tonen dat ze afdoende antivirus-maatregelen hebben genomen. Een lastige kwestie volgens Oudkerk Pool. “Antivirus-tools hebben de eigenschap trots te melden hoeveel virussen ze buiten de deur hebben gehouden – maar zullen nooit aangeven hoeveel virussen er tussendoor geslipt zijn. Er moeten dus andere maatregelen worden genomen om compliant te zijn. Monitor het hele netwerk, detecteer het bijvoorbeeld als vanaf een bepaalde werkplek plotseling veel uitgaande verbindingen worden geopend. Dat is bovendien allemaal visueel te maken. Het zichtbaar maken wat van wat zich in de infrastructuur afspeelt is de basis van een plan-do-check-act cirkel.”
Het is uiterst belangrijk om die eerste stap naar volledig inzicht in de gebeurtenissen in de infrastructuur te zetten, omdat alleen dan afwijkingen kunnen worden waargenomen.Dat vraagt ook om een tevoren afgesproken werkwijze. “Op een gegeven moment komt zo'n virus in actie en probeert ergens toegang toe te krijgen, bijvoorbeeld door een nieuw account aan te maken of een bestaand te misbruiken. Dan probeert het virus zich te nestelen in zijn doelsysteem. Dat gedrag kun je alleen maar waarnemen, als de infrastructuur redelijk schoon is,” voegt Erik de Bueger, directeur Operations van Kahuna daar aan toe.
“Als er afgesproken is dat er service accounts in het netwerk worden gebruikt is het van belang die op vooraf vastgestelde tijden automatisch te laten draaien, met bijvoorbeeld als regel dat een service account niet inactief mag worden gebruikt – het is immers ongewenst dat een backup-account gebruikt wordt om toegang tot een systeem of database te krijgen. Dit soort zaken kunnen allemaal worden ingeregeld in ons SIEM-platform.” De eerste belangrijke stap die gezet wordt is dus het opschonen van de infrastructuur, pas dan wordt het SIEM-platform geïmplementeerd.
De tweede stap is de nacontrole op activiteiten. “Bij remote access wordt in eerste instantie van alles gecheckt, maar als de verbinding eenmaal tot stand gebracht is vindt meestal geen controle meer plaats,” constateert Oudkerk Pool. “De beheerder van de telefooncentrale kan na authenticatie gewoon inloggen. Maar het is juist van belang te weten wat er daarna gebeurt: misschien gebruikt de zogenaamde beheerder de centrale wel als springplank naar de rest van de infrastructuur. Dat geldt ook voor servers die met andere servers communiceren: hoort de informatie die ze uitwisselen wel tot hun taak? Is het wel de bedoeling dat die twee servers of systemen informatie uitwisselen?”
De Bueger stelt dat elk security-incident een aantal stappen doorloopt, waarvan een beschrijving gemaakt kan worden. “Vrijwel altijd zie je dan dat de eerste stap weliswaar sterk afwijkend, dus abnormaal was, maar dat niets of niemand dat binnen de context heeft waargenomen. Datzelfde geldt voor stap 2 en volgende: elke stap in het besmettingsproces had feitelijk voorkomen kunnen worden. Met SIEM kunnen dit soort stappen worden ingeprogrammeerd en automatische worden gedetecteerd. Maar ik benadruk nogmaals: eerst moet de infrastructuur schoon zijn, wat je natuurlijk met de SIEM tool tot stand brengt.”
Ook nadat geautoriseerde medewerkers hebben ingelogd op een applicatie is het belangrijk te weten wat er daarna gebeurt. “Je wilt niet dat medewerkers inloggen op het systeem, een SSH-shell openen en vervolgens gaan rondstruinen in de database. Dat is echter vaak lastig in te regelen, maar SIEM voorziet daarin en biedt rapportages waarop te zien is wie wanneer toegang tot de database heeft gehad zonder gebruik te maken van de applicatie.”
Ook uit de cloud
Oudkerk Pool vindt investeringen in awareness-trainingen vrij zinloos. Volgens hem is het veel effectiever om gedrag te monitoren en de mensen aan te spreken op overtredingen. “Je laat dan weten dat deze manier van werken niet geaccepteerd wordt. Het bedrijf heeft een clean desk policy en daar valt ook de computer onder: we eisen dat iedereen die zijn werkplek verlaat zijn screensaver opstart en zijn werkstation lockt. Monitor of dat gebeurt. Er zijn ook medewerkers die maandenlang hetzelfde password gebruiken – tegen de afspraken in. Maak het zichtbaar, hang die statistieken op. Spreek de mensen erop aan. Het is veel nuttiger mensen gericht te sturen.”
Hij beschouwt SIEM als het security dashboard van de infrastructuur, die verschillende databronnen bij elkaar brengt. “Ik kan pas zien dat er iemand inlogt en vervolgens doorlogt, als we de systemen koppelen. In onze strategie hebben wij allerlei oplossingen die ons verschillende inzichten geven: Palo Alto Networks firewalls geven ons inzicht in de infrastructuur, TrendMicro Deep Security geeft inzicht in de virtuele laag, TripWire vertelt of een bestand is aangepast, Qualys vertelt ons de vulnerabilities. Het is een combinatie van verschillende tools en systemen.”
Is de situatie van vandaag wel veilig? Zijn de wachtwoorden die gebruikt worden lang genoeg? SIEM met state monitoring biedt de technologie die dat soort zaken checkt, op basis van best practices.
“Het SIEM-platform is onze expertise, ons unieke aanbod. Dat kan op locatie bij de klant maar we leveren het ook vanuit de cloud,” aldus Oudkerk Pool. “Kahuna is gecertificeerd Managed Security Service Provider met een licentie voor HP ArcSight. Dat maakt SIEM ook zeker bereikbaar voor kleinere bedrijven.”
Oudkerk Pool gelooft in het uitwisselen van kennis; hij maakt deel uit van de werkgroep Cyber Security van Nederland ICT. “We hebben verscheidene suggesties gedaan wat de politiek of wat het Nationaal Cyber Security Centrum zouden kunnen doen. Bijvoorbeeld het bouwen van een Clearing House voor kennis. Ik vind het bijzonder interessant om te weten welk IP-adres gebruikt is bij het DigiNotar-incident, om te weten hoe de DDoS-aanval op Ideal technisch in elkaar zit. Ik zie dat wij daar wel een rol in kunnen hebben. Dat is een aardige uitdaging; het zou hier en daar immers kunnen botsen met privacywetgeving. Aan de andere kant moeten we gezamenlijk een bepaalde kant opgaan met cybersecurity. Je ziet ook al wat proefballonnetjes in de politiek. Het belangrijkste is het delen van informatie. Daarmee kunnen we de strijd straks winnen.”
Het terughacken van hackers vindt Oudkerk Pool een begrijpelijke gedachte, maar erg risicovol, omdat er nooit volledige zekerheid is omtrent de bron van de aanval. “Degenedie de hacker lijkt te zijn kan immers zelf slachtoffer zijn en als stepping stone worden gebruikt. En het is moeilijk met regels te omkleden. Het is en blijft risicovol; voor je het weet breng je een kettingreactie op gang.”
Registreren
De eerste generatie SIEM-implementaties monitorde de output van de firewall en het Intrusion Prevention Systeem op basis van IP-adressen. De tweede generatie SIEM kijkt ook naar menselijk gedrag binnen applicaties. De derde generatie biedt response scenario’s die in werking worden gezet als zich een incident voordoet. “Dat kan zijn de response die klaarstaat en door een mens in werking moet worden gezet. Maar het is ook mogelijk de scenario’s automatisch uit te laten voeren. We hebben klanten die dat willen op het moment dat een patroon van identiteitsfraude wordt gedetecteerd. Er is zo'n lange voorgeschiedenis, dat we toch wel met zekerheid kunnen stellen dat hier iets gebeurt wat niet door de beugel kan. Ook is de impact van de maatregelen nog te overzien: is het na vijf uur? Blokkeren. De volgende ochtend kan iemand uitzoeken hoe de vork in de steel zit.”
Erik de Bueger noemt het 'lage ambitie SIEM'. “Gewoon registreren wat er allemaal gebeurt, dat is belangrijk, vooral als een organisatie niet beschikt over mensen die dat 24/7 kunnen doen. Als zich een incident voordoet ben je in staat de ‘tape terug te spoelen’ en te beschrijven en bepalen wat zich precies heeft voorgedaan: hoe lang heeft het geduurd, welke records zijn aangetast, hoe groot is de impact op klanten. Gewapend met die kennis kan een negatief scenario ten goede worden gekeerd.”
Rhett Oudkerk Pool ziet ook veel laaghangend fruit: “Bij vrijwel alle security-incidenten is sprake van misbruik van privileged accounts. Zorg dus dat je het beheer van die accounts en de bijbehorende rechten zeer goed op orde hebt. Kahuna biedt daarvoor een digitale kluis, weinig sexy maar een absolute must. Dit soort tools kan de infrastructuur al een stuk robuuster maken. Bovendien heeft Kahuna vaak twee oplossingen voor hetzelfde probleem: een detectie- en responseoplossing, en een preventieve oplossing. Eén van onze klanten heeft beide oplossingen geïntegreerd en maakt daarmee de cirkel rond. Er is een preventieve maatregel neergezet op het gebied van wachtwoordenmanagement, en daarnaast is er de detectie om te controleren of de hele keten correct functioneert. Dat hoeft allemaal niet zo vreselijk veel te kosten, omdat we dat natuurlijk uit de cloud kunnen aanbieden. Prettig in een tijd waarin niet veel CapEx voorhanden is. ”
Besparingen
Is het eigenlijk wel mogelijk om de Return on Investment (ROI) van het SIEM-platform te berekenen?
“Natuurlijk wel,” meent Oudkerk Pool. “De meeste van onze klanten hebben te maken met compliancy. Het automatiseren daarvan heeft gewoon een ROI en levert een simpele business case op in termen van besparing op handmatig werk. SIEM levert ook besparingen op voor licentiekosten: SIEM registreert alles wat gebruikt wordt, hoe vaak bijvoorbeeld de log-tool is gebruikt, en wat het maximale aantal concurrend users was over een bepaalde periode. Maar ook welke afdelingen nu wel en geen gebruik maken van bepaalde tools. Voor heel veel software kan zowel een named licentie als een concurrend user licentiemodel worden afgesloten. Bij 1000 gebruikers wordt meestal geraamd hoe groot het aantal concurrend users zal zijn, meestal de helft. Uit SIEM blijkt dan dat het werkelijke aantal maar 100 is. Dat kan veel kosten besparen, dus.”
Hans Lamboo is freelance journalist
SIEM is dashboard voor real-time managen van security en compliancy
Om op een succesvolle manier IT-omgevingen te beveiligen, moeten Informatiebeveiliging en cybersecurity geïntegreerd worden in één platform, stellen Rhett Oudkerk Pool en Erik de Bueger van Kahuna. Door real-time informatie te verzamelen uit logfiles van netwerkcomponenten, tools, security-componenten, servers, laptops, desktops, applicaties en databases en deze vervolgens te correleren en te analyseren, geeft SIEM een overzichtelijk beeld van de actuele status van de security van een organisatie en maakt het bestuur- en controleerbaar.
Het verschil tussen informatiebeveiliging en cybersecurity zit 'm in twee aspecten. Informatiebeveiliging gaat voor 80 procent om interne incidenten (bewust of soms gewone fouten en sloridigheden), bij cybersecurity is er altijd sprake van een externe aanval met een kwaadaardige intentie. “Informatiebeveiliging gaat over gedrag, over cultuur en de inrichting van bedrijfsprocessen. De betrokkene kan door een fout per ongeluk slachtoffer zijn. Bij cybersecurity kan de getroffene zelf het doelwit zijn, maar in toenemende mate worden de slachtoffers gebruikt als een middel, een stepping stone”, zegt Rhett Oudkerk Pool, oprichter en directeur van Kahuna. “Dat is een heel indirecte methode, bijvoorbeeld de zogenaamde drinkplaats-aanpak. Cybercriminelen hacken Nu.nl om de bezoekers van de nieuwssite te pakken te nemen, RSA wordt gehackt om iedereen die een RSA-token gebruikt te kunnen hacken en ze infiltreren duizenden werkplekken met als doel een botnet naar onze banken op te bouwen.”
Volgens Oudkerk Pool vereisen informatiebeveiliging en cybersecurity één geïntegreerde aanpak. “Veel organisaties vragen zich af of ze voldoende maatregelen genomen hebben en of hun maateregelen wel werken. Draait er wel iedere nacht een backup en wordt het back gebruikers account niet misbruikt? Wij hebben daar een geïntegreerde oplossing voor in de vorm van ons SIEM-platform.”
Geïntegreerde monitoring
Vijftien jaar geleden wist eigenlijk elke beveiliger wel wat hem te doen stond en was de business case snel gemaakt. “Maakt de organisatie gebruik van internet, dan moet er een firewall op de voordeur.
Van de daarop volgende Intrusion Prevention Systemen was de business case al een stuk lastiger rond te krijgen, want het is een preventieve oplossing. Als men zich op het standpunt stelt dat de kans om gehackt te worden heel klein is, wordt vaak afgezien van maatregelen, ook al zou de impact van een hack groot zijn. Daar is een kentering in gekomen: de meeste organisaties willen minstens weten wat er in en om de infrastructuur gebeurt.”
Het kan zelfs een verplichting zijn: DNB vraagt financiële instellingen aan te tonen dat ze afdoende antivirus-maatregelen hebben genomen. Een lastige kwestie volgens Oudkerk Pool. “Antivirus-tools hebben de eigenschap trots te melden hoeveel virussen ze buiten de deur hebben gehouden – maar zullen nooit aangeven hoeveel virussen er tussendoor geslipt zijn. Er moeten dus andere maatregelen worden genomen om compliant te zijn. Monitor het hele netwerk, detecteer het bijvoorbeeld als vanaf een bepaalde werkplek plotseling veel uitgaande verbindingen worden geopend. Dat is bovendien allemaal visueel te maken. Het zichtbaar maken wat van wat zich in de infrastructuur afspeelt is de basis van een plan-do-check-act cirkel.”
Het is uiterst belangrijk om die eerste stap naar volledig inzicht in de gebeurtenissen in de infrastructuur te zetten, omdat alleen dan afwijkingen kunnen worden waargenomen.Dat vraagt ook om een tevoren afgesproken werkwijze. “Op een gegeven moment komt zo'n virus in actie en probeert ergens toegang toe te krijgen, bijvoorbeeld door een nieuw account aan te maken of een bestaand te misbruiken. Dan probeert het virus zich te nestelen in zijn doelsysteem. Dat gedrag kun je alleen maar waarnemen, als de infrastructuur redelijk schoon is,” voegt Erik de Bueger, directeur Operations van Kahuna daar aan toe.
“Als er afgesproken is dat er service accounts in het netwerk worden gebruikt is het van belang die op vooraf vastgestelde tijden automatisch te laten draaien, met bijvoorbeeld als regel dat een service account niet inactief mag worden gebruikt – het is immers ongewenst dat een backup-account gebruikt wordt om toegang tot een systeem of database te krijgen. Dit soort zaken kunnen allemaal worden ingeregeld in ons SIEM-platform.” De eerste belangrijke stap die gezet wordt is dus het opschonen van de infrastructuur, pas dan wordt het SIEM-platform geïmplementeerd.
De tweede stap is de nacontrole op activiteiten. “Bij remote access wordt in eerste instantie van alles gecheckt, maar als de verbinding eenmaal tot stand gebracht is vindt meestal geen controle meer plaats,” constateert Oudkerk Pool. “De beheerder van de telefooncentrale kan na authenticatie gewoon inloggen. Maar het is juist van belang te weten wat er daarna gebeurt: misschien gebruikt de zogenaamde beheerder de centrale wel als springplank naar de rest van de infrastructuur. Dat geldt ook voor servers die met andere servers communiceren: hoort de informatie die ze uitwisselen wel tot hun taak? Is het wel de bedoeling dat die twee servers of systemen informatie uitwisselen?”
De Bueger stelt dat elk security-incident een aantal stappen doorloopt, waarvan een beschrijving gemaakt kan worden. “Vrijwel altijd zie je dan dat de eerste stap weliswaar sterk afwijkend, dus abnormaal was, maar dat niets of niemand dat binnen de context heeft waargenomen. Datzelfde geldt voor stap 2 en volgende: elke stap in het besmettingsproces had feitelijk voorkomen kunnen worden. Met SIEM kunnen dit soort stappen worden ingeprogrammeerd en automatische worden gedetecteerd. Maar ik benadruk nogmaals: eerst moet de infrastructuur schoon zijn, wat je natuurlijk met de SIEM tool tot stand brengt.”
Ook nadat geautoriseerde medewerkers hebben ingelogd op een applicatie is het belangrijk te weten wat er daarna gebeurt. “Je wilt niet dat medewerkers inloggen op het systeem, een SSH-shell openen en vervolgens gaan rondstruinen in de database. Dat is echter vaak lastig in te regelen, maar SIEM voorziet daarin en biedt rapportages waarop te zien is wie wanneer toegang tot de database heeft gehad zonder gebruik te maken van de applicatie.”
Ook uit de cloud
Oudkerk Pool vindt investeringen in awareness-trainingen vrij zinloos. Volgens hem is het veel effectiever om gedrag te monitoren en de mensen aan te spreken op overtredingen. “Je laat dan weten dat deze manier van werken niet geaccepteerd wordt. Het bedrijf heeft een clean desk policy en daar valt ook de computer onder: we eisen dat iedereen die zijn werkplek verlaat zijn screensaver opstart en zijn werkstation lockt. Monitor of dat gebeurt. Er zijn ook medewerkers die maandenlang hetzelfde password gebruiken – tegen de afspraken in. Maak het zichtbaar, hang die statistieken op. Spreek de mensen erop aan. Het is veel nuttiger mensen gericht te sturen.”
Hij beschouwt SIEM als het security dashboard van de infrastructuur, die verschillende databronnen bij elkaar brengt. “Ik kan pas zien dat er iemand inlogt en vervolgens doorlogt, als we de systemen koppelen. In onze strategie hebben wij allerlei oplossingen die ons verschillende inzichten geven: Palo Alto Networks firewalls geven ons inzicht in de infrastructuur, TrendMicro Deep Security geeft inzicht in de virtuele laag, TripWire vertelt of een bestand is aangepast, Qualys vertelt ons de vulnerabilities. Het is een combinatie van verschillende tools en systemen.”
Is de situatie van vandaag wel veilig? Zijn de wachtwoorden die gebruikt worden lang genoeg? SIEM met state monitoring biedt de technologie die dat soort zaken checkt, op basis van best practices.
“Het SIEM-platform is onze expertise, ons unieke aanbod. Dat kan op locatie bij de klant maar we leveren het ook vanuit de cloud,” aldus Oudkerk Pool. “Kahuna is gecertificeerd Managed Security Service Provider met een licentie voor HP ArcSight. Dat maakt SIEM ook zeker bereikbaar voor kleinere bedrijven.”
Oudkerk Pool gelooft in het uitwisselen van kennis; hij maakt deel uit van de werkgroep Cyber Security van Nederland ICT. “We hebben verscheidene suggesties gedaan wat de politiek of wat het Nationaal Cyber Security Centrum zouden kunnen doen. Bijvoorbeeld het bouwen van een Clearing House voor kennis. Ik vind het bijzonder interessant om te weten welk IP-adres gebruikt is bij het DigiNotar-incident, om te weten hoe de DDoS-aanval op Ideal technisch in elkaar zit. Ik zie dat wij daar wel een rol in kunnen hebben. Dat is een aardige uitdaging; het zou hier en daar immers kunnen botsen met privacywetgeving. Aan de andere kant moeten we gezamenlijk een bepaalde kant opgaan met cybersecurity. Je ziet ook al wat proefballonnetjes in de politiek. Het belangrijkste is het delen van informatie. Daarmee kunnen we de strijd straks winnen.”
Het terughacken van hackers vindt Oudkerk Pool een begrijpelijke gedachte, maar erg risicovol, omdat er nooit volledige zekerheid is omtrent de bron van de aanval. “Degenedie de hacker lijkt te zijn kan immers zelf slachtoffer zijn en als stepping stone worden gebruikt. En het is moeilijk met regels te omkleden. Het is en blijft risicovol; voor je het weet breng je een kettingreactie op gang.”
Registreren
De eerste generatie SIEM-implementaties monitorde de output van de firewall en het Intrusion Prevention Systeem op basis van IP-adressen. De tweede generatie SIEM kijkt ook naar menselijk gedrag binnen applicaties. De derde generatie biedt response scenario’s die in werking worden gezet als zich een incident voordoet. “Dat kan zijn de response die klaarstaat en door een mens in werking moet worden gezet. Maar het is ook mogelijk de scenario’s automatisch uit te laten voeren. We hebben klanten die dat willen op het moment dat een patroon van identiteitsfraude wordt gedetecteerd. Er is zo'n lange voorgeschiedenis, dat we toch wel met zekerheid kunnen stellen dat hier iets gebeurt wat niet door de beugel kan. Ook is de impact van de maatregelen nog te overzien: is het na vijf uur? Blokkeren. De volgende ochtend kan iemand uitzoeken hoe de vork in de steel zit.”
Erik de Bueger noemt het 'lage ambitie SIEM'. “Gewoon registreren wat er allemaal gebeurt, dat is belangrijk, vooral als een organisatie niet beschikt over mensen die dat 24/7 kunnen doen. Als zich een incident voordoet ben je in staat de ‘tape terug te spoelen’ en te beschrijven en bepalen wat zich precies heeft voorgedaan: hoe lang heeft het geduurd, welke records zijn aangetast, hoe groot is de impact op klanten. Gewapend met die kennis kan een negatief scenario ten goede worden gekeerd.”
Rhett Oudkerk Pool ziet ook veel laaghangend fruit: “Bij vrijwel alle security-incidenten is sprake van misbruik van privileged accounts. Zorg dus dat je het beheer van die accounts en de bijbehorende rechten zeer goed op orde hebt. Kahuna biedt daarvoor een digitale kluis, weinig sexy maar een absolute must. Dit soort tools kan de infrastructuur al een stuk robuuster maken. Bovendien heeft Kahuna vaak twee oplossingen voor hetzelfde probleem: een detectie- en responseoplossing, en een preventieve oplossing. Eén van onze klanten heeft beide oplossingen geïntegreerd en maakt daarmee de cirkel rond. Er is een preventieve maatregel neergezet op het gebied van wachtwoordenmanagement, en daarnaast is er de detectie om te controleren of de hele keten correct functioneert. Dat hoeft allemaal niet zo vreselijk veel te kosten, omdat we dat natuurlijk uit de cloud kunnen aanbieden. Prettig in een tijd waarin niet veel CapEx voorhanden is. ”
Besparingen
Is het eigenlijk wel mogelijk om de Return on Investment (ROI) van het SIEM-platform te berekenen?
“Natuurlijk wel,” meent Oudkerk Pool. “De meeste van onze klanten hebben te maken met compliancy. Het automatiseren daarvan heeft gewoon een ROI en levert een simpele business case op in termen van besparing op handmatig werk. SIEM levert ook besparingen op voor licentiekosten: SIEM registreert alles wat gebruikt wordt, hoe vaak bijvoorbeeld de log-tool is gebruikt, en wat het maximale aantal concurrend users was over een bepaalde periode. Maar ook welke afdelingen nu wel en geen gebruik maken van bepaalde tools. Voor heel veel software kan zowel een named licentie als een concurrend user licentiemodel worden afgesloten. Bij 1000 gebruikers wordt meestal geraamd hoe groot het aantal concurrend users zal zijn, meestal de helft. Uit SIEM blijkt dan dat het werkelijke aantal maar 100 is. Dat kan veel kosten besparen, dus.”
Hans Lamboo is freelance journalist
Goede security absolute noodzaak voor Analytics as a Service
Tijdens de beurs Infosecurity Europe 2013 werden de resultaten bekend van een onderzoek naar het resultaat van projecten op het gebied van Big Data. Veel Big Data-projecten dreigen te mislukken door problemen rond security. Dat is onnodig, stelt Patrick de Goede van Eijk van T-Systems, als we maar goed weten wat we op security- en privacy-gebied moeten regelen.
De druk bezochte Britse editie van Infosecurity-beurs vormde een mooie gelegenheid om de bezoekers te ondervragen over hun belangrijkste ervaringen met een van de belangrijkste thema’s van dit moment: Big Data. Liefst 76 procent van de ondervraagde managers (IT en business) gaf aan dat men grote zorgen heeft over de vraag of security bij Big Data-projecten wel afdoende is geregeld? Die zorgen bleken zo groot dat meer dan de helft security-problemen als belangrijkste reden aangaf waarom men nog niet met Big Data aan de slag is gegaan.
De Cloud Security Alliance (CSA, www.cloudsecurityalliance.org) heeft inmiddels veel werk op dit gebied verricht. Erg nuttig is bijvoorbeeld de whitepaper ‘Top Ten Big Data Security and Privacy Challenges’. In dit document wordt het security- en privacy-probleem kernachtig geformuleerd: ‘Security and privacy issues are magnified by velocity, volume, and variety of big data, such as large-scale cloud infrastructures, diversity of data sources and formats, streaming nature of data acquisition and high volume intercloud migration’.
Traditionele security-mechanismes zijn hier niet op toegesneden, stellen de onderzoekers van CSA’s Big Data Working Group. Die zijn gericht op statische gegevens en niet op streaming data. Een fenomeen als ‘provenance’ laat zich bijvoorbeeld niet of nauwelijks overbrengen naar een cloud-omgeving en tools die bedoeld zijn om afwijkingen in datasets op te sporen, zullen in veel gevallen veel te veel ‘false positives’ opleveren. Bovendien vereist het streaming karakter van Big Data-projecten dat securitymaatregelen real-time kunnen worden uitgevoerd.
De werkgroep heeft de tien belangrijkste problemen op het gebied van security, privacy en Big Data in kaart gebracht. Laten we deze tien punten eens nader bekijken.
1. Veilige verwerking van gegevens in een gedistribueerd programming framework
Gedistribueerde programming frameworks maken gebruik van parallellisatiemechanismen bij het verwerken van massale hoeveelheden data. Een bekend voorbeeld is MapReduce. Hierbij wordt een input file gesplitst in meerdere brokken. In de eerste fase van verwerking wordt voor iedere brok data een zogeheten Mapper gebruikt om de gegevens te lezen, een bewerking uit te voeren en een serie key/value pairs voort te brengen. In de volgende fase combineert een zogenaamde Reducer de values die bij iedere key horen en genereert daarmee het resultaat. Om deze operatie veilig uit te voeren, zijn twee attack preventionmaatregelen nodig: het beveiligen van de mappers en het beveiligen van de data als een ‘rogue mapper’ wordt ontdekt. Een ‘untrusted mapper’ kan verkeerde resultaten opleveren, waardoor ook het geaggregeerde resultaat fout zal zijn.
2. Security best practices voor nietrelationele data stores
NoSQL-databases hebben niet-relationele data stores populair gemaakt. De onderzoekers stellen dat er veel ontwikkelingswerk plaatsvindt rond de security-infrastructuur voor dit soort data stores. Er is echter nog geen sprake van een volwassen aanpak als het gaat om bijvoorbeeld NoSQL injections. Security maakte zeker niet altijd onderdeel uit van NoSQL-producten. Ontwikkelaars implementeren security van een NoSQL-omgeving veelal in een middleware-laag, maar NoSQL-databases dwingen security niet expliciet in de database zelf af. Dat is een probleem, zeker als we NoSQL-databases ook nog eens gaan clusteren. Er zal dus zeer goed gekeken moeten worden naar de security-maatregelen die in de genoemde middleware-laag zijn opgenomen.
3. Veilige opslag van gegevens en veilige transactielogging
Het aantal data- en transactielogs neemt bij Big Data-projecten een dermate omvang aan dat het voor een IT-afdeling niet meer te doen is om handmatig bij te houden waar deze logbestanden zich bevinden. Dit zal dus via een vorm van ‘autotiering’ moeten worden geregeld. Daar bestaan inmiddels oplossingen voor, maar die houden veelal weer niet bij waar de data zelf is opgeslagen. De CSAwerkgroep noemt een voorbeeld van een bedrijf waar data afkomstig van verschillende divisies bij elkaar gebracht wordt. Sommige logdata wordt echter nauwelijks opgevraagd, terwijl andere loggegevens voortdurend worden geraadpleegd. Een oplossing voor auto-tiering zal de zelden geraadpleegde logdata verplaatsen naar een ‘lower tier’. Vaak heerst daar ook een minder streng security-regime. Met andere woorden: auto-tiering van logdata kan een oplossing zijn, mits een duidelijk beeld bestaat van de verschillende tiers en bijbehorende security-maatregelen.
4. Validatie en filtering van gegevensinvoer vanaf endpoint devices
Een belangrijk probleem bij veel Big Data-projecten is: kunnen we de data die wordt toegevoegd vertrouwen? Met andere woorden: input validatie. Hoe kunnen we vaststellen dat de data correct is en hoe filteren we malicious gegevens uit de datastroom? Dit wordt – met dank aan BYOD – een steeds actueler probleem. De algoritmes om deze vaststelling en filtering te doen, ontbreken nog grotendeels.
5. Realtime monitoring van security en compliance
Realtime security monitoring is altijd al een lastig probleem geweest. De hoeveelheid alarmeringen is in veel gevallen te groot voor mensen om te verwerken, waardoor veel van deze alerts simpelweg worden weggeklikt. Bij Big Data wordt dit alleen nog maar erger. Aan de andere kant kunnen Big Data-technieken ook helpen om grip op dit probleem te krijgen, juist omdat veel Big Data-technologie op het razendsnel verwerken van grote hoeveelheden gegevens is gericht. Waardoor de interessante situatie ontstaat dat Big Data-technieken gebruikt kunnen worden om afwijkingen te vinden in de enorme gegevenstromen die met Big Data gepaard gaan. Hierdoor kan het op termijn mogelijk worden om veel sneller en gemakkelijker antwoord te krijgen op vragen als ‘Hebben we een overtreding van compliance-standaard ABC doordat zich actie XYZ voordoet?’
6. Schaalbare en eenvoudig samen te stellen data mining en analytics met behoud van privacy
Veel criticasters van Big Data zien in de opkomst van dit soort technieken vooral een bedreiging: minder privacy, opdringerige marketingacties, problemen met mensenrechten. Ook anonimiseren van data is niet voldoende om de privacy van mensen veilig te stellen. Toen Amazon onlangs een set met geanonimiseerde zoekresultaten publiceerde die voor academische doeleinden waren gebruikt, bleek het zeer eenvoudig om aan de hand van de zoekacties de personen in kwestie te vinden. Er zullen dus duidelijk richtlijnen en aanbevelingen moeten komen hoe onbedoelde inbreuk op privacy kan worden voorkomen, juist ook bij het samenvoegen van datasets. Belangrijk hierbij is te beseffen dat datasets continu worden bekeken en geanalyseerd. Er is maar één analist nodig die bewust een dataset misbruikt en de privacy van grote aantallen personen loopt gevaar.
7. Toegangscontrole en communicatie op basis van encryptie
Zonder versleuteling kan niet worden gegarandeerd dat gegevens veilig worden verzameld en slechts toegankelijk zijn voor de partij die hiertoe geautoriseerd is. Hierbij dient de data versleuteld te worden op basis van access control policies. We kunnen hierbij werken met hulpmiddelen als ‘attribute based encryption’ (ABE), maar dit soort technieken zijn nog niet ver genoeg ontwikkeld. Het ontbreekt in veel gevallen nog aan functionele rijkdom, schaalbaarheid en efficiency.
8. Fijnmazige access control
Een lastig probleem bij grote datasets is het beantwoorden van de vraag wie welke data mag inzien. De CSA-onderzoekers hebben vastgesteld dat in veel gevallen toegang tot veel gegevens afgeschermd wordt zonder dat daar een duidelijke reden voor is. Veelal blijkt dan dat het aan de juiste tools ontbreekt om zeer fijnmazig te kunnen instellen welke gegevens door wie mogen worden gezien of gebruikt. Juist de veelheid aan maatregelen, wetgeving en afspraken maken dit lastig. Vaak gelden juridische regels, branche-afspraken, samenwerkingsovereenkomsten tussen bedrijven en dergelijke. Er dienen tools te komen waarin de impact van al dit soort relevante governance- systemen kan worden geregeld en beheerd.
9. Fijnmazige mogelijkheden voor auditing
Hoewel we bij Big Data proberen te werken met real-time security, zal dit in de praktijk niet altijd lukken. Er kan een tot dan toe onbekend type aanval worden gebruikt of er is sprake van een ‘true positive’ die over het hoofd is gezien. In dat geval zal achteraf uitgezocht moeten worden wat er precies is gebeurd. Dit soort audit-informatie is bovendien bedoeld om te onderzoeken wat de bedrijfseconomische en juridische gevolgen zijn. We worden bij een probleem bovendien geacht uit te leggen waarom een bepaalde compliance-standaard is overtreden en hoe dit in de toekomst voorkomen zal worden.
10. Data provenance
Waar komt een bepaald gegeven vandaan? Het vastleggen en analyseren van dit soort metadata zal steeds resourceintensiever worden naarmate de hoeveelheid data die we verzamelen verder groeit. Toch is het van cruciaal belang dat hier goede tools voor worden gebruikt. Deze metadata is bijvoorbeeld van groot belang om de waarde van bepaalde datasets te kunnen vaststellen voordat deze worden gebruikt.
Bewust worden
Big Data biedt bedrijven en overheidsinstellingen enorme mogelijkheden. Maar de zorgen die de ondervraagde IT- en business managers tijdens Infosecurity Europe 2013 aangaven, zijn natuurlijk wel zeer terecht. Daarbij gaat het er zeker niet ‘alleen maar’ om hoe wij cybercriminelen kunnen tegenhouden die hun oog op grote data stores hebben laten vallen. Het is van cruciaal belang dat wij zekerheid hebben over de herkomst en de kwaliteit van de gegevens, terwijl wij ons bovendien te houden hebben aan wet- en regelgeving op het gebied van privacybescherming. Maar ook governanceafspraken en bijvoorbeeld commerciële afspraken tussen bedrijven over het gebruik van gedeelde informatie moet goed en aantoonbaar geregeld zijn. Nu veel organisaties hun eerste stappen op het gebied van Big Data en Analytics as a Service zetten, is het dan ook van groot belang dat zij zich bewust zijn van de vele security-aspecten die hierbij spelen.
Patrick de Goede van Eijk is enterprise architect en solution expert bij T-Systems.
Goede security absolute noodzaak voor Analytics as a Service
Tijdens de beurs Infosecurity Europe 2013 werden de resultaten bekend van een onderzoek naar het resultaat van projecten op het gebied van Big Data. Veel Big Data-projecten dreigen te mislukken door problemen rond security. Dat is onnodig, stelt Patrick de Goede van Eijk van T-Systems, als we maar goed weten wat we op security- en privacy-gebied moeten regelen.
De druk bezochte Britse editie van Infosecurity-beurs vormde een mooie gelegenheid om de bezoekers te ondervragen over hun belangrijkste ervaringen met een van de belangrijkste thema’s van dit moment: Big Data. Liefst 76 procent van de ondervraagde managers (IT en business) gaf aan dat men grote zorgen heeft over de vraag of security bij Big Data-projecten wel afdoende is geregeld? Die zorgen bleken zo groot dat meer dan de helft security-problemen als belangrijkste reden aangaf waarom men nog niet met Big Data aan de slag is gegaan.
De Cloud Security Alliance (CSA, www.cloudsecurityalliance.org) heeft inmiddels veel werk op dit gebied verricht. Erg nuttig is bijvoorbeeld de whitepaper ‘Top Ten Big Data Security and Privacy Challenges’. In dit document wordt het security- en privacy-probleem kernachtig geformuleerd: ‘Security and privacy issues are magnified by velocity, volume, and variety of big data, such as large-scale cloud infrastructures, diversity of data sources and formats, streaming nature of data acquisition and high volume intercloud migration’.
Traditionele security-mechanismes zijn hier niet op toegesneden, stellen de onderzoekers van CSA’s Big Data Working Group. Die zijn gericht op statische gegevens en niet op streaming data. Een fenomeen als ‘provenance’ laat zich bijvoorbeeld niet of nauwelijks overbrengen naar een cloud-omgeving en tools die bedoeld zijn om afwijkingen in datasets op te sporen, zullen in veel gevallen veel te veel ‘false positives’ opleveren. Bovendien vereist het streaming karakter van Big Data-projecten dat securitymaatregelen real-time kunnen worden uitgevoerd.
De werkgroep heeft de tien belangrijkste problemen op het gebied van security, privacy en Big Data in kaart gebracht. Laten we deze tien punten eens nader bekijken.
1. Veilige verwerking van gegevens in een gedistribueerd programming framework
Gedistribueerde programming frameworks maken gebruik van parallellisatiemechanismen bij het verwerken van massale hoeveelheden data. Een bekend voorbeeld is MapReduce. Hierbij wordt een input file gesplitst in meerdere brokken. In de eerste fase van verwerking wordt voor iedere brok data een zogeheten Mapper gebruikt om de gegevens te lezen, een bewerking uit te voeren en een serie key/value pairs voort te brengen. In de volgende fase combineert een zogenaamde Reducer de values die bij iedere key horen en genereert daarmee het resultaat. Om deze operatie veilig uit te voeren, zijn twee attack preventionmaatregelen nodig: het beveiligen van de mappers en het beveiligen van de data als een ‘rogue mapper’ wordt ontdekt. Een ‘untrusted mapper’ kan verkeerde resultaten opleveren, waardoor ook het geaggregeerde resultaat fout zal zijn.
2. Security best practices voor nietrelationele data stores
NoSQL-databases hebben niet-relationele data stores populair gemaakt. De onderzoekers stellen dat er veel ontwikkelingswerk plaatsvindt rond de security-infrastructuur voor dit soort data stores. Er is echter nog geen sprake van een volwassen aanpak als het gaat om bijvoorbeeld NoSQL injections. Security maakte zeker niet altijd onderdeel uit van NoSQL-producten. Ontwikkelaars implementeren security van een NoSQL-omgeving veelal in een middleware-laag, maar NoSQL-databases dwingen security niet expliciet in de database zelf af. Dat is een probleem, zeker als we NoSQL-databases ook nog eens gaan clusteren. Er zal dus zeer goed gekeken moeten worden naar de security-maatregelen die in de genoemde middleware-laag zijn opgenomen.
3. Veilige opslag van gegevens en veilige transactielogging
Het aantal data- en transactielogs neemt bij Big Data-projecten een dermate omvang aan dat het voor een IT-afdeling niet meer te doen is om handmatig bij te houden waar deze logbestanden zich bevinden. Dit zal dus via een vorm van ‘autotiering’ moeten worden geregeld. Daar bestaan inmiddels oplossingen voor, maar die houden veelal weer niet bij waar de data zelf is opgeslagen. De CSAwerkgroep noemt een voorbeeld van een bedrijf waar data afkomstig van verschillende divisies bij elkaar gebracht wordt. Sommige logdata wordt echter nauwelijks opgevraagd, terwijl andere loggegevens voortdurend worden geraadpleegd. Een oplossing voor auto-tiering zal de zelden geraadpleegde logdata verplaatsen naar een ‘lower tier’. Vaak heerst daar ook een minder streng security-regime. Met andere woorden: auto-tiering van logdata kan een oplossing zijn, mits een duidelijk beeld bestaat van de verschillende tiers en bijbehorende security-maatregelen.
4. Validatie en filtering van gegevensinvoer vanaf endpoint devices
Een belangrijk probleem bij veel Big Data-projecten is: kunnen we de data die wordt toegevoegd vertrouwen? Met andere woorden: input validatie. Hoe kunnen we vaststellen dat de data correct is en hoe filteren we malicious gegevens uit de datastroom? Dit wordt – met dank aan BYOD – een steeds actueler probleem. De algoritmes om deze vaststelling en filtering te doen, ontbreken nog grotendeels.
5. Realtime monitoring van security en compliance
Realtime security monitoring is altijd al een lastig probleem geweest. De hoeveelheid alarmeringen is in veel gevallen te groot voor mensen om te verwerken, waardoor veel van deze alerts simpelweg worden weggeklikt. Bij Big Data wordt dit alleen nog maar erger. Aan de andere kant kunnen Big Data-technieken ook helpen om grip op dit probleem te krijgen, juist omdat veel Big Data-technologie op het razendsnel verwerken van grote hoeveelheden gegevens is gericht. Waardoor de interessante situatie ontstaat dat Big Data-technieken gebruikt kunnen worden om afwijkingen te vinden in de enorme gegevenstromen die met Big Data gepaard gaan. Hierdoor kan het op termijn mogelijk worden om veel sneller en gemakkelijker antwoord te krijgen op vragen als ‘Hebben we een overtreding van compliance-standaard ABC doordat zich actie XYZ voordoet?’
6. Schaalbare en eenvoudig samen te stellen data mining en analytics met behoud van privacy
Veel criticasters van Big Data zien in de opkomst van dit soort technieken vooral een bedreiging: minder privacy, opdringerige marketingacties, problemen met mensenrechten. Ook anonimiseren van data is niet voldoende om de privacy van mensen veilig te stellen. Toen Amazon onlangs een set met geanonimiseerde zoekresultaten publiceerde die voor academische doeleinden waren gebruikt, bleek het zeer eenvoudig om aan de hand van de zoekacties de personen in kwestie te vinden. Er zullen dus duidelijk richtlijnen en aanbevelingen moeten komen hoe onbedoelde inbreuk op privacy kan worden voorkomen, juist ook bij het samenvoegen van datasets. Belangrijk hierbij is te beseffen dat datasets continu worden bekeken en geanalyseerd. Er is maar één analist nodig die bewust een dataset misbruikt en de privacy van grote aantallen personen loopt gevaar.
7. Toegangscontrole en communicatie op basis van encryptie
Zonder versleuteling kan niet worden gegarandeerd dat gegevens veilig worden verzameld en slechts toegankelijk zijn voor de partij die hiertoe geautoriseerd is. Hierbij dient de data versleuteld te worden op basis van access control policies. We kunnen hierbij werken met hulpmiddelen als ‘attribute based encryption’ (ABE), maar dit soort technieken zijn nog niet ver genoeg ontwikkeld. Het ontbreekt in veel gevallen nog aan functionele rijkdom, schaalbaarheid en efficiency.
8. Fijnmazige access control
Een lastig probleem bij grote datasets is het beantwoorden van de vraag wie welke data mag inzien. De CSA-onderzoekers hebben vastgesteld dat in veel gevallen toegang tot veel gegevens afgeschermd wordt zonder dat daar een duidelijke reden voor is. Veelal blijkt dan dat het aan de juiste tools ontbreekt om zeer fijnmazig te kunnen instellen welke gegevens door wie mogen worden gezien of gebruikt. Juist de veelheid aan maatregelen, wetgeving en afspraken maken dit lastig. Vaak gelden juridische regels, branche-afspraken, samenwerkingsovereenkomsten tussen bedrijven en dergelijke. Er dienen tools te komen waarin de impact van al dit soort relevante governance- systemen kan worden geregeld en beheerd.
9. Fijnmazige mogelijkheden voor auditing
Hoewel we bij Big Data proberen te werken met real-time security, zal dit in de praktijk niet altijd lukken. Er kan een tot dan toe onbekend type aanval worden gebruikt of er is sprake van een ‘true positive’ die over het hoofd is gezien. In dat geval zal achteraf uitgezocht moeten worden wat er precies is gebeurd. Dit soort audit-informatie is bovendien bedoeld om te onderzoeken wat de bedrijfseconomische en juridische gevolgen zijn. We worden bij een probleem bovendien geacht uit te leggen waarom een bepaalde compliance-standaard is overtreden en hoe dit in de toekomst voorkomen zal worden.
10. Data provenance
Waar komt een bepaald gegeven vandaan? Het vastleggen en analyseren van dit soort metadata zal steeds resourceintensiever worden naarmate de hoeveelheid data die we verzamelen verder groeit. Toch is het van cruciaal belang dat hier goede tools voor worden gebruikt. Deze metadata is bijvoorbeeld van groot belang om de waarde van bepaalde datasets te kunnen vaststellen voordat deze worden gebruikt.
Bewust worden
Big Data biedt bedrijven en overheidsinstellingen enorme mogelijkheden. Maar de zorgen die de ondervraagde IT- en business managers tijdens Infosecurity Europe 2013 aangaven, zijn natuurlijk wel zeer terecht. Daarbij gaat het er zeker niet ‘alleen maar’ om hoe wij cybercriminelen kunnen tegenhouden die hun oog op grote data stores hebben laten vallen. Het is van cruciaal belang dat wij zekerheid hebben over de herkomst en de kwaliteit van de gegevens, terwijl wij ons bovendien te houden hebben aan wet- en regelgeving op het gebied van privacybescherming. Maar ook governanceafspraken en bijvoorbeeld commerciële afspraken tussen bedrijven over het gebruik van gedeelde informatie moet goed en aantoonbaar geregeld zijn. Nu veel organisaties hun eerste stappen op het gebied van Big Data en Analytics as a Service zetten, is het dan ook van groot belang dat zij zich bewust zijn van de vele security-aspecten die hierbij spelen.
Patrick de Goede van Eijk is enterprise architect en solution expert bij T-Systems.
