INFO
SECURITY MAGAZINE
JAARGANG 17 - JUNI 2018 - WWW.INFOSECURITYMAGAZINE.NL
BEDRIJVEN MOETEN HUN VERDEDIGINGSTACTIEK AANPASSEN
DELEN VAN INFORMATIE CRUCIAAL IN STRIJD TEGEN CYBERDREIGINGEN
DE VIER GROOTSTE
MISVATTINGEN OVER CLOUD-SECURITY
NOG ALTIJD MAKEN VEEL GEBRUIKERS GEEN BACK-UP
Meet your privacy challenges head on with IAPP training
DATA IS ONE OF YOUR MOST VALUABLE ASSETS.
TSTC FAST TRACKS PRIVACY
And every day it is being accessed, shared, managed and transferred by people in your organization
in all departments and at all levels. Unless your employees have a solid understanding of the considerations and challenges involved in managing data, you risk a data breach, losing customer
trust—or even enforcement action.
IAPP training can provide your staff with the knowledge they need to help you meet your privacy
program goals. The IAPP offers seven privacy and data protection training programs to extend knowledge to staff who need to have a solid understanding of privacy principles and practices.
Our comprehensive and flexible programs can be suited to your specific needs and availability in order to help you drive privacy knowledge across your organization.
Which Is Right for You?
CIPP/E
Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.
Certified Information Privacy Professional / Europe By investing in your staff, you give them the knowledge to make better decisions in their everyday work, which is fundamental Which Is Right for You? to the success of your privacy program.
CIPM
Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.
THE WHAT Laws and regulations
THE HOW Operations
THE HOW Technology
Certified Information Privacy Manager
•
Legal
•
Compliance
•
Information Management
•
•
Data Governance
•
Human Resources
•
Risk Management
•
Information Technology
•
Information Security
Accountability
•
Software Engineering
•
Audit
•
Privacy by Design
•
Privacy Analytics
• Privacy Operations www.privacyassociation.org/iappcert
CIPT
JURISDICTIONAL
THE WHAT Laws and regulations
GLOBAL, CROSS-INDUSTRY
www.privacyassociation.org/certification
THE HOW Operations
THE HOW Technology
Certified Information Privacy Technologist
•
Legal
•
Risk Management
•
Information Technology
•
Compliance
•
Privacy Operations
•
Information Security
•
Information Management
•
Accountability
•
Software Engineering
•
Data Governance
•
Audit
•
Privacy by Design
•
Human Resources
•
Privacy Analytics
JURISDICTIONAL
CDPO
GLOBAL, CROSS-INDUSTRY
www.privacyassociation.org/certification
Certified Data Protection Officer
T
0318 581480
W W W.T STC .NL
EDITORIAL: ROBBERT HOEFFNAGEL
COLOFON
Wie checkt de algoritmes? Er is de afgelopen maanden een felle discussie gaande over algoritmes. Vooral partijen als Facebook en Google liggen stevig onder vuur. Een van de vragen die daarbij speelt is: hoe konden Russische en andere organisaties nu precies gebruik c.q. misbruik maken van de manier waarop deze tech-giganten nieuws distribueren? Een ingewikkelde discussie, omdat natuurlijk geen enkele betrokken partij er belang bij heeft openheid van zaken te geven.
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@mijntijdschrift.com.
Uitgever Rik Stuivenberg
Cruciale discussie Hoofdredacteur Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 robbert@alibi.nl
Advertentie-exploitatie Jos Raaphorst +31 (0)6 - 34 73 54 24 j.raaphorst@archermedia.nl
Eindredactie/traffic Ab Muilwijk
Abonnementen Content Innovators, Den Haag
Vormgeving abonnementen@mijntijdschrift.com +31 (0)88 -22 666 19
Druk Veldhuis Media B.V., Raalte
Niets uit deze uitgave mag op enigerlei wijze worden overgenomen
Toch is deze discussie van cruciaal belang. Met die ‘discussie’ bedoel ik dan alleen niet zozeer de rol van deze tech-bedrijven, maar vooral de rol van algoritmes in zijn algemeenheid. Algoritmes zijn in een paar jaar tijd uitgegroeid van een wat suffige set aan reken- en redenatieregels tot het ware walhalla van het moderne zakendoen. Die verandering van status is volledig terecht, maar tegelijkertijd zijn we daarmee wel op gevaarlijk terrein gekomen. Want ieder bedrijf dat algoritmes in zijn bedrijfsvoering toepast, houdt deze natuurlijk liefst volledig afgeschermd van de buitenwereld. Daarmee verdient men immers geld. Maar het houdt ook een groot gevaar in. Ook als het gaat om cybersecurity. Want als niemand buiten het bedrijf of de overheidsinstelling weet hoe een toegepast algoritme nu precies te werk gaat, kunnen we ook moeilijk vaststellen in hoeverre dit functioneren al of niet correct is. Of hierbij - bijvoorbeeld - geen privacyregels geschonden worden. In hoeverre de eigenaar van het algoritme geen fouten heeft gemaakt. Of het algoritme zelfs wel legaal is.
zonder uitdrukkelijke toestemming van de uitgever.
Meer informatie: www.infosecuritymagazine.nl Infosecurity Magazine is een uitgave van
Misbruik of onveilig? Een bedrijf dat te goeder trouw handelt, zal uiteraard zijn uiterste best doen om een correct en legaal functionerend algoritme te ontwikkelen. Maar welke gegevens over klanten of relaties verzamelt men hierbij eigenlijk? En met wie deelt men deze data? Worden die voor - zeg maar servicedoeleinden gedeeld? Of wordt de data simpelweg verkocht? En weet de
persoon of partij wiens gegevens worden verzameld en gedeeld dat eigenlijk wel? Is daar eigenlijk wel toestemming voor gegeven? Nog een stap verder: hoe veilig is het gebruik van dit algoritme? Hoe zit het algoritme technisch in elkaar? Waar wordt de verzamelde data opgeslagen? En hoe veilig gebeurt dit vastleggen eigenlijk?
Toezicht dringend gewenst Het interessante aan dit vraagstuk is dat de discussie zich momenteel vooral op techbedrijven richt. Maar het probleem is veel groter. Ik noem maar een voorbeeld: een wethouder die besluit om met intelligente stoplichten iets te gaan doen aan het fileprobleem in zijn of haar stad krijgt onvermijdelijk ook met algoritmes te maken. Maar zal zich daar veelal niet bewust van zijn. Laat staan dat binnen die gemeente nagedacht wordt over vragen als hiervoor genoemd. Bij de razendsnelle digitalisering van economie en maatschappij wordt enorm veel gebruikgemaakt van algoritmes. Zonder dat we eigenlijk weten wat die algoritmes nu precies doen, of die veilig te gebruiken zijn, of de wet daarbij niet wordt overtreden noem maar op. Maar niemand checkt dit. Het wordt hoog tijd dat hier verandering in komt. Anders is de ellende straks niet te overzien. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 3
Inhoud
INFOSECURITY MAGAZINE NUMMER 02 - JUNI 2018 - JAARGANG 17
06 Brainport Eindhoven krijgt Cyber Weerbaarheid Centrum 08 GDPR en legacy-systemen 10 Privacywetgeving in de public cloud: hoe zit dat? 15 Telco’s willen veilig betalen via blockchain 16 Canon Medical Systems optimaliseert beveiliging 18 Verizon brengt meest voorkomende securityuitdagingen in kaart 20 ‘Beveiligingsbedrijven krijgen meer positieve dan negatieve beoordelingen 22 ‘Bedrijven en andere organisaties moeten hun verdedigingstactiek aanpassen’
34
Cybersecurity-specialist Proofpoint heeft kortgeleden aangekondigd Wombat Security Technologies over te nemen. Het bedrijf biedt phishing-simulaties aan en computergebaseerde trainingen die helpen mensen bewust te maken van de gevaren van cybercriminaliteit. Wij spraken met Ryan Kalember, de Senior Vice President Cybersecurity Strategy van Proofpoint, over de redenen voor de overname, de situatie in Nederland en verdere plannen van het bedrijf
.
25 Hoe gamificatie security kan ondersteunen 26 Securityprofessional - ben jij klaar voor de digitale transformatie? 28 Zo creëert u een effectieve beveiligingscultuur 30 ‘Delen van informatie cruciaal in strijd tegen cyberdreigingen’ 32 CyberArk en Red Hat willen beter beheer DevOps-secrets 34 ‘Extra personeel geen garantie voor betere security’ 36 Mimecast voegt nieuwe functies toe aan Targeted Threat Protection 38 De vier grootste misvattingen over cloudsecurity
Met de introductie van cloudoplossingen kwamen ook de twijfels of dit soort oplossingen wel veilig waren. Veel organisaties kozen eieren voor hun geld en bleven werken met hun oude, vertrouwde IT-infrastructuur. Tegenwoordig gebeurt het tegenovergestelde. Bedrijven vinden de cloud de veiligste plek om hun data en applicaties op te slaan. Maar ondanks dat de beveiliging stukken beter is geworden, moeten bedrijven nog steeds opletten welke cloud security provider ze binnenhalen. In dit artikel zet Tim Hoefsloot van Forcepoint de vier grootste misvattingen over cloud security providers op een rij.
41 Nutanix Flow beveiligt applicaties met één klik 42 Nóg een GDPR-advies: vergeet de smartphones van medewerkers niet 4 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
08
10
18
22
12
‘NEGEN MAATREGELEN OM APPLICATIES VEILIGER TE MAKEN’ Cybersecurity wordt in veel gevallen nog altijd gezien als een set aan beveiligings-maatregelen die aan een bestaande IT-omgeving worden toegevoegd. Bij het Nederlands Instituut voor de Software Industrie (NISI) ziet men dat anders.
26
40
‘NOG ALTIJD MAKEN VEEL GEBRUIKERS GEEN BACKUP’ INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 5
STRATEGIE
Gericht op ‘ketenweerbaarheid’ op gebied van cybersecurity
Brainport
Eindhoven krijgt Cyber Weerbaarheid Centrum Brainport Eindhoven krijgt als eerste in Nederland een Cyber Weerbaarheid Centrum. Dit centrum is bedoeld om bedrijven binnen de kennisintensieve maakindustrie te helpen met weerbaarheid tegen digitale spionage en sabotage. 6 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Daarmee is de hightech-regio naar eigen zeggen koploper in Nederland. Het claimt die status omdat het - naast de door het Rijk aangewezen vitale sectoren (gezondheidszorg, energie, haven enz.) - nu serieus werk maakt van cyberweerbaarheid. Het wordt daartoe bovendien aangesloten op vertrouwelijke informatie van het Rijk. Binnen het nieuwe centrum kunnen met name ook mkb-ondernemingen in de hightech-regio aansluiten op een collectief, professioneel systeem tegen online aanvallen. Uiteindelijk kunnen het bedrijfsplan voor dit nieuwe centrum en de opgedane praktijkervaring benut worden om weerbaarheidscentra voor de kennisintensieve maakindustrie in heel Nederland in te richten.
Sterk verweven Ruim twintig grote bedrijven uit Brainport Eindhoven wisselden tot nu toe mondeling al vertrouwelijke informatie uit op het gebied van cybersecurity. Dat gebeurt binnen de zogeheten ‘Eindhoven Cyber Security Groep’ (ECSG). Voor het sterk verweven ecosysteem in deze regio geldt echter dat deze als geheel pas echt zo veilig mogelijk is als alle spelers weerbaar zijn tegen cybercrime. Daarom besloten de ECSG, Brainport Industries, Brainport Development, BDO Accountants & Adviseurs en de Provincie Noord-Brabant gezamenlijk de opgedane expertise van de ECSG verder uit te bouwen tot een Cyber Weerbaarheid Centrum Brainport (CWCB). Momenteel werkt een eerste groep van bedrijven - de zogeheten ‘first user group’ - aan de verdere ontwikkeling van het centrum. Naar verwachting is het centrum eind 2018 operationeel. Een belangrijke bouwsteen daarbij is de pilot over informatiedeling en -uitwisseling die samen met TNO en de ministeries EZK (het Digital Trust Centre, DTC) en J&V (het Nationaal Cyber Security Centrum, NCSC) wordt uitgevoerd.
‘Verheugd met initiatief’ “Het Brainport-initiatief is omarmd door het ministerie van Economische Zaken en Klimaat”, lichten projectleiders Robert-Jan Marringa van Brainport Development en Sandra Konings, voorzitter en initiatiefnemer van ECSG, toe. “Onze oproep om aandacht
‘Grote bedrijven als ASML en Philips zullen een cyberaanval wel kunnen doorstaan, maar voor mkb’ers is dat maar zeer de vraag’
voor het mkb, met name in de kennisintensieve maakindustrie, heeft mede geleid tot de Kamerbrief van 22 mei 2017 waarin EZK aangeeft ervaring op te willen doen met uitwisseling van cyber-securityinformatie voor én door kennisintensieve bedrijven, die gekoppeld moest worden aan de beschikbare vertrouwelijke overheidsinformatie. Dit heeft geleid tot de oprichting van het DTC per 1 januari 2018, zoals aangekondigd in de Kamerbrief van 23 september 2017.”
we raken immers steeds meer en intensiever digitaal met elkaar verknoopt. Tegelijkertijd zijn bij ondernemers binnen het kleinere bedrijfsleven onvoldoende kennis en middelen voorhanden om zelfstandig weerbaar te zijn. Binnen het CWCB worden ook zij in staat gesteld om zich beter te weren tegen cyberaanvallen en/ of een mogelijke aanval sneller te boven komen. Zo’n centrum is dan ook een belangrijke bijdrage aan het ecosysteem van Brainport Eindhoven.”
Konings: “De leden van de ECSG zijn verheugd om te zien dat hun initiatief nu ook landelijk wordt opgepakt. Ze beseffen dat de mondelinge manier waarop zij informatie delen niet geschikt is voor een grote groep bedrijven. Daarom formuleerden ze met andere stakeholders de behoefte aan een innovatief digitaal Cyber Weerbaarheid Centrum.” Dit centrum wordt een voor de deelnemers gemakkelijk toegankelijke online-omgeving voor vertrouwelijke, snelle en vooral ook real-time kennisdeling op maat. Met de ECSG als startkern. Uiteindelijk zal deze al bestaande groep opgaan in het nieuwe CWCB.
Vestigingsklimaat
Ketenweerbaarheid Volgens Marringa zijn cyberaanvallen een serieuze bedreiging voor alle ondernemingen in Brainport Eindhoven. “De nationale en internationale voorbeelden van recente cyberaanvallen zijn legio en de economische impact voor een bedrijf of regio kan enorm zijn. Grote bedrijven als ASML en Philips zullen een cyberaanval wel kunnen doorstaan, maar voor mkb’ers is dat maar zeer de vraag.” Konings vult aan: “Ketenweerbaarheid is daarom echt van groot belang. Informatie-uitwisseling en samenwerking zijn de sleutel naar cyberweerbaarheid,
De vier belangrijkste taken van het CWCB liggen op het gebied van: • preventie - helpen spionage en sabotage voorkomen • detectie - vaststellen of er sprake is van een dreiging en die ook duiden • response - helpen een aanval af te slaan • recovery - bij eventuele schade helpen bij het herstel en het opnieuw inrichten van de beveiliging Het centrum wordt naar verwachting een coöperatieve organisatie waarvan de leden gezamenlijk zorgen voor cyberweerbaarheid in de hightechmaakindustrie in Brainport Eindhoven. Volgens Marringa en Konings draagt het CWCB bovendien bij aan de verbetering van het vestigingsklimaat van de regio. “Daar waar bedrijven zoveel mogelijk zekerheid krijgen, zullen ze zich graag vestigen en cybersecurity staat hoog in het vaandel. Dat zal uiteindelijk ook nieuwe werkgelegenheid met zich brengen. Daarnaast profiteert het regionale bedrijfsleven van de aansluiting bij het CWCB omdat een bedrijf dat goed heeft nagedacht over actieve cybersecurity eerder als toeleverancier wordt gekozen. Hierdoor verbetert zijn concurrentiepositie.”
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 7
GDPR
Met Discovery- en Classificatie-tools worden ook oude IT-omgevingen compliant
GDPR en legacy-systemen GDPR is hier. Als het goed is, bent u nu helemaal klaar met de implementatie van gegevensbescherming en het verbeteren van de systeembeveiliging om te voldoen aan de strenge eisen binnen deze wetgeving. Maar hoe zit het met oude legacy-omgevingen? Zijn ook die inmiddels compliant? Met tools voor het ontdekken en classificeren van data is ook dit te realiseren. Zeker als hierbij ook nog eens deskundige ondersteuning wordt ingeschakeld.
8 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Een vertrouwde VAR kan oplossingsrichtingen adviseren die bij de organisatie past. Zodat de onderneming wordt geholpen de juiste keuzes te maken met betrekking tot het beveiligen van de ICT-infrastructuur. Een hierbij aangeschafte tool kan deze taak vereenvoudigen en automatiseren. Kennis over de vraag hoe deze tools op de meest effectieve manier kunnen worden gebruikt, kan worden verkregen bij een VAR. Ofwel een Value Added Reseller. Een VAR heeft training en certificering in het product
‘Een vertrouwde VAR kan oplossingsrichtingen adviseren die bij de organisatie past’
ontvangen en kan ondersteunen bij het gebruik van de toolset nadat deze is geïmplementeerd.
Legacy en GDRP Met betrekking tot de GDPR (in het Nederlands ook wel bekend als de AVG) zijn ook legacy-systemen als IBM’s i-Series niet vrijgesteld. Ook daar staan immers in veel gevallen persoonsgegevens op. Maar hoe secuur zijn deze gegevens? Zijn er IBM i Webapplicaties die toegankelijk zijn voor klanten? Hoe om te gaan met end-point security? Kortom, hoe wordt een IBM i-omgeving compliant gemaakt?
Legacy-systemen kunnen in de regel erg goed worden beveiligd. De vraag is of dit bij iedere organisatie ook daadwerkelijk het geval is. Dit zal dus formeel moeten worden vastgesteld. De vraag is alleen wel: hoe doen we dat? Meestal draaien deze systemen al jaren zonder dat er wat betreft beveiliging naar omgekeken wordt. Dat betekent helaas ook dat niet altijd even veel aandacht wordt besteed aan de vraag of de beveiliging op het systeem aan de (huidige) regels voldoet. Met de komst van de GDPR is het zeer belangrijk dat deze check wordt gedaan. Gelukkig bestaan er ‘risk assessments’ voor een IBM i die snel kunnen worden uitgevoerd. Deze assessment biedt een prima basis om - eventueel samen met een expert - deze omgeving snel en efficiënt compliant te maken.
is het voor de IT-afdeling niet altijd (meer) duidelijk welke user-profielen nog actief zijn en welke rechten deze hebben op het systeem en zijn endpoints. Een tool als een actieve firewall die op het legacy-systeem geplaatst wordt zou hiervoor een goede oplossing zijn.
Meerdere tools
Met Data Discovery-tools kan op zoek gegaan worden naar geclassificeerde bestanden op servers en end-points. Een goede tool voor classificatie is in staat ook niet-gelabelde gegevens te ontdekken en te classificeren. Het is immers van groot belang dat er zicht is op de gegevens binnen het netwerk. Is dit zicht niet compleet, dan kunnen zich onaangename verrassingen voordoen.
Er bestaan meerdere tools waarmee persoons- en andere gegevens kunnen worden ontdekt op zowel legacysystemen als Windows- en Linuxomgevingen. Voor legacy-systemen bestaat deze uit encryptie en preventie. Bij legacy is vaak behoorlijk wat aan gegevens opgeslagen in de hierop geplaatste databases. Vaak bestaat er geen of onvoldoende inzicht in deze oude gegevens. In andere gevallen wordt de relevantie van deze legacydata onderschat. Met behulp van de juiste tools kunnen deze gegevens echter worden opgespoord. Is deze data vrij toegankelijk, dan zijn dit soort tools in staat deze gegevens te versleutelen of van de juiste autorisatie te voorzien. Preventie is ook bij legacy-systemen een goede maatregel. Mede doordat de systemen ontwikkeld zijn voor oude netwerktechnologieën (bijvoorbeeld 5252) en pas later functionaliteit voor nieuwere methodes is toegevoegd (denk bijvoorbeeld aan FTP en ODBC). Het gevolg hiervan kan zijn dat de beveiliging niet altijd zo secuur is gemaakt als deze zou moeten zijn. Ook
Classificatie en discovery Een belangrijke rol voor een externe expert is tevens dat deze kan adviseren over tools die gegevens classificeren en die bijvoorbeeld remediëring toepassen binnen het netwerk. Dit proces kan worden toegepast op gegevens op het moment dat ze aangemaakt worden (zeg maar: security by design). Maar het is ook mogelijk om deze regels toe te passen op bestanden die zijn aangemaakt nog voordat de classificatietool werd geïntroduceerd.
JAMES CHENEY is werkzaam bij SRC Secure Solutions
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 9
PRIVACY
Privacywetgeving in de public cloud:
hoe zit dat? Facebook heeft in het verleden naar de seksuele geaardheid van gebruikers gevraagd en op basis van deze informatie gerichte advertenties getoond. Volgens de spelregels van de Nederlandse privacywetgeving is dit niet toegestaan. Maar wat als het Europese hoofdkantoor en datacenters in Ierland staan? Geldt de Nederlandse wetgeving dan nog wel? De Nederlandse privacywetgeving lijkt in de meeste gevallen duidelijk: iedere in Nederland gevestigde organisatie moet zich aan de spelregels houden. Bij publieke clouddiensten met servers over de grens ontstaat echter een ingewikkelde situatie. Welke privacyspelregels gelden in de public cloud?
Bijzondere persoonsgegevens Facebook mag volgens de Autoriteit Persoonsgegevens (AP) niet zomaar data vragen over de seksuele voorkeur van gebruikers. Het gaat hierbij namelijk om bijzondere persoonsgegevens. 10 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Deze mogen alleen onder zeer strikte voorwaarden worden verwerkt. Het tonen van gerichte advertenties is daar in ieder geval niet een van. Facebook verweerde zich: het Europese hoofdkantoor en de datacenters staan in Ierland, buiten het bereik van de Nederlandse wetgeving. De AP zou dus helemaal geen recht van spreken hebben. Volgens de AP speelde de Nederlandse vestiging van het bedrijf echter een rol in het geheel, door Nederlandse bedrijven te adviseren over de advertentiemogelijkheden op het sociale netwerk. De kwestie heeft volgens de AP dus wel degelijk een Nederlands tintje.
Belangrijkste spelregels Het laatste woord over de kwestie is nog niet gezegd. Wel is duidelijk dat privacywetgeving in de cloud niet altijd vanzelfsprekend is en jurisdictie absoluut een rol speelt. Daar dient u serieus rekening mee te houden als een cloudprovider namens u persoonsgegevens van uw klanten bewerkt. Gelukkig zijn er ook een aantal ‘harde’ afspraken
‘De public cloud is erg privacyvriendelijk, zolang providers zich houden aan een aantal spelregels van de Nederlandse privacywet’ maken. De privacywetgeving verbiedt namelijk het verplaatsen van persoonsgegevens naar niet-EU-landen, tenzij het land over een minstens zo hoog beschermingsniveau beschikt. Een providerwissel kan in zo’n geval noodzakelijk zijn om aan de Nederlandse privacywetgeving te blijven voldoen. Bijvoorbeeld wanneer de data verhuizen naar een land dat weinig tot geen privacyregels kent.
waar cloudproviders aan moeten voldoen. De public cloud is erg privacyvriendelijk, zolang providers zich houden aan een aantal spelregels van de Nederlandse privacywet. We zetten de belangrijkste op een rij: Bewerkersovereenkomst Veel public clouddiensten verwerken persoonsgegevens. Niet alleen van hun klanten, maar in veel gevallen ook van de klanten van hun klanten. Denk aan een administratiekantoor dat gebruikmaakt van een SaaS-oplossing voor onlineboekhouden, of een uitgever die een abonnementenbestand bijhoudt in Office 365. In zo’n geval is een bewerkersovereenkomst altijd verplicht. Dat is een officieel document waarin de organisatie afspraken maakt met de cloudprovider over de gegevensbewerking. De cloudprovider belooft in zo’n overeenkomst eenvoudig gezegd dat het zijn best doet de privacy van de klanten van de organisatie waarmee het de overeenkomst sluit zo goed mogelijk te beschermen. Ook maakt u in zo’n overeenkomst afspraken over verantwoordelijkheden bij een datalek.
Serieuze beveiligingsmaatregelen Een cloudprovider die persoonsgegevens verwerkt, is verplicht serieuze beveiligings-maatregelen te nemen. Het gaat daarbij zowel om technische securitymaatregelen als organisatorische afspraken en procedures. Denk dus aan zaken als securitysoftware, een deugdelijke firewall, IDS/IPS, maar ook aan een duidelijk gedocumenteerd privacybeleid. Meldplicht richting verantwoordelijke Een cloudleverancier moet zijn klanten direct op de hoogte brengen bij een datalek. Dus niet rechtstreeks melden bij de AP, die verantwoordelijkheid ligt bij de klant. Die is immers weer eindverantwoordelijk over de persoonsgegevens van zijn klanten, ook wanneer de cloudleverancier bewust of onbewust zijn mond houdt over het lek. Dat is direct een sterk argument om alleen met cloudleveranciers in zee te gaan met een goede staat van dienst. Doorgifte naar buitenland Het kan voorkomen dat de cloudprovider data verhuist naar een land buiten de EU. Als klant moet je dat scherp in de gaten houden en harde afspraken over
Die waakzaamheid geldt overigens ook wanneer de cloudprovider toegang tot persoonsgegevens op afstand verleent aan een niet-EU-land, zoals een helpdesk in India. Ook dan kan sprake zijn van verwerking van persoonsgegevens door niet-bevoegde personen en dus een overtreding van de privacywet. De VS: een apart geval De Verenigde Staten zijn wat betreft de cloud een vreemde eend in de bijt. Komen data van Europese burgers terecht op Amerikaanse servers, dan vallen deze onder het Privacy Shield. Het Amerikaanse cloudbedrijf moet wel zijn aangemeld op het Privacy Shieldprogramma. Is dat het geval, dan mogen persoonsgegevens door hen worden verwerkt. Het moet echter nog maar blijken hoe duurzaam deze afspraak is. De afspraak kan ieder jaar worden bijgewerkt. De private cloud is met de enige oplettendheid absoluut geen privacyonvriendelijke plek. Goed voorwerk en duidelijke afspraken met de cloudprovider verminderen de kans op datalekken en andere ellende. Meer informatie: www.kpn.com/zakelijk/ grootzakelijk/cloud/private-cloud
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 11
VISIE
Nederlands Instituut voor de Software Industrie:
‘Negen maatregelen om applicaties
veiliger te maken’ Cybersecurity wordt in veel gevallen nog altijd gezien als een set aan beveiligingsmaatregelen die aan een bestaande IT-omgeving worden toegevoegd. Bij het Nederlands Instituut voor de Software Industrie (NISI) ziet men dat anders. Begin bij het begin, is hier het motto. Anders gezegd: kijk bij het ontwikkelen van software niet alleen naar de functionaliteit, maar betrek security in alle stappen die nodig zijn om tot de gewenste functionaliteit te komen. Daarbij kunnen we minstens negen zeer nuttige maatregelen nemen, stelt Jan Vlietland van het NISI. Deel 1 in een serie artikelen over het ontwikkelen van veilige applicaties.
Secure Development Life Cycle Secure Development Life Cycle ofwel SDLC bestaat uit 4 stappen die continu doorlopen worden. Wie begint met deze aanpak, zal allereerst zijn ‘requirements’ in kaart moeten brengen. Zijn die eenmaal duidelijk, dan kunnen de zogeheten ‘secure design principles’ vastgesteld worden die hier het beste bij passen. Vervolgens kan een ‘secure design’ worden geïmplementeerd. Waarna een aantal validaties dienen te worden uitgevoerd om vast te tellen in hoeverre het secure design ook daadwerkelijk aansluit bij de eerder genoemde requirements. Zijn hierbij aanpassingen nodig, dan kan dit ook weer impact hebben op de gekozen secure design principes. En zo doorlopen we continu deze ‘life cycle’.
Secure design principes Applicaties vormen natuurlijk niet de enige uitdaging als het om IT-security gaat, vertelt Jan Vlietland van het Nederlands Instituut voor de Software Industrie. “Maar het vormt wel een belangrijk aspect. Wie software ontwikkelt op basis van de principes van ‘Secure Development Life Cycle’ kan grote stappen in de goede richting zetten.” 12 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Hierbij is een cruciale rol weggelegd voor de zogeheten secure design principes. Dit zijn er negen, stelt Vlietland: • Minimaliseer de mogelijkheden voor aanvallers om actief te worden (minimize attack surface area) • Zorg voor veilige default-instellingen
• Ga uit van het idee van ‘least privilege’ • Hanteer het principe van ‘verdediging in de diepte’ • Zorg dat eventuele fouten niet tot onveilige situaties leiden • Heb geen vertrouwen in externe services • Zorg voor scheiding tussen taken • Voorkom ‘security by obscurity’ • Hou security eenvoudig Laten we deze negen stappen of maatregelen eens nader bekijken.
Minimize attack surface area Iedere nieuwe feature die aan software wordt toegevoegd, levert weer extra risico’s op voor de applicatie. Terwijl het doel van ‘secure development’ nu juist is dat we het risico terugdringen door criminelen minder mogelijkheden voor een aanval of misbruik te bieden. Een voorbeeld: een webapplicatie kan voorzien worden van een online help waaraan een zoekfunctie is gekoppeld. Die search-functie levert extra risico’s op in de vorm van SQL injectionaanvallen. Hoe kunnen we dit risico verminderen? Door de zoekfunctie bijvoorbeeld alleen voor geautoriseerde gebruikers beschikbaar te maken. Of door de zoekfunctie in te perken door een aantal routines toe te voegen waarmee de ingevoerde zoekdata kan worden gevalideerd. Daarmee kunnen we het risico dat een SQL injectionaanval met succes wordt uitgevoerd drastisch terugbrengen.
Veilige default-instellingen Als uitgangspunt geldt dat default configuratie-instellingen de meest veilige instellingen vormen die mogelijk zijn. Dat is natuurlijk niet direct hetzelfde als de meest gebruiksvriendelijke instellingen. Maar ga uit van het idee dat het aan de gebruiker zelf is om zijn veiligheidsniveau eventueel te verlagen. Dit dient dan een bewuste keuze en een bewust uitgevoerde actie te zijn. Mits we een dergelijke verlaging van het securityniveau natuurlijk überhaupt willen toestaan. Ook hier weer een voorbeeld: stel per default in dat wachtwoorden na verloop van tijd verlopen en stel bovendien eisen aan de samenstelling van het gebruikte wachtwoord. We kunnen natuurlijk overwegen dat gebruikers beide features
‘Applicaties vormen natuurlijk niet de enige uitdaging als het om IT-security gaat’
mogen uitschakelen. Dit levert een vereenvoudiging van het gebruik op, maar tevens een verlaging van het securityniveau. Let overigens op dat werken met ‘secure defaults’ niet hetzelfde is als het uitzetten van alle netwerkverbindingen, sockets en services en dergelijke. Omgekeerd betekent het ook niet dat met secure defaults een 100% veilige omgeving is gecreëerd.
Least privilege Werken met minimale privileges betekent dat iedere module - een proces, een gebruiker of een programma - alleen toegang heeft tot die informatie en IT-middelen die nodig zijn voor het uitvoeren van de taak waar het om gaat. Een user account krijgt hierbij dus uitsluitend die rechten die essentieel zijn voor de beoogde functie. Neem als voorbeeld een user account dat bedoeld is voor het maken van back-ups. Die ‘user’ behoeft dan bijvoorbeeld geen software te kunnen installeren. Er dient dus enkel sprake te zijn van rechten om back-ups te maken en back-up-software te starten. Hetzelfde voor een eindgebruiker met een normaal user account. Beperk het aantal situaties waarin deze gebruiker privileged en met een wachtwoord beschermde superuser-rechten nodig heeft tot het absolute minimum.
Defensie in de diepte ‘Defense in depth’ is een concept waarbij de verdediging uit meerdere lagen wordt opgebouwd. Hierbij kijken we niet alleen naar de applicatie zelf, maar naar de gehele IT-omgeving. Denk hierbij aan firewalls, ‘demilitarized zones’ (DMZ), antivirus software, ‘patching’, ‘secure coding’, versleuteling van files en data, ‘intrusion detection’ en dergelijke. Het gebruik van meerdere lagen heeft tot doel redundantie aan te brengen. Daarom is het belangrijk dat deze meerdaagse defensie tal van maatregelen omvat die variëren van personele maatregelen, procedures, technische en fysieke bescherming.
Veilig fouten maken Stel duidelijk vast dat authenticatiemaatregelen zodanig zijn ontwikkeld dat een aanvaller niet kan inloggen. Kijk hierbij dus heel nadrukkelijk naar de ‘error handling’ bij authenticatie. Veel frameworks regelen dit weliswaar voor een developer, maar check dit altijd goed. Bijvoorbeeld door te controleren in hoeverre het mogelijk is dat een foutieve input bij authenticatie de gehele authenticatieprocedure uitschakelt? Of haal als test eens de gehele database met authenticatiegegevens offline en onderzoek wat er gebeurt als dan alsnog geprobeerd wordt in te loggen.
Vertrouw geen services Een externe service gebruiken intro-
Over het NISI Het Nederlands Instituut voor de Software Industrie (NISI) is een initiatief van de Universiteit Utrecht. Het NISI ondersteunt de software-industrie met kennis, innovatie en netwerk. Het instituut verzorgt voor de software-industrie hoogwaardige postacademische opleidingen, faciliteert intervisie en praktijkbijeenkomsten, en verbindt software-universiteiten met het bedrijfsleven.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 13
VISIE duceert per definitie risico’s. Want wellicht hanteren zij andere security policies, zonder dat we hier invloed op kunnen uitoefenen. We kunnen er simpelweg niet impliciet vanuit gaan dat een externe service veilig is en vertrouwd kan worden. Maak hierbij bovendien geen onderscheid tussen soorten externe services. Maar behandel alle externe services op dezelfde manier. Ook hier weer een voorbeeld. Een aanbieder van een royalty-programma levert data die gebruikt wordt bij internetbankieren. Deze partij levert bijvoorbeeld het aantal spaarpunten van een gebruiker aan of berekent de korting die de gebruiker hiermee krijgt. Hierbij zal deze data gecontroleerd dienen te worden voordat deze aan de gebruiker getoond wordt.
Geen security by obscurity Security by obscurity is geen goed idee, zeker niet als dit de enige security control is. Hiermee bedoelen we dat het niet verstandig is allerlei details onzichtbaar te houden. Voorbeeld: ga niet uit van het idee dat zolang de broncode van een applicatie geheim wordt gehouden er bij aanvallers geen kennis over de werking van de software kan ontstaan. Security zal gebaseerd moeten zijn op een aantal maatregelen, variërend van deugdelijke procedures rond wachtwoorden, defensie in de diepte, beperkingen die we aan transacties stellen, een weldoordachte netwerkarchitectuur en dergelijke.
Hou security eenvoudig De twee fenomenen ‘attack surface area’ en ‘eenvoud’ gaan hand-in-hand. Hou ook
de programmacode eenvoudig en zo efficiënt mogelijk. Sommige developers schrijven zeer uitgebreide code, met alle risico’s van dien op fouten en zwakheden. Het kan daarnaast erg modern zijn om tal van ‘entity beans’ op een middlewareserver te gebruiken, maar vaak is het veiliger en sneller om ‘global variables’ toe te passen met een mutexmechanisme (‘mutual exclusive’) die bescherming biedt tegen dubbelzinnige multithreading-condities. Continue authenticatie Authenticatie speelt bij secure coding een hoofdrol. Steeds vaker wordt in applicaties de optie van two-factor authentication toegepast. Maar er is nog een andere optie die in het kader van dit artikel erg relevant kan zijn: ‘continuous authentication’. Hierbij wordt de identiteit continu geverifieerd. Hierbij kan gebruik worden gemaakt van biometrische input, maar bijvoorbeeld ook een smartphone of
context. Denk bij dit laatste bijvoorbeeld aan GPS-data voor het vaststellen van de locatie van een gebruiker of gegevens over het tijdstip van het gebruik van de applicatie of het doen van een transactie. Met continue authenticatie is het mogelijk de beveiliging verder te verbeteren. Wordt deze maatregel toegepast dan is het voor een aanvaller bijvoorbeeld veel lastiger geworden om een sessie over te nemen of om misbruik te maken van gestolen apparatuur. Denk aan een smartphone in het geval van two-factor authentication. In een volgend artikel gaan we nader in op het proces van authenticatie. Maar kijken we ook naar role-based access control en encryptie. ROBBERT HOEFFNAGEL is hoofdredacteur van CloudWorks en Infosecurity Magazine
Top-10 cybersecurity-uitdagingen Cybersecurity heeft betrekking op tal van aspecten binnen een IT-omgeving. Dit zijn de tien belangrijkste uitdagingen waar veel organisaties voor staan: • De organisatie beschikt niet over een (adequaat) security-programma • Er is recent geen security-scan gedaan om de risico’s in kaart te brengen • Er heeft met het oog op wet- en regelgeving geen evaluatie plaatsgevonden van security-issues of gebreken in
security controls • De organisatie beschikt niet over een formeel proces voor het patchen van software of er vindt geen systematische
implementatie daarvan plaats • Er is geen sprake van een zogeheten ‘insider threat’-programma • De organisatie heeft geen contacten met of in de cybersecurity-wereld • Er is geen sprake van een goed georganiseerd configuratiebeheer • Er is geen sprake van een goed georganiseerd beheer rond ‘remote access’ • Er wordt geen of onvoldoende gebruik gemaakt van de beschikbare data rond cybersecurity • Er is geen plan van aanpak beschikbaar hoe gereageerd dient te worden op een incident
14 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
POC
Telco’s
willen veilig betalen via blockchain
Colt Technology Services en PCCW Global hebben verdere vooruitgang geboekt bij hun onderzoek naar de potentie van blockchain-technologie binnen de telecomsector. Ze hebben nu een tweede proof of concept (PoC) gelanceerd. Deze maakt veilig betalen tussen carriers mogelijk voor het verrekenen van intercarrier-verkeer. Colt en PCCW maakten in maart van dit jaar bekend dat ze samen met blockchain-startup Clear met succes een proof of concept hebben gedaan op basis van blockchain-technologie. Het doel was om de kosten voor het internationale wholesale-verkeer tussen carriers te automatiseren. De doorlooptijd van de kostenverwerking kon daarmee worden teruggebracht van uren tot minuten. Dit eerste PoC maakte gebruik van historische data om de technologie en mogelijke toepassingen daarvan in de telecomsector te testen.
Live data feeds Bij het nieuwe PoC gaan de deelnemende partijen een stap verder. Zij voeden nu namelijk het blockchain-grootboek met live datafeeds. Hierdoor is het mogelijk om het inter-carrierverkeer automatisch te verifiëren en verrekenen op basis van realtime data. Een aantal leden van ITW Global Leaders’ Forum (GLF) hebben de kans aangegrepen om aan te haken op dit initiatief met als doel om op korte termijn de bilaterale tests tussen Colt en PCCW Global uit te breiden naar multilaterale relaties binnen de hele wholesale telecommarkt. Nieuwe deelnemers aan het initiatief zijn onder meer BT, HGC Global Communications, Telefonica en Telstra.
Veilig automatiseren Carl Grivner, de CEO van Colt: “We waren al optimistisch gestemd over het succes van de eerste proof of concept, maar het gebruik van realtime data
was een belangrijke extra stap om het nut van de toepassing van blockchain-technologie in onze branche aan te tonen. De tweede proof of concept deed niet alleen wat ervan werd verwacht - het wholesale-verkeer op accurate wijze verifiëren en verrekenen aan de hand van realtime informatie maar vereffent ook de weg naar een veilige automatisering van arbeidsintensieve, handmatige taken. Dit biedt carriers als Colt de vrijheid om te investeren in de groei van hun onderneming en die van hun klanten.” Marc Halbfinger, CEO van PCCW Global en bestuursvoorzitter van GLF: “Wij zijn blij dat er steeds meer carriers aan deze proof of concept deelnemen. Bij de GLF is er veelvuldig gesproken over de mogelijkheid om innovatieve technologieën zoals blockchain in te zetten om de efficiëntie binnen de branche te vergroten. Het feit dat er meer carriers aan deze proof of concept deelnemen laat zien dat de telecomsector de voordelen ziet van verdere harmonisatie. De samenwerking tussen carriers op dit vlak biedt ontzettend veel mogelijkheden voor de hele telecomsector.”
Uitgebreide trial Andrew Kwok, de CEO van HGC: “Deze uitgebreide trial onderschrijft de potentie van workflows op basis van blockchain-technologie en het transformeren van bedrijfsprocessen binnen onze branche. De positieve resultaten komen bovendien ten goede aan de samenwerking tussen de wereldwijd opererende carriers.” Juan Carlos Bernal, de CEO van de International Wholesale Business-divisie van Telefónica: “We zijn ervan overtuigd dat blockchain een relevante technologie is die niet alleen bijdraagt aan efficiëntere wholesale-processen, maar ook de introductie van nieuwe diensten veel efficiënter maakt.” INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 15
MARKT
Nieuwe aanpak verbetert security en gebruikservaring van patiënten en
Canon Medical optimaliseert
Systems
beveiliging
MobileIron helpt Canon Medical Systems Europe met de digitale transformatie van workflows. Canon Medical stelt ziekenhuizen en privéklinieken in staat om hoogwaardige patiëntenzorg te bieden door snellere diagnoses en vroegtijdige behandelingen in bijna 140 landen over de hele wereld. De Europese divisie beheert nu centraal 600 iPads en 900 iPhones, vanuit het hoofdkantoor in Zoetermeer. Het innovatietraject draagt bij aan de optimalisatie van informatiebeveiliging, efficiëntie, interne (internationale) samenwerking en verkoopondersteuning en service op locatie. 16 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
werknemers ‘De tijd die nodig is om nieuwe mobiele apparaten te registreren is gereduceerd tot dertig à zestig minuten voor een nieuwe laptop en tien minuten voor smartphones’
Reputatie en betrouwbaarheid Het bedrijf is actief in een sector waarin reputatie en betrouwbaarheid van cruciaal belang zijn. Zeker als het aankomt op veilige manieren van werken en het waarborgen van privacy. Met de hulp van partner Dahvo en een breed scala aan Enterprise Mobility Management (EMM)-oplossingen van MobileIron heeft de Europese divisie van Canon Medical Systems zijn workflows weten te verbeteren, waardoor het beheer en de beveiliging van mobiele devices, apps en data kon worden gerealiseerd. De leverancier van medische systemen heeft daarmee belangrijke stappen gemaakt om compliant te zijn aan toekomstige weten regelgeving, zoals de AVG.
Canon Medical, een onderdeel van het Japanse Canon-concern, verkoopt, distribueert en onderhoudt CT- en MR-systemen, ultrasound - en interventionele röntgenapparatuur en geavanceerde software om 2D-, 3D- en 4D-beelden van anatomische en fysiologische functies vast te leggen en te analyseren.
“Vereenvoudiging was voor ons een belangrijke prioriteit”, stelt Galton Wolff, IT-beheerder bij Canon Medical. “De meeste van onze medewerkers werken op afstand of op locatie bij klanten. Omdat onze IT-afdeling ‘lean and mean’ is, moet onze oplossing voor mobiele apparaten eenvoudig te implementeren en beheren zijn. Maar zelfs met onze ‘lean and mean’ IT operations was de implementatie en beheer van onze EMM-omgeving via MobileIron relatief eenvoudig. Daarbij moeten we ook rekening houden met landspecifieke richtlijnen, zoals apps waarmee werknemers zich kunnen aanmelden om hun veiligheid te bevestigen (Verenigd Koninkrijk), aanvullende privacyinstellingen (Duitsland) en (toekomstige) wetten die het gebruik van e-mail na officiële werktijden verbieden (Frankrijk). MobileIron biedt ons de perfecte oplossing”, aldus Wolff.
tot dertig à zestig minuten voor een nieuwe laptop en tien minuten voor smartphones. Onze IT-afdeling houdt daarmee meer tijd over voor andere verzoeken en nieuwe initiatieven en innovaties.” Canon Medical Systems is overgestapt van Blackberry’s naar IoS-devices die worden geconfigureerd via het Apple Device Enrollment Program (DEP) en beveiligd door MobileIron. Dit maakt eenvoudige configuratie van policies voor wachtwoorden mogelijk, veilig e-mailgebruik, het op afstand vergrendelen en wissen van devices en het beheren van VPN- en WiFi-toegang, zonder dat de IT-afdeling handmatige toegang nodig heeft tot de afzonderlijke apparaten. Mobiele gebruikers hebben toegang tot interactieve apps voor alle medische systemen van Canon Medical en up-to-date handleidingen voor ondersteuning op locatie via MobileIron Apps@Work. De content op mobiele apparaten kan met MobileIron Tunnel veilig worden bewerkt. MobileIron Web@Work biedt veilige toegang tot interne webservices en applicaties, terwijl gebruikers met MobileIron Docs@Work altijd en overal bestanden kunnen opvragen, bewerken en delen.
30-60 minuten
“Door onze samenwerking met multinationals zoals Canon Medical Systems begrijpen we als geen ander het bedrijfskritische belang van zakelijke beveiliging”, zegt Simon Biddiscombe, CEO van MobileIron. “Het doet ons een genoegen dat Canon Medical Systems Europe zijn medewerkers nu veilig, mobiel toegang kan bieden tot de gegevens die ze nodig hebben.”
“De tijd die nodig is om nieuwe mobiele apparaten te registreren is gereduceerd
Van de redactie
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 17
INTERVIEW
Verizon brengt meest voorkomende
security-uitdagingen in kaart Verizon heeft het Data Breach Investigation Report (DBIR) 2018 gepubliceerd. Dit is de inmiddels elfde editie van het rapport dat de meest voorkomende security-uitdagingen van het jaar in kaart brengt. Het DBIR heeft zich tot één van de belangrijkste rapporten op het gebied van cyberaanvallen en -bedreigingen ontwikkeld. Infosecurity Magazine pakte de kans om voorafgaande aan de officiële publicatie van het rapport met een van de onderzoekers te praten: Laurance Dine, manager van het Incident Response Team bij Verizon.
Welke soort malware zijn jullie het meeste tegengekomen? Uit ons onderzoek blijkt dat ransomware-aanvallen vandaag de dag overal ter wereld de grootste bedreiging voor organisaties vormen. Ransomware is de meest voorkomende soort kwaadaardige software. Wij zagen het terug in 39 procent van de onderzochte datalekken waarbij malware werd gebruikt. Dat is het dubbele aantal van het laatste rapport en was goed voor meer dan 700 incidenten.
Wat is de grootse verrassing die uit het onderzoek naar voren kwam? In elf jaar onderzoek komen elk jaar wel andere feiten naar boven die wij spannend vinden. Dit jaar
18 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
was dat vooral de verdere ontwikkeling van ransomware en de manier hoe dit soort software steeds verder de backend-systemen binnenkomt. Dit laat zien dat de tactiek achter de aanvallen aangepast werd en profiteert van de zwakke punten van bestaande beveiligingsstrategieën en fouten die worden gemaakt bij de opleiding van het personeel. Ook het veranderde gebruik van social engineering - vooral phishing en pretexting - is opvallend. Het wordt nu vaak gebruikt om specifiek de afdeling personeelszaken aan te vallen. Wij hebben vier keer zo veel gevallen van pretexting (identiteitsfraude om vertrouwelijke gegevens te verwerven) gevonden als een jaar geleden. En 88 van deze 170 gevallen mikten direct op de HR-afdeling. Om persoonlijke data buit te maken die kunnen worden gebruikt om frauduleuze belastingaangiften in te dienen.
Het DBIR bevat bedrijven uit alle branches. Zijn er branches die het beter of slechter doen dan de rest als het gaat om cyberbeveiliging? Er zit veel variatie tussen de data voor elke branche. Dat maakt een vergelijking enorm lastig. Om branche-specifieke aanbevelingen te kunnen doen, moet men heel diep in de verschillende branches duiken en precies begrijpen hoe zij in elkaar zitten.
Zijn werknemers in alle gevallen het grootste risico? De menselijke factor is inderdaad op alle onderzochte gebieden een belangrijk zwak punt. Werknemers trappen nog steeds in ‘sociale aanvallen’. Financiële pretexting en phishing maken 98 procent van sociale incidenten uit en 93 van alle datalekken in totaal. Hierbij blijft e-mail met 96 procent van de gevallen de belangrijkste ingang. De kans om slachtoffer te worden van een sociale aanval ligt voor bedrijven drie keer hoger dan bij een aanval die een technische kwetsbaarheid misbruikt. Dit benadrukt nog eens hoe belangrijk het is om het personeel goed op te leiden. Bedrijven moeten blijven investeren in de educatie van hun werknemers over cybercriminaliteit en de negatieve effecten die een datalek kan hebben op het merk, de reputatie en het bedrijfsresultaat. Het personeel zal de eerste verdedigingslinie moeten zijn in
‘Bedrijven moeten blijven investeren in de educatie van hun werknemers over cybercriminaliteit en de negatieve effecten die een datalek kan hebben op het merk, de reputatie en het bedrijfsresultaat’ plaats van de zwakste schakel in de keten. Uiteindelijk hoeft maar één medewerker op een phishing-e-mail te klikken om een hele organisatie bloot te leggen.
WatchGuard Technologies heeft in een recent rapport gewaarschuwd dat cybercriminelen steeds meer gebruik maken van Microsoft Office documenten om kwaadaardige software te verdelen. Kunt u dat bevestigen? Deze trend komt niet terug in de analyse van het DBIR.
Sommige trends en bevindingen komen geregeld terug in het DBIR. Heeft u het idee dat organisaties er überhaupt iets van leren? Wij zijn het DBIR met maar een bijdrage begonnen - die van onszelf. Ons doel is de branches bij elkaar te brengen om samen direct cybercriminelen tegen te werken - en dat lukt ons aardig. Het succes van de DBIR-reeks is uiteindelijk te danken aan de partners die ons elk jaar ondersteunen. Samen hebben wij de muur afgebroken die lange tijd rondom cybercrime stond. Geen enkele organisatie hoeft het nog in zijn eentje op te nemen tegen cybercrime: de informatie is voor iedereen beschikbaar en kan gedeeld worden. Het klopt echter dat nog steeds dezelfde basisaanbevelingen van toepassing zijn als jaren geleden. Wij zien nog steeds dat beveiligingsstrategieën niet geactualiseerd worden en niet in dezelfde mate doorontwikkelen als de bedreigingen die zij moeten bestrijden. Wij denken dat organisaties een proactieve aanpak van beveiliging moeten hanteren. Wij hebben daarom een aantal weken geleden ook een nieuwe dienst gelanceerd, het Verizon Risk Report. Dit is een uitgebreid kader voor het beoordelen van
beveiligingsrisico’s dat bedrijven en overheidsinstanties helpt beveiligingslekken, kwetsbaarheden en gerelateerde risico’s te identificeren. Het Verizon Risk Report combineert de uitgebreide database van het DBIR met de expertise van de Professional Service-consultants van Verizon en speciale informatiebronnen van technologiebedrijven zoals BitSight, Cylance, Recorded Future en Tanium. Organisaties kunnen hun beslissingen over cybersecurity dus op data baseren over de bedreigingen van vandaag de dag en deze flexibel en efficiënt tegenwerken.
In een ideale wereld zou cybercrime niet eens bestaan. Ziet u dit ooit gebeuren? Realistisch gezien zullen cybercriminelen dezelfde tactieken blijven gebruiken zolang zij succesvol zijn en er data zijn waar geld mee te verdienen valt. De volgende grote stap voor organisaties moet het zijn om over te stappen naar een dynamische, proactieve aanpak van cyberbeveiliging, in tegenstelling tot de statische aanpak die tot nu toe meestal werd toegepast. Organisaties moeten de kans dat een cyberaanval succesvol is verkleinen door zich meer bewust te worden van de aanvallen die op dit moment plaatsvinden en de meest intelligente beveiligingsoplossingen te gebruiken.
Om positief te eindigen: staat er iets in het rapport dat je aan het lachen maakt? Of tenminste glimlachen? Veiligheid is een serieuze zaak! Maar toch: 78% van de mensen die in opdracht van hun werkgever blootgesteld zijn aan test-phishingmails is het afgelopen jaar in geen enkele phihing-aanval getrapt. Dat is een mooi percentage! Van de redactie
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 19
ONDERZOEK
Onderzoek Telefoonboek.nl toont aan:
Beveiligingsbedrijven krijgen meer positieve dan negatieve
Als het om beveiligingsbedrijven gaat, is het van groot belang dat zij goed werk afleveren. Ondernemers of particulieren huren namelijk niet voor niets bedrijven in om de veiligheid te waarborgen of panden te beveiligen. Wat de ervaringen van klanten van beveiligingsbedrijven zijn, is dan ook een belangrijke graadmeter voor hoe een bedrijf presteert. Telefoonboek.nl zocht uit welke beveiligingsbedrijven het best en slechtst beoordeeld werden. ‘Beveiligingsbedrijven krijgen meer positieve dan negatieve beoordelingen’, luidt de conclusie. Bij Telefoonboek.nl zijn 7.344 beveiligingsbedrijven geregistreerd. In totaal zijn deze bedrijven 696 keer beoordeeld door bezoekers van de website. Zij beoordeelden de bedrijven op basis van hun algemene indruk, de service en de prijskwaliteitverhouding. Dit levert de bedrijven een gemiddeld cijfer op. Op basis hiervan kan een lijst met de vijf best beoordeelde en de vijf slechtst beoordeelde beveiligingsbedrijven gemaakt worden. Deze lijst bevat de organisaties met de hoogste en laagste cijfers op basis van de grootste aantallen beoordelingen.
Top vijf 1. View Watch Security – Gemiddelde beoordeling: 9,9 2. M&F Security – Gemiddelde beoordeling: 9,8 3. SAFENED Group – Gemiddelde beoordeling: 9,5 4. Secura Security – Gemiddelde beoordeling: 9,3 5. Blocker Security – Gemiddelde beoordeling: 9,2 Het best beoordeelde beveiligingsbedrijf is View Watch Security uit Valkenswaard. Het bedrijf scoort een 9,9 op basis van maar liefst 185 beoordelingen. Er zijn ook beveiligingsbedrijven die beoordeeld zijn met een 10, maar deze werden aanzienlijk minder vaak beoordeeld.
Representatiever De nummer twee is M&F Security uit Groningen, die op basis van 136 beoordelingen een 9,8 kreeg. Het Helmondse SAFENED Group werd beoordeeld met een 9,5 op basis van 80 beoordelingen. Secura Security uit Kerkrade kreeg een 9,3 op basis van 49 beoordelingen. Blocker Security uit Rilland (Zeeland) kreeg een 9,2 op basis van 149 20 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
beoordelingen’
beoordelingen. Hoewel de nummer vijf een lager cijfer heeft dan zijn voorgangers, is dit cijfer wel representatiever doordat dit gebaseerd is op meer beoordelingen.
Minst beoordeeld Het slechtst beoordeelde beveiligingsbedrijf is A. Andeae Security Services uit Bosschenhoofd (Noord-Brabant), zegt Telefoonboek.nl. Het bedrijf kreeg op basis van 22 beoordelingen een 2,0. Hoewel dit bedrijf het laagste cijfer kreeg, zijn er andere bedrijven in de top vijf die ook een diepe onvoldoende kregen, op basis van meer beoordelingen. Goossens Safety Solutions uit Barendrecht (Zuid-Holland) heeft van klanten een 2,2 gekregen op basis van 34 beoordelingen. Het Moerdijkse (Noord-Brabant) RCM Security werd beoordeeld met een 2,7 op basis van 24 beoordelingen. Custodie uit Venlo (Limburg) kreeg de meeste negatieve beoordelingen (72) en ontving op basis daarvan een 3,2. Securitas Direct uit Duivendrecht (Noord-Holland) kreeg op basis van de op één na meeste beoordelingen (44) een 3,2.
Opvallend Wat opvalt aan de lijsten met beste en slechtste beveiligingsbedrijven is, dat de best beoordeelde bedrijven veel vaker beoordeeld zijn en deze cijfers dus representatiever zijn. Dit is een verrassende uitkomst, aangezien in de meeste categorieën geldt dat bedrijven die negatief beoordeeld worden de meeste beoordelingen hebben. Voor beveiligingsbedrijven is dit dus precies andersom. Van de redactie
Bereid je voor op de AVG CreĂŤer nu privacybewustzijn bij al je medewerkers en bereid je hele organisatie voor op de AVG. In de Privacy E-learning Suite zit voor iedere medewerker een passend programma. suite.weetwatjezegt.nl Weetwatjezegt.nl is onderdeel van
INTERVIEW
Proofpoint neemt Wombat Security Technologies over
‘Bedrijven
en andere organisaties moeten hun verdedigingstactiek aanpassen’ Cybersecurity-specialist Proofpoint heeft kortgeleden aangekondigd Wombat Security Technologies over te nemen. Het bedrijf biedt phishing-simulaties aan en computergebaseerde trainingen die helpen mensen bewust te maken van de gevaren van cybercriminaliteit. Wij spraken met Ryan Kalember, de Senior Vice President Cybersecurity Strategy van Proofpoint, over de redenen voor de overname, de situatie in Nederland en verdere plannen van het bedrijf. Waarom deze overname? Hoe past deze in de strategie van Proofpoint? Cybercriminelen mikken steeds meer op de werknemers, steeds minder op technische kwetsbaarheden. Bedrijven en andere organisaties moeten daarom hun verdedigingstactiek aanpassen. 22 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Het is belangrijk dat ze zich ervan verzekeren dat hun medewerkers in staat zijn aanvallen waarmee op dit moment wordt gewerkt te herkennen en tegen te houden. De overname van Wombat geeft ons meer mogelijkheden om onze klanten te beschermen tegen deze aanvallen die zich op personen richten en slim misbruik maken van de menselijke natuur. Wij gaan de technologie van Wombat combineren met onze technieken om aanvallen te herkennen en onze kennis van de meeste recente aanvalspatronen. Zo kunnen we bedrijven voorzien van de meest accurate inzichten in de kwetsbaarheden van hun werknemers voor de phishing-aanvallen die hen momenteel dagelijks bestormen. Bovendien gaan we de phishing-berichten verwerken die gebruikers via Wombats PhishAlarm-oplossing aanleveren. Hierdoor kunnen wij onze inzichten over de meest recente aanvalsscenario’s verrijken met
‘Cybercriminelen mikken steeds meer op de werknemers, steeds minder op technische kwetsbaarheden’
reageren. We verzamelen en analyseren meer dan honderd miljard ‘data points’ per dag uit meer dan honderd miljoen e-mail postvakken, tweehonderd miljoen social media accounts en zeven miljoen installaties van mobiele apps. Deze informatie voorziet onze klanten van de inzichten die zij nodig hebben om de context en schaal van een aanval te begrijpen en stelt hen in staat een kritische situatie snel en effectief op te lossen.
Wat zijn de doelen voor de toekomst?
data over phishing-aanvallen die bedrijven raken die geen klant zijn van Proofpoint. Dit zal het Proofpoint Nexus-platform verder verbeteren. Organisaties kunnen zo profiteren van de eerste oplossing die technologie ter herkenning van phishing combineert met tools die bewustwording voor de meest recente bedreigingen ondersteunt. Onze klanten kunnen daarom: • reële phishing-aanvallen voor simulaties gebruiken en elke werknemer confronteren met exact dat soort aanvallen dat daadwerkelijk op hem is gericht; • berichten van gebruikers over phishingaanvallen onderzoeken en tegengaan en automatisch echte aanvallen detecteren, e-mails in de ontvangen mail van gebruikers in quarantaine plaatsen en gebruikers-accounts afsluiten om risico’s te minimaliseren; • gebruikers op precies dat moment trainen dat zij op een gesimuleerde of echte phishing-mail klikken.
Wat doet Proofpoint precies? Proofpoint is een security- en compliancebedrijf van de nieuwste generatie dat zijn klanten van cloud-gebaseerde oplossingen voorziet om de hedendaagse werkwijze van hun medewerkers te beschermen. Met onze oplossingen kunnen organisaties hun werknemers beschermen tegen de meest geavanceerde aanvallen die zij via e-mail, sociale media, de cloud of mobiele apps tegenkomen. We helpen hen om de informatie die hun werknemers creëren te beschermen tegen aanvallen. Ook helpen onze oplossingen organisaties om snel te reageren in het geval van een incident. Onze oplossingen zijn volledig voor de cloud gebouwd en maken gebruik van ‘s wereldst meest vooruitstrevende ‘intelligence platform’. Hiermee kunnen onze klanten gerichte aanvallen effectief detecteren en tegenhouden. Bovendien helpen wij hen bij vermoeden van een inbreuk of datadiefstal heel snel te
Cybercriminelen vallen bedrijven steeds meer via hun werknemers aan. Deze ontwikkeling zal voor de voorzienbare toekomst doorzetten. Het is ons doel om onze klanten tegen deze steeds maar groeiende berg van phishing-aanvallen te beschermen met het meest uitgebreide portfolio voor zakelijke e-mail, persoonlijke e-mail, SaaS applicaties en andere vormen van communicatie. Aanvallers hebben altijd al op mensen gemikt omdat zij toegang hebben tot bepaalde dingen. In het verleden waren dit vooral gegevens en hun bevoegdheid geld over te maken. Nu zitten zij steeds meer achter toegangsgegevens voor de cloud aan of zelfs cryptovaluta wallets.
Hoe zit het met Proofpoints positie op de Nederlandse markt? In Nederland is een groot aantal multinationals gevestigd en een aantal belangrijke lokale bedrijven. Zij moeten zich allemaal beschermen tegen de cyberbedreigingen van vandaag de dag. Wij zijn hier daarom heel sterk vertegenwoordigd, zowel door onze eigen organisatie als via channel-partners. Wij werken al met een aantal grote bedrijven en overheidsinstellingen in Nederland.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 23
INTERVIEW
‘Hoe groter de organisaties, des te serieuzer ze e-mailfraudebescherming lijken te nemen’ • Voor de top 20 uit de Elsevier 500 geldt een soortgelijke bevinding. Bij deze bedrijven is de DMARC adoptiegraad 50%.
Proofpoint heeft de e-mailbeveiliging van Nederlandse bedrijven onderzocht. Wat zijn jullie meest belangrijke bevindingen? Wij analyseerden inderdaad 168 onlinedomeinen van enkele van de grootste Nederlandse bedrijven om te controleren in hoeverre zij DMARC (Domain-based Message Authentication, Reporting & Conformance) geïmplementeerd hebben. DMARC is een erkend e-mailauthenticatieprotocol dat al in een vroeg stadium door de Nederlandse overheid werd aanbevolen. Het is de enige manier om ‘spoofing’ van het domein te blokkeren voordat frauduleuze e-mails de inbox van de geadresseerden bereiken. Het goede nieuws is dat Nederland vooroploopt als het gaat om de adoptie
van DMARC. Toch is er nog steeds een aanzienlijk aantal grote bedrijven en bekende Nederlandse merken blootgesteld aan e-mailfraude: • 75% van de Nederlandse topbedrijven had geen DMARC record gepubliceerd. • Van de 25% die wel de eerste stap richting DMARC gezet heeft, had slechts 6% het project al volledig gerealiseerd. • Van de 21 Nederlandse bedrijven in de Forbes 2000 hebben 13 een DMARC record gepubliceerd (60%). Dit is logisch omdat grote bedrijven over het algemeen koploper zijn op het gebied van technologie-adoptie. Dit betekent echter nog steeds dat 40% (twee op de vijf bedrijven) geen zicht heeft op e-mailbedreigingen die gericht zijn op hun onderneming.
24 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Hoe groter de organisaties, des te serieuzer ze e-mailfraudebescherming lijken te nemen. Begrijpelijk, maar uit alle onderzoeken blijkt dat cybercriminelen zich richten op bedrijven van elke omvang. De implementatie van DMARC is een belangrijke eerste stap om e-mailfraude te voorkomen. Maar e-mailfraudeaanvallen zijn voortdurend in ontwikkeling. Cybercriminelen maken gebruik van verschillende spoofingtechnieken om hun slachtoffers te verleiden namens hen te handelen. Deze omvatten ‘domain spoofing’, maar ook ‘display name spoofing’ en ‘lookalike domain spoofing’. Organisaties hebben meerdere verdedigingslinies nodig om alle vormen van e-mailfraude tegen te gaan. Denk bijvoorbeeld aan dynamische classificatie, e-mailauthenticatie, detectie van lookalike-domeinnamen en het voorkomen van gegevensverlies. Van de redactie
Ryan Kalember
BLOG
Hoe gamificatie
security kan ondersteunen Ondanks de grote hoeveelheid securitytraining die ze tegenwoordig krijgen, vormen medewerkers nog te vaak de zwakste schakel in de securityketen. Gebruikersgedrag is nu eenmaal moeilijk te veranderen. En nu steeds meer criminelen overstappen op social engineering in plaats van - bijvoorbeeld - ransomware te verspreiden, wordt dat nóg lastiger. Met social engineering, zoals CEO-fraude, wordt het doelwit overgehaald geld af te staan op basis van de inhoud van een e-mail, in plaats van ze een bijlage met kwaadaardige code toe te sturen. Cybercriminelen winnen zo het vertrouwen van het slachtoffer - iets wat zelfs met een uitgebreide securitytraining moeilijk is om volledig te voorkomen. En hoe goed de training ook bedoeld is, vaak komt deze toch een beetje over als een weinig motiverende, ongeïnspireerde oefening. Beter is het te kiezen voor een aanpak die niet draait om een online tutorial en een meerkeuzetest, maar die erop gericht is om het personeel te motiveren en meer aandacht te creëren voor security.
Uitbreiden van vaardigheden Maar gamificatie draagt niet alleen bij aan security-awareness. Het kan ook een rol spelen in het uitbreiden van de vaardigheden binnen securityteams. Zoals bij Marks & Spencer, dat gamificatie in zijn werkzaamheden opnam. Het Marks & Spencer-systeem bestaat uit een blauw team, dat het netwerk moet verdedigen, en een rood team, dat de verdediging probeert te doorbreken en op zoek gaat naar kwetsbaarheden. Teams en individuen ontvangen punten en naarmate ze meer doelen behalen een steeds hogere status. Bij navraag blijkt het personeel erg enthousiast te zijn over de progressie- en concurrentie-elementen van het systeem. Het lijkt er dus op dat gamificatie kan helpen oplossingen te vinden voor bekende problemen, zoals slechte securityawarenesstraining en de zogenaamde zwakke menselijke schakels in de securityketen. Het succes van gamificatie is gebaseerd op een compleet andere benadering van het probleem. Daarnaast zorgt deze aanpak ervoor dat het werk leuker wordt, en misschien zelfs niet eens meer op werken lijkt. Door mensen te vragen om het issue in een nieuw en ander licht te zien, kunnen we hen interesseren en zo de cybersecurity verbeteren. ROB PRONK, Regional Director Central, Northern & Eastern Europe bij LogRhythm
Gamificatie als bedrijfsbreed motivatiemiddel Verschillende organisaties zien gamificatie als mogelijke oplossing. Volgens Gartner wordt gamificatie gezien als ‘het toepassen van spelmechanismen buiten spelwerelden om mensen digitaal te motiveren en hun gedrag te veranderen’. Onder meer op HR-afdelingen wordt deze aanpak al langere tijd succesvol ingezet op het gebied van training, on-boarding en leiderschapsontwikkeling. En dat kan bedrijfsbreed. Zo zijn er organisaties die gamificatietechnieken specifiek inzetten voor hun securityteams en bestaan er initiatieven die zich specifiek richten op het seniormanagement. PriceWaterhouseCoopers ontwikkelde op managementniveau bijvoorbeeld een gamificatiesysteem genaamd ‘Game of Threats’, bedoeld om bedrijfsmanagers meer bij te brengen over cybersecurity en hoe ze op cyberaanvallen moeten reageren. De online game simuleert een realistische cyberaanval en creëert een omgeving waarin executives leren omgaan met een dergelijke crisis. Tijdens de simulatie worden ze aangemoedigd om snel belangrijke beslissingen te nemen en zo de schade te beperken die door de fictionele criminelen wordt veroorzaakt. Het spel helpt de spelers om incidenten te begrijpen, erop te reageren en ze op te lossen. Tijdens het spel kunnen ze kiezen voor de rol van bedrijf of cybercrimineel, om vanuit beide perspectieven te zien wat er gebeurt. Een van de doelen hiervan is om senior managers meer inzicht te bieden in cybersecuritytechnologie en -terminologie.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 25
DIGITALE TRANSFORMATIE
Securityprofessional ben jij klaar voor de digitale transformatie?
De IT-branche heeft al meerdere revoluties gezien: client-server computing, de opkomst van het internet, virtualisatie, mobiliteit‌ Maar er is geen ontwikkeling met zoveel impact als de huidige digitale transformatie. Oftewel het innovatieve gebruik van IT om klanten, partners en werknemers beter van dienst te kunnen zijn om de bedrijfsvoering te verbeteren, markten open te breken en businessmodellen te ontwikkelen. Dat heeft gevolgen voor securityprofessionals: zij moeten zich snel kunnen aanpassen aan de ingrijpende veranderingen die de digitale transformatietrends teweegbrengen.
26 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Zo steekt digitale transformatie in elkaar Cloud computing is een voorwaarde voor digitale transformatie, maar niet de enige: ook technologieën als softwareautomatisering en processen als DevOps maken deze veranderingen mogelijk. Hoewel deze opties vaak tegelijkertijd met de cloud zijn opgekomen, ligt de echte focus hiervan op het versnellen van het leveren van technologie in het steeds hogere tempo van de business. Er ontstaan ‘nieuwe IT’-omgevingen die worden gekenmerkt door betere prestaties, meer flexibiliteit, veerkracht en gemak.
‘Nieuwe IT’: automatisering, API’s en assets De invloed van automatisering is vooral merkbaar in DevOps-omgevingen. Ontwikkelaars en IT-operationsmedewerkers werken hier samen om code continu en snel te leveren: van agile concept tot aan operations. Tussen het creëren van applicaties en het implementeren ervan vinden een hoop stappen plaats - waaronder coderen, testen, implementeren en monitoring. Deze stappen zijn steeds vaker geautomatiseerd. Application Programming Interfaces (API’s) hangen nauw samen met automatisering. Ze zijn de stuwende kracht achter veel voordelen van automatisering doordat ze integratie met onderlinge samenwerking voor, en het delen van data tussen heterogene tools mogelijk maken. De traditionele IT-omgeving, waarin infrastructuur fysiek geïmplementeerd werd en tools speciaal gebouwd werden in silo’s, maakt dankzij API’s plaats voor programmeerbare infrastructuren met componenten die onderling samenwerken. Ondertussen worden self-contained legacy-assets - zoals endpoints, servers, netwerk-devices en mobiele apparaten vervangen door gevirtualiseerde servers, containers, microservices, infrastructuur als code en cloudserviceproviderplatforms.
Hoe security hiervan profiteert? Hoewel de securitybranche niet een directe stimulans was voor het efficiënter, betaalbaarder en responsive maken van IT, maakten deze ontwikkelingen het wel een stuk eenvoudiger om een aantal lastige securityproblemen op te lossen. Waar het voorheen bijvoorbeeld uren duurde voordat een netwerkscan van een
‘Securityprofessionals moeten betrokken en geïnformeerd blijven over alle veranderingen in IT, proactief vragen blijven stellen en ontdekken wat de verandering betekent voor security en compliance’ organisatie was afgerond, kost dit proces dankzij API-calls nu nog maar enkele seconden. Ook reageren op, en onderzoeken van incidenten - voorheen een traag, handmatig proces - is tegenwoordig grotendeels geautomatiseerd. Net als het verzamelen van bewijs voor IT-complianceaudits en serveronderhoud. Ook komen er nieuwe mogelijkheden naar boven voor het verbeteren van securityprocessen. Securityprofessionals onderdeel maken van DevOps-teams bijvoorbeeld, en het integreren van geautomatiseerde securityproducten met tools voor development en IT-operations. Hierdoor zijn security- en complianceissues eerder te ontdekken en aan te pakken. Op deze manier komt het tempo van security meer in de buurt van dat van moderne IT-softwareontwikkeling en -implementatie.
De uitdagingen van ‘nieuwe IT’ De voordelen van deze ‘nieuwe IT’ brengen ook uitdagingen met zich mee. Zo ligt om te beginnen het tempo van technologische ontwikkelingen en implementaties tegenwoordig veel hoger. Ook zijn deze IT-omgevingen continu aan verandering onderhevig - en dan hebben we het nog niet eens over het groeiende universum van nieuwe tools die om de haverklap uitgebracht worden. IT- en securityprofessionals moeten dus altijd beschikken over nieuwe vaardigheden en kennis.
provider, en worden geabstraheerd van de gebruiker. Dat maakt het delivery-platform nog efficiënter. Om zich aan deze veranderingen aan te passen, moeten securityprofessionals nieuwe tools in gebruik nemen, die API-based zijn, speciaal ontwikkeld zijn om te gebruiken in deze nieuwe IT-omgevingen, en die bovendien flexibel en schaalbaar zijn. Daarnaast moeten securityprofessionals automatiseringstools nog meer omarmen. Voor DevOps, maar ook voor andere taken, zoals securityorkestratie, procesautomatisering en incidentrespons. Securityteams moeten vendoren selecteren, die securityproducten bieden met sterke, bruikbare mogelijkheden voor data-analytics. Dit vermogen om grote hoeveelheden securityinformatie te analyseren, is namelijk essentieel voor zowel beveiliging van ‘nieuwe IT’infrastructuren en -processen, als beveiliging van traditionele on-premisesystemen die voorlopig ook nog zullen blijven bestaan. Welke ontwikkelingen er zich ook (nog) voordoen, securityprofessionals moeten betrokken en geïnformeerd blijven over alle veranderingen in IT, proactief vragen blijven stellen en ontdekken wat de verandering betekent voor security en compliance. CHANTAL ’T GILDE, Managing Director Qualys Netherlands & Nordics
De verdwijnende infrastructuur In het begin van de 21e eeuw kwam on-premises virtualisering op en, daarop voortbordurend, een algemene omarming van public cloud IaaS-, PaaS- en SaaSservices. Ondertussen zijn er containers en microservers die zogenaamde ‘serverless computing’ beloven - ook bekend als ‘Functions as a Service’. Hierbij wordt de serviceprovider uitgerust met applicaties die nodig zijn om bepaalde taken uit te voeren. De onderliggende infrastructuur, beschikbaarheid en prestaties worden allemaal verwerkt en verzekerd door de INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 27
CYBERCRIMINALITEIT
Zo creëert u een effectieve
beveiligingscultuur
Cybercriminaliteit is sterk in opkomst. Dit is uitgegroeid tot een van de grootste bedrijfsrisico’s. Organisaties kunnen allerhande voorzorgsmaatregelen treffen om hun netwerk en data te beschermen, maar moeten ook rekening houden met een even risicovol als onvoorspelbaar aspect: de menselijke factor. Vaak is het personeel, en niet de IT-infrastructuur, de zwakste schakel van organisaties. De vraag is hoe we dit risico kunnen terugdringen.
28 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Het antwoord: creëer een cultuur van beveiliging. Dat is natuurlijk makkelijker gezegd dan gedaan. Dit is alleen maar mogelijk als iedereen binnen de organisatie - van werknemers tot managers, onderaannemers en zelfs het schoonmaakpersoneel - zich persoonlijk verantwoordelijk voelt voor de beveiliging. Hier volgen vier tips voor het creëren van een beveiligingscultuur binnen uw organisatie:
Tip 1. Begin bij het management Verandering vereist draagvlak in de directiekamer. Het management moet zijn steun verlenen aan uw programma voor het stimuleren van een beveiligingscultuur en hameren op naleving van de beveiligingsrichtlijnen. En belangrijker nog: managers moeten zelf het goede voorbeeld geven om te waarborgen dat het initiatief vruchtbare bodem vindt binnen de organisatie.
Tip 2. Definieer, documenteer en communiceer beveiligingsrichtlijnen Mensen zijn zich vaak niet bewust van de gevolgen van hun gedrag voor de beveiliging. Daarom is het van cruciaal belang om beveiligingsrichtlijnen op heldere wijze te definiëren en documenteren, zodat werknemers precies weten wat ze wel en niet moeten doen. Deze richtlijnen moeten alles omspannen, van de omgang met gevoelige data tot de gevaren van het aansluiten van onbekende USB-sticks op workstations.
• Publiceer de richtlijnen via een centrale locatie die voor iedereen toegankelijk is, zoals het intranet of een Wiki. • Bied bedrijfsbrede beveiligingstraining aan om de richtlijnen uit te leggen aan alle werknemers, en controleer of ze zich een goed begrip hebben gevormd van alle beveiligingsconcepten. Houd er rekening mee dat mensen uiteenlopende rollen hebben binnen de organisatie en dientengevolge met verschillende beveiligingsrisico’s te maken hebben. Pas trainingen dus aan de verschillende functies en afdelingen aan.
Zodra de beveiligingsprocedures zijn gedefinieerd en gedocumenteerd, moet ervoor gezorgd worden dat die op effectieve wijze binnen de organisatie worden gecommuniceerd:
Op het gebied van technologie is verandering de enige constante. En dat geldt ook voor de cyberbedreigingen waarmee organisaties worden geconfronteerd. Houd beveiligings-
richtlijnen up-to-date en stel werknemers op de hoogte van eventuele wijzigingen.
Tip 3. Richt communicatiekanalen in Zorg ervoor dat werknemers ergens terecht kunnen met hun vragen over de beveiliging. En belangrijker nog: biedt hen een kanaal aan voor het melden van eventuele datalekken of andere beveiligingsrisico’s.
Tip 4. Beloon werknemers die blijk geven van wenselijk gedrag Wanneer medewerkers blijk geven van lovenswaardig gedrag ten aanzien van de beveiliging, moet u hen daar zonder uitzondering voor prijzen en belonen. Dit versterkt het gedrag en zal andere medewerkers inspireren om zichzelf op vergelijkbare wijze te gedragen.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 29
ONDERZOEK
Akamai in State of the Internet-onderzoek:
informatie cruciaal in strijd tegen cyberdreigingen’ ’Delen van
30 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Het delen van informatie is een belangrijke factor in de verdediging tegen cyberdreigingen. Dit is de voornaamste conclusie uit het ‘State of the Internet / Security: Carrier Insights Report for Spring 2018’ van Akamai Technologies. In het rapport is data geanalyseerd van meer dan 14 biljoen DNS-verzoeken die Akamai tussen september 2017 en februari 2018 heeft verzameld via netwerken van communicatie service providers (CSP) over de hele wereld. Nominum gebruikt al meer dan 19 jaar DNS-data om zijn bescherming tegen cyberaanvallen zoals DDoS, ransomware, trojans en botnets te verbeteren. Deze provider van DNS-based cloud solutions werd in 2017 overgenomen door Akamai. Het ‘Carrier Insight Report’ van Akamai bouwt voort op de expertise van Nominum en toont aan hoe effectief op DNS gebaseerde beveiliging is - zeker als deze is verrijkt met data van andere beveiligingslagen. Bij een gelaagde beveiligingsaanpak worden verschillende beveiligingsoplossingen gebruikt om gezamenlijk de data van een organisatie te beschermen. “Het ontbreken van een totaaloverzicht van aanvallen op individuele systemen maakt het lastig om voorbereid te zijn op dreigingen”, zegt Yuriy Yuzifovich, Director of Data Science, Threat Intelligence van Akamai. “Het is van cruciaal belang om te communiceren met verschillende platformen bij het vergaren van kennis via meerdere teams, systemen en datasets. Wij geloven dat de DNS-verzoeken die onze dienst biedt een strategische component voor beveiligingsteams zijn. Hiermee krijgen ze de juiste data voor een goed inzicht in dreigingen.”
Bestrijding Mirai-botnet De samenwerking tussen de verschillende teams van Akamai speelde een belangrijke rol bij de ontdekking van Mirai command & control (C&C) domeinen om toekomstige Mirai-detectie te verbeteren. Het Security Intelligence and Response Team (SIRT) van het bedrijf volgt Mirai sinds het ontstaan en gebruikt honeypots om Miraicommunicatie te detecteren en C&Cservers te identificeren. Eind januari 2018 deelden SIRT en teams van Nominum een lijst van meer dan 500 verdachte Mirai C&C-domeinen. Het doel hiervan was om te achterhalen of deze lijst door middel van DNS-data en kunstmatige intelligentie kon worden aangepast en of toekomstige Mirai-
detectie hiermee kon worden verbeterd. Door middel van een gelaagde analyse konden Akamai-teams de Mirai C&Cdataset veranderen om zo een connectie te ontdekken tussen Mirai-botnets en verspreiders van de Petya-ransomware. Uit deze analyse kwam naar voren dat IoT-botnets een evolutie hebben doorgemaakt: van enkel het lanceren van DDoS-aanvallen naar meer geavanceerde
Akamai heeft dit tweede bedrijfsmodel uitvoerig geanalyseerd, omdat het een nieuwe beveiligingsuitdaging vormt voor gebruikers en eigenaren van websites. Na het analyseren van de domeinen van cryptominers was Akamai in staat om de kosten van deze activiteit te bepalen, zowel voor rekenkracht als voor financieel gewin. Een interessante bevinding is dat cryptomining een haalbaar alternatief is voor advertentieopbrengsten om websites te bekostigen.
Veranderende dreigingen Cyberbeveiliging is constant in beweging. Onderzoekers hebben hierbij gezien dat hackers oude technieken hergebruiken. In de zes maanden dat Akamai haar data verzamelde, liet een aantal prominente malware-campagnes en exploits
‘De groei van de publieke adoptie van cryptovaluta komt tot uitdrukking in een flinke groei van de hoeveelheid cryptominingmalware en van het aantal apparaten dat hiermee is geïnfecteerd’ activiteiten zoals de verspreiding van ransomware en cryptomining. Het is moeilijk om IoT-botnets te detecteren, omdat er voor de meeste gebruikers maar weinig signalen zijn waaruit ze kunnen opmaken dat ze aangevallen worden. Toch werd het dankzij deze analyse mogelijk tientallen nieuwe C&C-domeinen te vinden en te blokkeren en zo de activiteiten van het botnet te controleren.
Javascript Cryptominers De groei van de publieke adoptie van cryptovaluta komt tot uitdrukking in een flinke groei van de hoeveelheid cryptomining-malware en van het aantal apparaten dat hiermee is geïnfecteerd. Akamai vond twee verschillende bedrijfsmodellen voor cryptomining-opgrote-schaal. Het eerste model gebruikt de rekenkracht van geïnfecteerde apparaten om cryptovalutatokens te delven. Het tweede model gebruikt embedded code van een content website om apparaten die de website bezoeken aan het werk te zetten voor de cryptominer.
opvallende veranderingen zien in de manier waarop ze werkten. Zo werd het Web Proxy Auto-Discovery (WPAD) protocol tussen 24 november en 14 december 2017 gebruikt om Windows-systemen bloot te stellen aan man-in-the-middle-aanvallen. WPAD wordt gebruikt binnen beschermde LAN-netwerken en maakt computers kwetsbaar voor aanvallen wanneer ze op het internet zijn aangesloten. Malwareontwikkelaars verplaatsen hun aandacht naar het verzamelen van social medialogins en financiële informatie. Terdot, onderdeel van het Zeus-botnet, creëert een lokale proxy en stelt hackers in staat om cyberspionage in te zetten en fake news te promoten in de browser van het slachtoffer. Het Lopai-botnet is een voorbeeld van de ontwikkeling van flexibelere tools door botnet-auteurs. Deze mobiele malware richt zich voornamelijk op Androidapparaten en gebruikt een modulaire aanpak waardoor auteurs updates met nieuwe functionaliteiten kunnen ontwikkelen.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 31
MARKT
CyberArk en Red Hat willen beter beheer
DevOps-secrets
CyberArk’s beheeroplossing voor DevOps secrets (bijvoorbeeld SSH/API sleutels, wachtwoorden en certificaten), is vanaf nu beschikbaar via Red Hat OpenShift Container Platform. De samenwerking maakt het voor gebruikers makkelijker om secrets en andere accountgegevens te beheren en te roteren binnen de organisatie. De combinatie van CyberArk Conjur Enterprise en Red Hat OpenShift Container Platform elimineert secrets die vastzitten in silo’s, waardoor ontwikkelaars en operation-teams makkelijker en veiliger applicaties op maat kunnen maken. De ‘security-first’ aanpak levert geautomatiseerd, centraal beheer van secrets en credentials on-premise en in cloud-omgevingen. Door consistent beleid rond secrets-beheer en privileged account security over OpenShift containers heen maken CyberArk en Red Hat het makkelijker om gegevens als SSH/API sleutels, wachtwoorden en certificaten te beschermen. Dit is zeker ook in dynamische omgevingen als DevOps pipelines interessant waarin dit beleid vaak niet goed is ingebed.
Containers “Container-platformen bieden veel bedrijfsvoordelen, waarbij het van belang is dat security in lijn ligt met de agility en snelheid van ontwikkelaars”, aldus Chris 32 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Morgan, global technology director, OpenShift Partner Ecosystem bij Red Hat. “Met CyberArk Conjur Enterprise op het Red Hat OpenShift Container Platform hebben gebruikers toegang tot een hoogwaardige, schaalbare secretsmanagementoplossing die tegemoet komt aan deze eisen.”
CI/CD beveiligen “Het beveiligen van CI/CD-omgevingen en container applicatie-platformen zorgt vaak voor extra werkzaamheden en maakt het beleidsmanagement complexer”, aldus Adam Bosnian, executive vice president, global business development van CyberArk. “CyberArk Conjur Enterprise op het Red Hat OpenShift Container Platform zorgt juist voor een vereenvoudiging hiervan, zodat het DevOps proces wordt versneld en aangevuld met de flexibiliteit om te werken in een omgeving naar voorkeur zonder extra beveiligingsrisico’s te lopen.”
Connecting Global Competence
The Leading Summit for Cyber Security Discover how cybersecurity can be a growth lever for your company, and how you can exploit the opportunities offered by digitization to the full!
September 20 – 22, 2018 ICM – Internationales Congress Center München
cmdctrl.com
ONDERZOEK
ServiceNow en Ponemon Institute:
’Extra personeel
geen garantie voor betere security’
Bijna de helft van de Nederlandse securityprofessionals is van plan om het komende jaar personeel aan te nemen voor een snellere en effectievere vulnerability response het reageren op vulnerabilities. Maar uit onderzoek door het Ponemon Institute in opdracht van ServiceNow blijkt dat meer mensen aannemen niet per definitie zorgt voor betere security. Wanneer de achterliggende patching-processen niet worden aangepakt, wordt het securitybeleid niet verbeterd door simpelweg meer personeel aan te nemen. 34 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Bedrijven worstelen met patchen omdat ze gebruikmaken van handmatige processen en niet kunnen prioriteren. Het onderzoek ‘Today’s State of Vulnerability Response: Patch Work Demands Attention’ laat zien dat efficiënte processen voor vulnerability response belangrijk zijn omdat tijdig patchen de meest succesvolle tactiek is voor bedrijven om security breaches te voorkomen.
‘52% van de Nederlandse bedrijven was in de afgelopen twee jaar slachtoffer van een datalek, vergeleken met 48% wereldwijd’
3.000 professionals ServiceNow heeft bijna 3.000 securityprofessionals in negen landen, waaronder 340 uit Nederland, gevraagd naar de effectiviteit van de tools en processen die zij gebruiken om te reageren op vulnerabilities. Vulnerability response is het proces dat bedrijven gebruiken om fouten in de software die zouden kunnen dienen als aanvalsvectoren te prioriteren en te herstellen. “Alleen het aannemen van meer talent lost het probleem waarmee securityteams tegenwoordig te maken hebben niet op. Dit noemen we de ‘patching paradox’”, aldus Michael Maas, Area Vice President NoordEuropa van ServiceNow. “Het automatiseren van routinematige processen en het prioriteren van vulnerabilities helpt bedrijven deze paradox te voorkomen. Op deze manier kunnen ze hun mensen inzetten voor bedrijfskritische werkzaamheden die de kans op een beveiligingslek aanzienlijk verminderen.”
Vulnerability response Cybersecurityteams besteden al een aanzienlijk deel van hun resources aan patching. Dit aantal zal alleen maar toenemen: • Nederlandse bedrijven besteden gemiddeld 309 uur per week (vergeleken met 321 uur wereldwijd) - het equivalent van ongeveer acht fulltime medewerkers - aan het beheren van de processen rondom vulnerability response. • Bijna de helft van de Nederlandse respondenten (49%) is voornemens om in het komende jaar meer personeel aan te nemen voor het patchen, vergeleken met 64% wereldwijd. • De Nederlandse respondenten zijn van plan om gemiddeld 4 personen in
te zetten voor vulnerability response - een stijging van 44% vergeleken met de huidige bezetting.
Inefficiënte processen Het aannemen van cybersecurity talent kan mogelijk een probleem worden. Volgens ISACA, een wereldwijde non-profit belangengroep voor de IT, loopt het wereldwijde tekort aan cybersecurityprofessionals op tot twee miljoen in 2019. Het onderzoek van ServiceNow laat zien dat het aannemen van extra mensen het probleem rondom vulnerability response niet oplost voor Nederlandse bedrijven: • 59% geeft aan meer tijd te besteden aan het in goede banen leiden van handmatige processen dan aan het oplossen van vulnerabilities • Nederlandse securityteams verloren gemiddeld 10 dagen aan het handmatig coördineren van patchingactiviteiten door verschillende teams • 79% zegt dat ze het lastig vinden om te bepalen wat als eerste gepatcht moet worden (vergeleken met 65% wereldwijd) • 65% geeft aan dat handmatige processen ervoor zorgen dat ze achter de feiten aan lopen als het gaat om het patchen van vulnerabilities • 62% is van mening dat hackers bedrijven voorbijstreven met technologieën als machine learning en kunstmatige intelligentie (vergeleken met 54% wereldwijd). • Het aantal cyberaanvallen steeg afgelopen jaar met 16%, en de ernst nam met 22% toe. “De meeste datalekken worden veroorzaakt doordat er niet gepatcht wordt en veel bedrijven hebben de basis
van patching niet onder de knie”, aldus Maas. “Aanvallers beschikken over de nieuwste technologieën en securityteams blijven achterlopen als ze hun aanpak niet veranderen.” Snel patchen vermindert risico’s Organisaties die te maken hebben gehad met een lek worstelen met hun processen rondom vulnerability response in vergelijking met organisaties die niet te maken hebben gehad met een lek: • 52% van de Nederlandse bedrijven was in de afgelopen twee jaar slachtoffer van een datalek, vergeleken met 48% wereldwijd • Een meerderheid van de bedrijven die te maken heeft gehad met een lek (68%) zegt dat ze weer slachtoffer zijn geworden van een vulnerability waar al wel een patch voor beschikbaar was (vergeleken met 57% wereldwijd) • 33% van de Nederlandse securityprofessionals was op de hoogte van het feit dat ze kwetsbaar waren voordat ze slachtoffer werden van een lek • Nederlandse bedrijven die een lek hebben weten te voorkomen zijn volgens eigen zeggen 40% sneller met patchen (vergeleken met 41% wereldwijd) dan organisaties die wel slachtoffer zijn geworden • 39% van de bedrijven die te maken heeft gehad met een lek zegt niet te monitoren op vulnerabilities. “Als je op zee water maakt met je schip, zijn extra handen welkom bij het hozen”, verklaart Maas. “Het onderzoek toont aan dat veel bedrijven in zo’n geval alleen op zoek zijn naar extra emmers in plaats van onderzoek te doen naar de grootte en de ernst van het lek.”
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 35
SECURITY
Mimecast
voegt nieuwe functies toe aan
Targeted Threat Protection Mimecast breidt zijn Targeted Threat Protectiondiensten verder uit. Het bedrijf voegt diverse nieuwe securityfuncties toe aan Impersonation Protect, URL Protect en Internal Email Protect. De verbeteringen zijn onder meer gericht op bescherming tegen impersonatieaanvallen, detectie van lookalike-domeinen en threat intelligence.
36 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Mimecast reageert hiermee op de groeiende dreiging van cyberaanvallen via e-mail. Niet alleen hanteren cybercriminelen verschillende aanvalstactieken, maar ook zijn het aantal aanvallen en de frequentie verder toegenomen. Maar liefst 53 procent van de organisaties verwacht dat aanvallen via e-mail in 2018 een negatieve impact op de business hebben.
Impersonatieaanvallen Bij impersonatieaanvallen passen cybercriminelen social engineering toe om medewerkers te misleiden. Normaal gesproken doen aanvallers zich hierbij voor als een (hooggeplaatste) medewerker. Maar ze geven zich ook steeds vaker uit voor een externe partij uit de supplychain waarmee de organisatie regelmatig zakendoet. Doel is om bijvoorbeeld financieel managers, directieassistenten en HR-medewerkers geld over te laten maken of waardevolle informatie bij hen los te peuteren. 40 procent van de ondervraagde IT-beslissers zag in de afgelopen 12 maanden een stijging in het aantal impersonatieaanvallen. Mimecast voorziet Impersonation Protect daarom van nieuwe functionaliteit die bescherming biedt tegen impersonatie, bijvoorbeeld door nagebootste e-maildomeinen van derde partijen te herkennen. Dat helpt aanvallen te stoppen voordat ze schade aanrichten.
Lookalike-domeinen Het imiteren van vertrouwde internetdomeinen is eveneens een groot probleem, dat niet voor niets veel aandacht krijgt in toonaangevende securitymedia als Krebs on Security. Aanvallers gebruiken hiervoor nu ook niet-westerse tekens die er identiek uitzien als normale letters, zoals de cyrillische ‘a’. Deze tactiek maakt het moeilijker om een link naar een malafide website te herkennen.
uitgebreid met nieuwe realtime datafeeds. Dit zorgt voor een beter zicht op nieuwe en geregistreerde domeinen, zodat Mimecast nog beter in staat is om securitydreigingen te detecteren. Daarnaast maakt Internal Email Protect gebruik van het wereldwijde threat-intelligencenetwerk van Mimecast. Klanten kunnen hierdoor nog sneller reageren op dreigingen vanuit zowel interne als externe e-mailaccounts.
Mimecast heeft nieuwe functionaliteit geïntegreerd in Impersonation Protect en URL Protect die organisaties hiertegen wapent. Dankzij nieuwe algoritmes zijn interne gebruikers beter beschermd tegen lookalike-domeinen.
Internal Email Protect monitort continu de status van alle ‘vingerafdrukken’ van e-mailbijlages wereldwijd. Als de beveiligingsstatus van een bestand na aflevering wijzigt, worden beheerders snel op de hoogte gesteld. Zij kunnen automatisch of handmatig actie ondernemen tegen met malware besmette bijlages. Ook wordt het incident in detail gelogd.
Realtime datafeeds
Cyber-resilience
Impersonation Protect wordt ook
“Cybercriminelen zijn constant op zoek
‘Bij impersonatieaanvallen passen cybercriminelen social engineering toe om medewerkers te misleiden’
naar nieuwe trucs om onder de radar te blijven en gebruikers te misleiden”, zegt Ed Jennings, chief operating officer van Mimecast. “Uit onderzoek van Vanson Bourne blijkt dat 97 procent van de respondenten de beschikbaarheid van e-mail cruciaal acht voor de bedrijfscontinuïteit. Tegelijkertijd heeft slechts 27 procent een strategie voor cyberresilience.” “Organisaties die in het afgelopen jaar zijn getroffen door een e-mailgebaseerde aanval hadden gemiddeld zelfs drie dagen nodig voor het herstel”, vervolgt Jennings. “Dat is erg lang en kan rampzalige gevolgen hebben.” Volgens Mimecast bestaat cyberresilience voor e-mail op hoofdlijnen uit drie pijlers. “Een organisatie moet securitymaatregelen nemen om aanvallen af te weren, tijdens de aanval de continuïteit waarborgen en zorgen voor geautomatiseerde recovery om snel weer te herstellen na een aanval.”
Beschikbaarheid Mimecast rolt de nieuwe functies in juni 2018 uit via het eigen cloudplatform Mime|OS. Klanten kunnen de updates binnenhalen via een enkele beheerconsole met een gebruiksvriendelijke interface.
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 37
CLOUD-SECURITY
De vier grootste misvattingen over cloud-security
Met de introductie van cloudoplossingen kwamen ook de twijfels of dit soort oplossingen wel veilig waren. Veel organisaties kozen eieren voor hun geld en bleven werken met hun oude, vertrouwde IT-infrastructuur. Tegenwoordig gebeurt het tegenovergestelde. Bedrijven vinden de cloud de veiligste plek om hun data en applicaties op te slaan. Maar ondanks dat de beveiliging stukken beter is geworden, moeten bedrijven nog steeds opletten welke cloud security provider ze binnenhalen. In dit artikel zet Tim Hoefsloot van Forcepoint de vier grootste misvattingen over cloud security providers op een rij. 38 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
Dit zijn de grootste misvattingen als het gaat om het werken met cloud security providers.
Misvatting #1: Beveiligingscertificaten zijn alleen interessant voor compliance-teams Er is een grote kans dat complianceteams alleen binnen hun eigen organisatie certificaten controleren en waar nodig verlengen. Maar vergeet niet dat elke partner - inclusief de cloud security provider - ook over de juiste certificaten moet beschikken. Dit betekent dat bedrijven al tijdens het selectieproces naar de certificaten van providers moeten vragen. Als zij deze niet kunnen overleggen, dan is er iets aan de hand. Als bijvoorbeeld een ISO 27018-certificaat ontbreekt, is het onduidelijk of een provider wel op de juiste manier omgaat met persoonsgegevens. En dat terwijl dit een harde eis is om te voldoen aan de Algemene verordening gegevensbescherming (AVG). Nog een tip: laat de controle door een externe partij doen. Zo’n audit vergt tijd, energie en geld. Sommige cloud security providers willen (of kunnen) deze investering niet doen. Het is belangrijk om een provider te kiezen die deze investering wel wil doen.
Misvatting #2: Datacenters van cloud providers zijn altijd beter beveiligd dan hun corporate tegenhangers Cloud service providers wijzen graag op de tekortkomingen van privé-datacenters om te laten zien dat hun eigen cloudoplossingen beter beveiligd zijn. Dit is niet altijd waar. Hoewel de cloud inderdaad belangrijke voordelen biedt op het gebied van veiligheid, zijn het de providers die actie moeten ondernemen om te zorgen dat we ook daadwerkelijk van die voordelen profiteren.
‘Weten hoe je de juiste cloud security provider kiest, blijft dus belangrijk’
Het gaat dus niet zozeer om de infrastructuur, maar om de extra beveiligingsstappen die securitymanagers nemen - privaat of niet. Ook is het niet zo dat een provider met de juiste certificaten alle aspecten van de beveiliging op zich neemt. De meeste cloud service providers werken namelijk met een shared security-model. Dit betekent dat de verantwoordelijkheid
voor gebruikersgedrag, toegankelijkheid en gebruiksvoorwaarden bij de opdracht-gever ligt, en niet bij de cloud service provider.
Misvatting #3: Hoe meer datacenters een cloud service provider heeft, hoe beter de prestaties en veerkracht van de infrastructuur Hoewel een cloud-oplossing meerdere datacenters moet hebben, is het niet vanzelfsprekend dat de hoeveelheid datacenters de prestatie beïnvloedt. Neem bijvoorbeeld Microsoft Azure, dat wereldwijd maar dertig datacenters heeft en prima werkt. Andere diensten met honderden datacenters kunnen Azure niet altijd evenaren. Dus hoewel een wereldwijde dekking helpt om latency te verminderen, maakt vooral cloud peering (het creëren van een stabiele, private en directe verbinding tussen de eigen en publieke cloud) het verschil als het aankomt op een goede gebruikerservaring.
Misvatting #4: De beveiliging van de cloud service provider zelf heeft geen invloed op de kosten van de cybersecurityverzekering Soms is dit juist wel het geval. Als een verzekeringsmaatschappij erachter komt dat de cloud security provider van een organisatie niet genoeg doet om cyber-aanvallen te voorkomen, kan zij het maandelijkse bedrag verhogen. Dit valt gelukkig te vermijden. Laat de verzekeraar zien dat de organisatie én de provider zich allebei inzetten voor een optimale cybersecurity. Bijvoorbeeld door te investeren in adequate preventie van cyberdreiging, goede databeveiliging en gegevensbescherming.
Groei cloud-security Steeds meer bedrijven zien de voordelen van werken in de cloud. Bijvoorbeeld de betere beveiliging van gegevens en toegankelijkheid voor alle medewerkers, inclusief de personeelsleden die onderweg zijn. En de flexibiliteit en schaalbaarheid van cloud-oplossingen. Hierdoor blijft cloud-security ook flink doorgroeien, tot 19 procent in 2020, aldus een onderzoek van Gartner. Weten hoe je de juiste cloud security provider kiest, blijft dus belangrijk. TIM HOEFSLOOT, Regional Director Sales bij Forcepoint
INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 39
BACK-UP
Ontrack in onderzoeksrapport:
‘Nog altijd maken veel gebruikers
geen back-up’ Ontrack heeft de resultaten van zijn jaarlijkse back-up onderzoek bekendgemaakt. Uit het onderzoek, dat is gehouden onder 350 klanten, blijkt dat veel mensen nog altijd geen back-up maken. Maar liefst een derde van de deelnemers gaf aan dat ze geen back-up hadden op het moment dat data verloren gingen.
Vergeleken met de vorige onderzoeken van Ontrack blijft het aantal mensen dat geen back-ups maakt hoog, al wordt het aantal de laatste jaren wel iets minder. In 2013 lag het aandeel van de deelnemers dat geen back-up had op het moment dat gegevens verloren gingen op 37%, in 2015 was dit 39% en vorig jaar was dit aantal gekrompen tot 33%.
Geen tijd Als voornaamste reden voor het niet hebben van een back-up wordt aangevoerd dat men geen tijd had te zoeken naar een geschikte back-upoplossing en die dan ook te beheren. 58% van de deelnemers maakte wel gebruik van back-ups waarvan 23% dagelijks, 20% wekelijks, 12% maandelijks en slechts 3% deed 40 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
dit één keer per jaar. Betreft het soort back-up is een volledige back-up de favoriet: 42% van de wereldwijde gebruikers gebruikt deze variant, gevolgd door de incrementele back-up met 25% en de differentiële back-up met ongeveer 15%.
Ernstig dataverlies Ondanks al deze voorzorgsmaatregelen is er vaak nog sprake van ernstig dataverlies: van de deelnemers die in 2017 dataverlies leden was slechts 43% in staat om 75-100% van de data met behulp van een back-up te herstellen. 11% kon slechts 40-75% van zijn bestanden terughalen. De overige ondervraagden verloren het merendeel van hun data of zelfs al hun data. In 2016 waren de resultaten als volgt: 66% kon 75-100% van zijn bestanden terughalen en 11% kon 40-75% van zijn data redden. Uit het onderzoek van dit jaar blijkt dat slechts 27% zijn back-up wekelijks test, terwijl 32% dit slechts één keer per maand doet. De overige deelnemers testen hun back-up slechts één keer per jaar of nooit. In 2016 testte slechts 24% zijn back-up elke week, 34% minstens één keer per maand, 13% ieder jaar en bijna 24% helemaal nooit.
SDN-OPLOSSING
Nutanix Flow
beveiligt applicaties met één klik
Nutanix kondigde op zijn .NEXT-conferentie in New Orleans Nutanix Flow aan. Het gaat hier om een softwaredefined networking (SDN)-oplossing die is ontwikkeld voor het multi-cloud-tijdperk. Flow biedt applicatiegebaseerde beveiliging om bescherming te bieden tegen in- en externe dreigingen die niet worden gedetecteerd door traditionele perimeter-beveiligingsoplossingen. De mogelijkheden van Flow zijn volledig geïntegreerd in Nutanix’ Acropolis-software. Deze wordt nu uitgebreid met de technologie van het onlangs overgenomen Netsil. Deze tools zijn bedoeld voor applicatie-visibiliteit en -discovery in realtime. Nutanix Flow automatiseert daarmee het creëren en beheren van applicatiebeveiliging. Enterprise IT-teams zetten cloud-gebaseerde infrastructuur in voor moderne bedrijfsapplicaties. Vele daarvan zijn opgebouwd uit discrete, onderling verbonden diensten. Om deze applicaties te beschermen, biedt Nutanix nu mogelijkheden voor microsegmentatie. Flow dwingt daarmee app-gericht beleid af, dat de communicatie tussen individuele applicatiediensten regelt. Hierbij wordt tevens gebruikgemaakt van Netsil’s technologie op het gebied van streaming processing, application discovery en applicatie-mapping. Deze oplossingen zijn geschikt voor applicaties die in zowel de public als de private cloud draaien. Nutanix Flow is geïntegreerd in het Nutanix Enterprise Cloud OS en biedt een aantal mogelijkheden:
• Netwerkvisualisatie - geeft applicatie-eigenaren in één oogopslag inzicht in netwerkprestaties en beschikbaarheid per applicatie • Application-centric microsegmentatie - biedt controle en beheer voor al het applicatieverkeer om gevoelige workloads en data te beschermen • Service insertion en chaining - integreert extra netwerkfuncties van meerdere Nutanix Ready ecosysteempartners in één netwerkbeleid • Network automation - voor het stroomlijnen en automatiseren van wijzigingen in algemene netwerkconfiguratie, zoals VLAN-configuratie of wijzigingen in het load-balancer-beleid, op basis van applicatie lifecycle-events voor VM’s die op Nutanix AHV draaien “Bij networking gaat het erom klanten inzicht te geven in hun netwerken, zodat ze data kunnen volgen en analyseren, de prestaties van cloud-applicaties kunnen verbeteren en hun resources kunnen optimaliseren”, zegt Harjot Gill, Sr. Director, Product & Engineering bij Nutanix. “We hebben hard gewerkt om de functionaliteit van Netsil in Nutanix Flow te integreren. We zijn dan ook blij dat onze klanten hier binnenkort van kunnen profiteren.” “Nutanix Flow past bij de missie van Nutanix om de IT-infrastructuur onzichtbaar te maken”, zegt Sunil Potti, Chief Product & Development Officer van Nutanix. “Voor het vereenvoudigen van het netwerk, hebben we gekozen voor een moderne aanpak voor zichtbaarheid en controle voor zowel zakelijke apps als cloud-native diensten. Nutanix Enterprise Cloud OS convergeert nu zowel computing, opslag als virtualisatie en netwerken voor vrijwel elke toepassing, op elke schaal.” INFOSECURITY MAGAZINE | NR. 2 | JUNI 2018 | 41
BLOG
Nóg een GDPR-advies: vergeet de smartphones van medewerkers niet Ik ben mij er volledig van bewust dat ook dit stukje weer over de GDPR gaat. En dat u ondertussen een beetje genoeg heeft van die afkorting. En van de materie. En van de lichte stress die het onderwerp met zich meebrengt. En van alle goedbedoelde adviezen, die u allemaal al tientallen keren voorbij heeft zien komen. Als u uw BYOD-beleid al helemaal GDPR-proof heeft gemaakt (en u weet zeker dat u dat echt goed heeft gedaan), kunt u wat mij betreft dit stuk verder overslaan. Maar hoeveel van u kunnen dat echt in alle eerlijkheid beweren? In de hele mediahype rondom GDPR ben ik de termen smartphone, tablet, BYOD en mobile devices bijzonder weinig tegengekomen. Het lijkt aan de aandacht van veel ondernemers te ontsnappen, dat deze apparaten per definitie vol met persoonsgegevens staan. Een telefoonnummer en zelfs een e-mailadres is al een persoonsgegeven. En de gegevens die daarmee in verband staan, zoals oproepinformatie en uitgewisselde e-mailberichten in de meeste gevallen ook. Er valt dus heel veel te beschermen. Om iets goed te beschermen, moet je wel goed weten waartegen je het moet beschermen. Wat is nu precies het gevaar? In de eerste plaats is dat uiteraard diefstal of verlies van het toestel. Voor bedrijven is het dan ook in het kader van de GDPR - en in het kader van hun eigen belang - een absolute must om mobiele apparaten die zakelijk door medewerkers worden gebruikt te beveiligen met een Mobile Device Management tool. Daarmee kun je verloren of gestolen apparaten op afstand wissen of blokkeren. Dat is wel de allereerste maatregel die je zult moeten treffen. Een ander, groeiend gevaar, is Android-malware. De malwareanalisten van G DATA ontdekten in Q1 van 2018 gemiddeld elke tien seconden (!) een nieuwe gevaarlijke code voor Android. Dat zijn gevaarlijke codes die worden gedownload bij een bezoek aan de verkeerde website (drive-by-download), of, wat nog veel vaker voorkomt: gevaarlijke apps. De tijd waarin gevaarlijke apps alleen in (Aziatische) onofficiële appstores werden aangeboden (en dus gemakkelijk te vermijden waren) is echt voorbij. Er werden in 2017 ruim 700.000 apps in de Play Store aangetroffen, die - zoals dat formeel heet- ‘zich niet hielden aan de richtlijnen van de Play Store’. Dat is een toename van ongeveer 70% ten opzichte van 2016. Nu weet Google heel goed dat Android hét nieuwe target is van cybercriminelen en men werkt hard om beveiligingslekken te dichten en met nieuwe features schadelijke apps onbruikbaar te maken. Maar het duurt nog altijd zeer lang voordat updates zich 42 | JUNI 2018 | NR. 2 | INFOSECURITY MAGAZINE
een weg weten te banen naar devices. Fabrikanten doen er veelal maanden over om de updates ‘om te zetten’ naar hun eigen versie van het besturingssysteem. In 2017 werden er maar liefst 841 beveiligingslekken in Android ontdekt, dus snel patchen is van groot belang. Maar minder dan 1% van alle Android-apparaten werkt met de nieuwste (en veiligste) versie. Google vindt dat ook problematisch en probeert hier verbetering in te forceren met Project Treble. Door Treble is het voor fabrikanten en ontwikkelaars veel eenvoudiger om updates en patches rechtstreeks aan de eindgebruiker door te spelen. Er is geen garantie dat fabrikanten en ontwikkelaars aan Project Treble gaan meewerken, al lijkt Google nu stappen te nemen om fabrikanten hier contractueel toe te verplichten. Details zijn echter nog niet bekend. En zelfs als ze dat wel doen, dan is er nog de vraag voor hoe lang. De Consumentenbond is bijvoorbeeld van mening dat smartphonefabrikanten in elk geval tot vier jaar na de introductie van een nieuw model updates voor dat model moeten blijven aanbieden en sleepte Samsung om deze reden voor de rechter. Tijdens het ter perse gaan van dit nummer was er nog geen uitspraak, maar die zou op 23 mei 2018 zijn gedaan. Kortom: voor de GDPR zijn smartphones een soort mobiele tikkende tijdbommen. Het is dan ook van groot belang om deze apparaten goed te beveiligen. Met een Mobile Device Manager kun je niet alleen gestolen devices wissen, maar ook Adroiddevices beschermen tegen malware met een antivirusscanner. Je kunt bepalen welke apps gebruikers wel en niet zelf kunnen installeren en je kunt nagaan of beschikbare updates al zijn uitgevoerd. De meeste MDM-tools geven ook uitgebreide mogelijkheden tot rapportages, zonder de privacy van de medewerker te schaden. Goed, ik realiseer me dat ik je er misschien een zorg bij heb bezorgd met dit stukje. Maar ik heb ook een oplossing aangedragen. Na dit te hebben geregeld, kun je rustig adem halen.
EDDY WILLEMS is security evangelist bij G DATA
NETWORKING@IT-SA Be a part of it-sa 2018 and take your company into a secure future. Europe’s leading trade fair for IT security is the only place where the industry’s who’s who come together every year.
Nuremberg, Germany 9 -11 October 2018
it-sa.de/en
