8 minute read
Cybersecurity means business
Hoe laat je data voor je werken?
De wereld draait om data. Als je dat adagium inmiddels nog niet gehoord hebt, wordt het hoog tijd dat je onder je steen vandaan komt, want je wordt er van alle kanten mee doodgegooid. “Doe iets met data anders ga je d’r aan.”
Advertisement
Andreas van Wingerden
Met dat zwaard boven je hoofd is het niet makkelijk innoveren. Onlangs discussieerden we met een aantal experts, tijdens Yellow Communications’ ExpertsOn Data, over precies die uitdaging: het zal allemaal best, die digitale transformatie, maar waar begin je? Als je te weinig doet, mis je de boot, toon je te veel ambitie, dan mag je aan de board uitleggen waarom er zoveel geld is gestoken in new business die nergens toe leidt. De discussie was niet altijd even bemoedigend. Sommige experts betwijfelden openlijk of gevestigde organisaties, met hun vaak typische oude-mannen-boardrooms, wel de flexibiliteit van geest hebben om de nieuwe toepassingen te vinden waarmee de werkelijke meerwaarde van data wordt ontsloten. Anderen vroegen zich af of gebruikers wel bereid zullen zijn hun data af te staan. Worden privacy-afwegingen de dood in de pot voor Big Data? Er zijn twee simpele antwoorden op die doemdenkerij. Ten eerste: gebruik je gezonde verstand. Ten tweede: toon lef! Het idee dat data-analyse tot nieuwe business kan leiden, wil niet zeggen dat je plots iets moet gaan doen wat volledig buiten je comfortzone ligt. Integendeel. In de meeste succesvolle gevallen betekent het vooral dat je iets als dienst kunt gaan aanbieden dat logisch in het verlengde ligt van wat je toch al doet. Doe iets nieuws - maar niet iets dat te ver van je af staat. Sterker nog: doe liever iets nieuws dat versterkt waar je toch al goed in bent. Voor een voorbeeld kan ik terecht bij mijn eigen organisatie. Citrix is gespecialiseerd in oplossingen voor de werkomgeving. Dat betekent dat er enorme hoeveelheden data door onze systemen gaan die allemaal iets zeggen over wat - en wat niet - normaal gedrag is in een kantoornetwerk. Die gegevens worden geanalyseerd. Dat stelt ons in staat onze bestaande diensten te verbeteren, doordat we kunnen zien wat mensen proberen te doen, waar de knelpunten zitten en waar alternatieve oplossingen mogelijk voor betere resultaten kunnen zorgen. Maar het stelt ons ook in staat realtime afwijkingen te detecteren die kunnen duiden op onwenselijk gedrag. We zijn altijd een organisatie geweest waarbij security hoog in het vaandel staat. Dat moet wel, als je dagelijks de data van miljoenen medewerkers, bedrijven en overheden door je handen laat gaan. Toch hebben we ons nooit eerder als security leverancier geprofileerd. Maar dat verandert dus nu. Tijdens ons laatste grote Synergy event in Orlando (Florida) noemden we onszelf voor het eerst ‘a new breed of security company’. En met recht. Detectie van onwenselijke activiteiten is een van de belangrijkste nieuwe ontwikkelingen op het gebied van cybersecurity. Dankzij het feit dat we uniek gepositioneerd zijn om het onderscheid te maken tussen wenselijk en onwenselijk gedrag binnen zakelijke netwerken en dankzij het feit dat we die data toch al analyseren voor de optimalisatie van onze services, zijn we in staat een nieuwe dienst te leveren die van hoge toegevoegde waarde is. Een echt nieuwe specialisatie die direct voortvloeit uit onze bestaande expertise. Dat toont drie dingen aan. Ten eerste: innovatie is niet voorbehouden aan jonge flexibele startups die niets te verliezen hebben. Door met gezond verstand naar je eigen producten te kijken en de mogelijkheden af te wegen, ontdek je, als je enig gevoel heb voor je business, vanzelf kansen voor data analyse. Ten tweede: mensen zijn bereid hun data ter beschikking te stellen als daar duidelijke toegevoegde waarde tegenover staat. Zeker als het extra veiligheid oplevert en je kunt aantonen dat je zorgvuldig met die data omgaat, blijkt de angst voor privacy issues eerder een kwestie van gewenning dan een belemmering. En ten slotte: de volle toegevoegde waarde ontstaat alleen als je het lef hebt om het te benoemen en te positioneren als een nieuwe dienst. Als je lang in een bepaalde branche werkt, ben je geneigd dat wat je goed doet normaal te gaan vinden. Vooral wij Nederlanders zijn meesters in het relativeren van wat we doen. Als je een unieke dienst kunt leveren, ga er dan ook voor staan!
ANDREAS VAN WINGERDEN
is Regional Manager Systems Engineering bij Citrix
Threat Lifecycle Management ook cruciaal voor bescherming van ICS en SCADA
Industrial Control Systems (ICS) en SCADA-systemen (Supervisory Control and Data Acquisition) regelen cruciale nutsvoorzieningen zoals water of stroom. Ook zijn ze onmisbaar in de procesindustrie voor het besturen van tal van activiteiten. Ze vervullen een kritische rol en zijn daardoor gevoelig voor aanvallen van cybercriminelen. Vandaar dat geavanceerde beveiliging ook voor deze systemen van groot belang is.
Dat ICS en SCADA in toenemende mate gevoelig zijn voor aanvallen blijkt uit verschillende incidenten die brede publiciteit hebben getrokken. Zo kwam in 2015 in Oekraïne een groot aantal huizen zonder stroom te zitten na een cyberaanval op een elektriciteitscentrale. In hetzelfde jaar meldde de beveiligingsdivisie van Verizon dat een niet nader genoemd waterleidingbedrijf het slachtoffer was van aanvallers die erin slaagden de samenstelling van het drinkwater aan te passen. Aanvallers wisten bepaalde Programmable Logic Controllers (PLC’s) - belangrijke componenten van SCADAsystemen - over te nemen en zo het productieproces te beïnvloeden. Het is op zich niet heel opmerkelijk dat ICSomgevingen en SCADA-systemen gevoelig zijn voor cyberaanvallen. Ze zijn ontwikkeld met het oog op gebruik in volledig geïsoleerde omgevingen, waardoor er niet of nauwelijks is gekeken naar mogelijke veiligheidsissues. Daar komt bij dat steeds meer organisaties hun ICS- of SCADA-systemen de laatste jaren hebben verbonden met het internet om bijvoorbeeld data te verzamelen of processen op afstand te besturen. Dat heeft gezorgd voor meer onveiligheid. Al in 1997 zijn de eerste serieuze kwetsbaarheden ontdekt. Dat heeft geleid tot meer aandacht voor beveiliging. Deze trend werd verder versterkt door de eerdergenoemde incidenten die aangaven dat kritische infrastructuren belangrijke potentiële doelwitten zijn van cybercriminelen. Bescherming Om zich te beschermen tegen aanvallen op hun ICS- en SCADA-omgevingen is het voor organisaties van belang om inzicht te creëren in alle systemen die via het internet te benaderen zijn. Daarbij is het belangrijk steeds opnieuw te bekijken of een internetverbinding echt nodig is voor het bedrijfsproces. Daarnaast is het zaak om de uitgevoerde analyses in de praktijk te testen met behulp van beschikbare netwerkscantools en met periodieke penetratietests.
TLM: zes stappen Verder is het net als bij het beschermen van datacenters en eindgebruikersapparatuur van belang om naast firewalls en antivirussoftware end-to-end Threat Lifecycle Management (TLM) in te zetten. Dit is een gestroomlijnd, intern proces van slimme monitoring, geautomatiseerde actie en snel herstel. TLM gaat uit van de volgende zes stappen.
Stap 1: Verzamelen van informatie Een cyberaanval kent een lange aanloop van enkele stappen - de zogenaamde Cyber Attack Lifecycle. Voordat zo’n bedreiging überhaupt wordt ontdekt, moet er bewijs van zijn binnen de IT-omgeving. Die informatie is bijvoorbeeld te halen uit gegevens uit
de beveiligingssoftware, zoals beveiligingsgebeurtenissen en -waarschuwingen. Maar ook opgeslagen data - per gebruiker, systeem, applicatie, etc. - die toont wie wat deed, waar en wanneer, biedt ondersteuning bij het opsporen van bedreigingen. Nog een stap verder is 360-gradeninzicht in alle netwerkactiviteiten. Dit voorkomt blinde vlekken in het netwerk - de ideale toegangsroute voor hackers. Gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen die data verwerken van meerdere bronnen, geven dit diepgaande inzicht in netwerken.
Stap 2: Ontdekken Wanneer er inzicht in de IT-omgeving is gecreëerd, is het tijd om de bedreigingen te ontdekken en aan te pakken, met behulp van zoek- en machine-analyses. Beveiligingsmedewerkers moeten doelgericht op zoek gaan naar bedreigingen en uitzonderingen. Dit kan onder meer met zelflerende software en andere geautomatiseerde technieken. Volgens Gartner is in 2018 25 procent van de beveiligingsproducten in een bepaalde mate zelflerend. Er is dus nog meer detectiehulp onderweg.
Stap 3: Kwalificeren Opgespoorde bedreigingen moeten snel gekwalificeerd worden. Wat is de mogelijke impact van een ontdekte bedreiging op de organisatie? Is er meer onderzoek nodig en hoe snel is actie nodig? Wanneer bedreigingen efficiënt worden beoordeeld, kost dat minder tijd en minder arbeidskracht. Inefficiënte of onjuiste kwalificering kan ertoe leiden dat een serieuze bedreiging uren- of dagenlang onopgemerkt blijft.
Stap 4: Onderzoeken Wanneer de bedreigingen na stap drie een label hebben, moet bepaald worden of er nog een aanval aan de gang is of dat er al een heeft plaatsgevonden. Snelle toegang tot geanalyseerde data en kennis over de bedreiging is van het grootste belang. Dat gaat het makkelijkst met geautomatiseerde, organisatiebrede systemen, waarin bijvoorbeeld de beveiligingsacties en onderzoeksfasen per afdeling inzichtelijk zijn voor het hele bedrijf.
Stap 5: Neutraliseren Is de bedreiging ontdekt, dan zijn maatregelen nodig om schade aan het bedrijf te voorkomen. Iedere seconde telt, dus eenvoudig toegankelijke actieplannen en geautomatiseerde processen zijn essentieel. Net als in de onderzoeksfase zijn ook samenwerken en het delen van informatie binnen de organisatie - op het gebied van IT, de juridische afdeling, HR - van groot belang.
Stap 6: Herstellen Zodra het voorval en het risico voor het bedrijf onder controle zijn, kan het herstel beginnen. Dit kan soms wel dagen of weken duren, afhankelijk van de impact van het incident. Om het herstel voorspoedig te laten verlopen, heeft het beveiligingsteam toegang nodig tot alle forensische informatie omtrent het onderzoeks- en actieproces.
Het effect van een cyberaanval op een datacenter verschilt niet heel veel van een aanval op een ICS-omgeving of SCADA-systeem. In beide gevallen is een goede voorbereiding en een optimaal werkende TLM-aanpak een prima basis voor veilig werken.
ROB PRONK,
Regional Director Central, Northern & Eastern Europe bij LogRhythm
