Contextual security

Rik FergusonVorige week schreef mijn collega Rik Ferguson over de veranderingen op het gebied van beveiliging. Een krachtig verhaal met een simpele boodschap: perspective matters.

Ooit was een van de belangrijkste taken van beveiligingstechnologie om een lawine van notificaties op je af te sturen. Technologieën die je waarschuwde op het moment dat de ‘very certain’ of ‘very bad’ je overkwamen, waren aan de orde van dag. In de twintigste en zelfs het begin van de eenentwintigste eeuw dacht je dat je computer goed beveiligd was als je firewall en IPS vertelde dat het oké was en je anti-malware software vertelde dat je computer schoon was. Klinkt bekend toch? Deze kortzichtige benadering van beveiliging is een van de factoren die momenteel bijdragen aan het succes van gerichte cyberaanvallen over de hele wereld.

Het aloude gezegde van door de bomen het bos niet meer zien is echter nog nooit zo waar geweest. We richten ons teveel op het ‘bekende slechte’ en negeren de context van het gevaar.  

Stel je daarom het volgende even voor: de beveiligingscamera die in de gang buiten de server-ruimte hangt volgt een persoon, laten we hem Dave noemen. Met behulp van zowel beweging- als gezichtsherkenning wordt de identiteit van Dave vastgesteld. Het systeem ziet zelfs dat Dave een schoonmaak-uniform draagt, wat klopt aangezien Dave schoonmaker is. Dave staat voor de deur van de server ruimte en houdt zijn NFC-kaart voor het slot van de deur die open gaat omdat de beveiligingscamera en de beveiliging van de deur met elkaar in verbinding staan en communiceren. Een tweede camera in de server-ruimte bevestigt dat het inderdaad Dave is die de ruimte binnen gaat. Alles is dus prima.

Bij deze kortzichtige benadering worden alle bovengenoemde zaken opgeslagen in een soon-to-be-purged logboek en betiteld als “hier valt niets te zien”. Echter, de context van dit soort alledaagse gebeurtenissen is van onschatbare waarde omdat we op het punt staan te zien dat….

…..Dave, die in de server-ruimte is, niet aan het schoonmaken is maar afwijkt van zijn normale vertrouwde gedrag. Hij zit nu naast een server en typt op het toetsenbord. Dit is duidelijk niet goed. Daarom zouden nu ergens alarmbellen moeten gaan rinkelen. Maar als we de context die onze hersenen zich herinneren en met elkaar in verband brengen nu buiten beschouwing laten, wat zien we dan echt? Dan is het een persoon die in de server-ruimte een computer gebruikt.

In het tijdperk van gerichte aanvallen zijn ook de regels voor het monitoren van security-incidenten veranderd. Tenzij we gaan profiteren van de mogelijkheden van big data management en tenzij we meer informatie (context) gaan halen uit het Security Information and Event Management systeem, zullen gerichte aanvallen steeds onopgemerkt blijven. Bij aanvallen wordt tenslotte gebruik gemaakt van legitieme gebruikersinformatie en vertrouwde relaties om zo toegang te krijgen tot jouw netwerk en gevoelige bedrijfsdata en zo ongestraft je beveiligingstechnologie te passeren.

Zoals Rik concludeert: Context is king. Het bos zie je pas als je leert om een aantal stappen terug te nemen, tot die tijd zul je alleen maar bomen zien.

Lees hier de gehele Engelstalige blog.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *