Neem eens de rode pil in cybersecurity

De rode pil en de blauwe pil komen terug in verschillende science fiction films. Ze symboliseren de keuze tussen het accepteren van de soms pijnlijke werkelijkheid (red pill) en de zalige onwetendheid van de illusie (blue pill). Ik ken het vooral uit The Matrix, wanneer Neo van Morpheus de keuze krijgt om de werkelijkheid achter de Matrix te zien of niet. Zie: https://www.youtube.com/watch?v=zE7PKRjrid4

matrix red pill blue pill

Recentelijk schoot door mijn hoofd dat die keuze tussen rood/blauw best een aardige metafoor is voor hoe we doorgaans met informatiebeveiliging omgaan. Ik ben namelijk oprecht verrast (en teleurgesteld) over het tempo waarmee we volwassen worden op dit vlak: we blijven maar die blauwe pil nemen.

Ransomware in praktijk

Vorig jaar werd de meldplicht datalekken actief. Tegelijkertijd explodeerde de ransomware dreiging en was het elke week raak met grote verstoringen in de media daardoor. Als security helpdesk en incident response dienstverlener hebben we van dichtbij organisaties mogen ondersteunen. Zo hebben we ook een aardig beeld van hoe organisaties effectief de ransomware dreiging een plekje hebben gegeven.

Ransomware betekent dat iemand je netwerk heeft geïnfiltreerd en een computer kan besturen. Je mag er van de Autoriteit Persoonsgegevens (AP) niet zomaar vanuit gaan dat ransomware als enig doel heeft om bestanden te versleutelen en losgeld te vragen. Je moet dus onderzoek doen (red pill) en uitsluiten dat er data gelekt is, en als dat niet lukt binnen 72 uur moet je melding doen. Dat zijn de spelregels, ik heb ze niet bedacht, maar wel veelvuldig uitgelegd en ik ben niet de enige.

Dus ik had verwacht dat juist de combinatie van meldplicht datalekken en de ‘in-your-face’ variant van malware die ransomware is, het recept voor verandering zou zijn. Organisaties die zich aan de wet willen houden en dus het bedoelde onderzoek instellen na een infectie. Nou niet dus: opruimen die handel en door (blue pill). Niet controleren wat er gelekt is, maar vooral ook niet onderzoeken hoe die ransomware binnen is gekomen en effectief herhaling voorkomen.

Incident Response in theorie

Een incident response proces bestaat volgens het boekje (PDF) als laatste stap uit ‘geleerde lessen’. Stil staan bij de vraag: ‘hoe heeft dit kunnen gebeuren?’ en het antwoord daarop gebruiken om herhaling te voorkomen.

Portrait of Benjamin FranklinWant net als bij pentests en andere audits is het doel niet om iemand om de oren te slaan met gevonden afwijkingen. Het is om de gaten in je beveiliging scherp te krijgen zodat je ze kunt dichten. Zo is alles in informatiebeveiliging gebaseerd op het circulaire plan-do-check-act (PDCA): doorlopend verbeteren. Want zoals US founding father Benjamin Franklin ooit zei:

An ounce of prevention is worth a pound of cure

Ofwel: het is gewoonweg zonde om geen lessen uit je security incidenten te trekken.

Incident Response en de Red Pill

In de keuze rondom geleerde lessen in incident response komt de red pill / blue pill analogie in beeld. Als je WEL het door de AP bedoelde onderzoek zou instellen, kom je meestal achter zaken die eenvoudig te voorkomen zijn.

Prettig, aan de ene kant, aan de andere kant pijnlijk (red pill) want als het zo eenvoudig is, waarom zijn we dan toch getroffen? En hoe eenvoudig ook: er is geen tijd en er zijn alsnog uitdagingen met het implementeren van die maatregel. Dus laten we die steen vooral niet optillen om te kijken wat eronder zit en lekker onbewust onbekwaam blijven (blue pill).

Wie de red pill neemt en de steen wél optilt, komt voor de vuist weg al snel tot de volgende inzichten en verbeterpunten:

  1. LES: Email met bepaalde bijlage (bijv .exe, .js) was de bron van infectie > FIX: dat soort bestanden heb je doorgaans in email niet nodig dus kan je in zijn geheel blokkeren;
  2. LES: De bedoelde email werd geopend vanuit privé webmail > FIX: naast email ook webverkeer controleren op potentieel ongewenste content;
  3. LES: De email misleidt de ontvanger en die is dus in de val getrapt > FIX: een email aan collega’s met dit specifieke voorbeeld en hoe het herkend had kunnen worden tot en met een uitgebreide user awareness campagne;
  4. LES: Niet alle computers in het netwerk waren effectief voorzien van up-to-date beveiliging > FIX: inrichten van een procedure om dit dagelijks te controleren, accepteer geen afwijkingen en los ze op;
  5. LES: De anti-virus software was compleet up-to-date maar herkende deze variant desondanks niet > FIX: klassieke anti-virus is maar voor grofweg 50% effectief tegen nieuwe malware. Nieuwere software kan ook geavanceerde malware herkennen die nog nooit eerder is gezien;
  6. LES: Gebruikers hebben teveel rechten op hun computer > FIX: implementeren van ‘least privilige‘ principe, met rechte rug en ondersteund vanuit de directie want daar komt gedonder van.

Enzovoorts.

Zoals ik zei zijn de meeste security incidenten vaak met eenvoudige maatregelen te voorkomen. Als we in de modus komen om te leren van die incidenten en ook iets met die lessen te doen, gaan we stapje voor stapje de beveiliging beter onder controle krijgen.

Maar dat begint met keuzes: neem de red pill.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s