Het elektronische oorlogstoneel

Er zit voor ons niets anders op dan te wennen aan het idee dat onze informatie- en communicatiesystemen zijn uitgegroeid tot een oorlogstoneel.

Vroeger waren alleen specifieke systemen broeihaarden van elektronisch conflict. Maar nu kan vrijwel ieder device — en zelfs randapparatuur — worden misbruikt om informatie te stelen, beveiligingsmechanismen te omzeilen, digitale activa te kapen of vernietigen en diensten plat te leggen.

De grote diversiteit van aanvallen en de enorme hoeveelheden gegevens die worden overgedragen door steeds meer clients maken het bijzonder moeilijk om bij te houden wie precies wat doet en wanneer, en of dit binnen de grenzen van het wenselijke valt.

Het helpt ook al niet dat elke gebruiker nu informatie kan opvragen vanaf verschillende apparaten en locaties. Het gegevensverkeer legt daarmee verschillende trajecten af en passeert allerlei systemen. En het tijdstip en de locatie van de gegevensoverdracht variëren met het specifieke privé- en werkpatroon van iedere gebruiker.

Al deze apparaten kunnen op talloze manieren worden misbruikt. Er kunnen kwaadaardige applicaties zoals wormen en virussen op worden geïnstalleerd. Er kan met de hardware worden geknoeid, zoals in het geval van de BAD BIOS- of USB Microcontroller-bug. Versleutelde links kunnen worden ingezet voor ‘man in the middle’-aanvallen die certificaatinstanties nabootsen. En in sommige gevallen kunnen hackers profiteren van de laksheid van de eindgebruiker.

Een bont gezelschap van spelers

Als we te maken hadden met slechts één vijand en wisten waar die op uit was, zou de situatie nog enigszins beheersbaar blijven. Maar dat is helaas niet het geval. Het elektronische oorlogstoneel kent een bont gezelschap van spelers, van wraakzuchtige ex-werknemers tot hacktivisten, criminele organisaties en zelfs overheden.

Samen beschikken zij over een budget dat groter is dan de staatskas van welk land dan ook. Elke organisatie moet deze vormloze en onbekende Goliath zien af te slaan, maar bevindt zich van meet af aan in een achterstandspositie — er is weinig budget, geen duidelijke tegenstander en geen specifiek doelwit binnen de organisatie.

Biologische wapens in de vorm van personeel

En dan moeten zij ook nog rekening houden met biologische wapens in de vorm van personen binnen de organisatie die vanwege hun functie toegang tot gevoelige bedrijfsinformatie hebben, zoals managers en bedrijfsjuristen. Zij kunnen met het grootste gemak informatie opvragen, kopiëren en verspreiden via alternatieve kanalen.

Het gaat echter te ver om zware beveiligingsmaatregelen toe te passen op elk bedrijfsapparaat. Dit zou een fnuikende werking hebben op het vermogen van de organisatie om haar primaire taken uit te voeren, of het nu gaat om een bedrijf, overheidsinstelling, advocatenkantoor of militaire organisatie.

Is de strijd bij voorbaat verloren? Verre van dat.

Verwikkeld in een strijd om bedrijfsactiva

Het eerste wat organisaties zich moeten beseffen, is dat zij verwikkeld zijn geraakt in een strijd om de integriteit en het eigendom van hun bedrijfsactiva, of ze dat nu leuk vinden of niet. En de enige manier waarop zij die kunnen behouden, is om zich voor de volle honderd procent in te zetten om de regie daarover te herwinnen.

Organisaties moeten zich bovendien realiseren dat zij nu al kwetsbaar zijn. Mogelijk is er hardware van buitenlandse inlichtingsdiensten ingebouwd in moederborden, zijn er achterdeurtjes in routers aangebracht of zijn printers, tablets en andere apparatuur met malware geïnfecteerd. Het maakt niet uit – het punt is dat organisaties op dit moment gevaar lopen.

Afrekenen met infecties en indringers

Het menselijk lichaam is in staat om met allerhande infecties en indringers af te rekenen. Organisaties kunnen dat ook. In het beste geval verspillen indringers hun rekencycli, zodat de temperatuur een beetje stijgt. In het slechtste geval lukt het hen om malware binnen de ICT-infrastructuur te verspreiden of die te misbruiken voor kwaadaardige doeleinden.

Net als het menselijk lichaam heeft een organisatie mechanismen nodig om schendingen van haar integriteit te detecteren. Een voordeel is dat hackers meestal geen rechtstreekse fysieke toegang tot de bedrijfsactiva van organisaties hebben. Dit betekent dat ze zich een weg door het bedrijfsnetwerk moeten banen om kwetsbaarheden te vinden en hun malware te installeren en bedienen.

Snel reageren op incidenten

Maar omdat organisaties een bepaalde mate van controle op de netwerkinfrastructuur uitoefenen, zijn er altijd knelpunten waarlangs al het dataverkeer moet passeren. Meestal zijn dit de primaire routers en firewalls. Als organisaties de juiste detectiesystemen met deze knelpunten integreren, kunnen zij inzicht krijgen in alle informatiestromen en snel op incidenten reageren.

Ten slotte moeten organisaties de verspreiding van malware binnen hun infrastructuur voorkomen of op zijn minst indammen. Dat is gemakkelijker gezegd dan gedaan. Er zit uiteindelijk niets anders voor hen op dan te vertrouwen op de integriteit van hun hardware- en softwareleveranciers. De afgelopen jaren zijn er verschillende gevallen aan het licht gekomen waarbij fabrikanten geïnfecteerde hardwarecomponenten zoals moederborden, harde schijven en USB-sticks leverden. En in het geval van software waarvan de broncode niet is vrijgegeven, moeten organisaties er maar op vertrouwen dat er geen achterdeurtjes zijn ingebouwd en dat alle bekende best practices voor het voorkomen van kwetsbaarheden netjes zijn toegepast.

Proactief te werk

Waar het op neerkomt, is dat u proactief in plaats van reactief te werk moet gaan. Elke minuut dat u over uw beveiligingsbeleid en de uitvoering daarvan nadenkt, is een minuut waarin malware zichzelf in uw bedrijfsnetwerk kan nestelen. Laat u niet in slaap sussen, want hackers en verspreiders van malware zijn 24 uur per dag, 7 dagen per week actief.

Door: Adrianus Warmenhoven, Security Evangelist bij RedSocks