Dutch IT Chanel Logo mobile
Search icon
Redactie - 07 augustus 2015

Wat te doen bij cyberziekte?

Security

Volgens het Data Breach Investigation Report 2015 zijn hackers in 60% van de gevallen in staat om in 6 minuten (!) een organisatie te compromitteren. Steeds vaker wordt jacht op de data van bedrijven gemaakt, deels om te stelen en deels om af te persen. Een wijsheid uit de security wereld is dat er twee soorten bedrijven zijn: zij die weten dat ze zijn gehackt en zij die zijn gehackt maar het nog niet weten. Cyber-binnendringers zijn er in vele soorten en maten, van personen tot organisaties, van activisten tot staat-gebonden groepen. Eén ding is zeker: de mission critical data veilig stellen, wordt steeds belangrijker.

Cyberziek
Dit houdt in dat er een infrastructuur ingericht moet zijn die gehackt mág worden. Dit klinkt vreemd, maar als je hier van te voren rekening mee houdt , kun je effectieve verdedigingsstrategieën inbouwen. Natuurlijk is voorkomen beter dan genezen, maar houd er rekening mee dat je organisatie waarschijnlijk een keer echt cyber-ziek wordt. Hoe kun je de kans op genezing dan zo optimaal maken? Als bedrijf worden wij steeds vaker gevraagd hiervoor oplossingen te leveren, waarbij het begrip ‘Isolated Recovery’ een belangrijk onderdeel van de oplossing is. Hierbij worden fysiek gescheiden omgevingen gecreëerd waar digitale toegang onmogelijk is.

Er zijn gevallen bekend van een aangevallen organisatie die zijn recovery-deel fysiek had gescheiden, maar waarbij de aanvallers via mobiele signalen alsnog probeerden die fysiek ontkoppelde infrastructuur binnen te dringen. Maar het principe van dit type verdediging is dus werkelijk gescheiden omgevingen creëren om de gouden data degelijk te beschermen tegen invloeden van buitenaf. En die omgeving wordt volgens vaste procedures en in fases kort met de productie omgeving gekoppeld om replicatie mogelijk te maken.

Last line of defense
In de US wordt de wetgeving op dit gebied aangescherpt. De FBI heeft in december 2014 na de Sony attack een zogenaamd flash-alert aan alle grote bedrijven gestuurd waarin dit soort aanvallen gedetailleerd werden beschreven. Deze attacks worden vaak ondersteund met social engineering om apparatuur van (service-)medewerkers te infecteren of wachtwoorden te stelen. Omdat de aanvallen steeds meer sophisticated worden, zoeken bedrijven nieuwe technieken om hun data nog beter te beschermen. Een soort ‘last line of defense’ om je in werkelijke isolatie terug te trekken tijdens een actieve aanval.

Het lijkt steeds meer op serieuze oorlogsvoering die in de cyberwereld wordt uitgevoerd. Een wereld van steeds groter geld, steeds grotere belangen en steeds grotere consequenties. Deze ontwikkeling dwingt IT-leveranciers nieuwe defensieve methoden en technieken te ontwikkelen. Er moeten architecturen ontwikkeld en geïmplementeerd worden die hackers uitsluiten van de meest kritische datasets, die geïsoleerde recovery mogelijk maakt en die een route garandeert die kan worden gevolgd om de organisatie weer operationeel krijgen.

Leven en overleven
Hoe ziet zo’n oplossing er globaal uit? Het proces dat moet worden ingericht bevat drie deelprocessen: preventie, detectie en directe respons en tenslotte recovery. De aanpak begint met het benoemen van de werkelijk kritische applicaties en data. Welke data en services zijn cruciaal om als bedrijf te kunnen overleven? Het klinkt gek, maar met dit eerste punt hebben veel bedrijven het al vaak moeilijk. Natuurlijk zijn er maatregelen genomen de bedrijfskritische applicaties zo lang mogelijk in de lucht te houden, maar dit te bezien in het kader van een aanval en de werkelijk essentiële services en data vast te stellen, gaat een stap verder. Wat is finaal kritisch om te overleven en welke financiële middelen vraagt dit om dat op dat moment mogelijk te maken?

Gouden data
Een tweede stap is het benoemen wat voor geïsoleerde datacenter-omgeving nodig is die losgekoppeld kan worden van elk netwerk en alleen medewerkers met een hoge security clearance toelaat. Hoe kan data op een veilige manier naar dit deel van het datacenter worden gekopieerd en wat voor soort netwerksluis gaat men gebruiken? Hoe kan men een veilig protocol opstellen die een strak geplande ‘air-gap’ regelt tussen productie-omgeving en geïsoleerde recovery omgeving?

Tijdens het overbrengen van gekopieerde data van de productie-omgeving naar de geïsoleerde omgeving, dient een integriteitscheck van de gekopieerde data te worden gemaakt. Alles moet worden gedaan om de gouden kopie geïsoleerd opgeslagen te houden, maar wel up-to-date en integer om na het incident weer beschikbaar te maken.

De hoeveelheid data die maximaal verloren mag gaan bij een aanval, wil men natuurlijk zo klein mogelijk houden. Echter, omdat de gouden kopie nu via fysieke ontkoppelmomenten moet worden geüpdatet, is het potentiële verlies altijd groter dan in een normale disaster recovery installatie. Het gaat immers niet om het minimaliseren van een technisch defect en de normale overgang van een hoofd-datacenter naar een uitwijk-datacenter. Het gaat nu om de ultieme noodsituatie die leven of dood van de organisatie kan betekenen.

Ook wanneer men weer operationeel kan zijn, is een belangrijk uitgangspunt voor het ontwerp. In veel gevallen kiezen bedrijven voor een periode van 24 uur om weer voor de buitenwereld aanspreekbaar te zijn. Dat is ook nog uit te leggen aan klanten en media. Maar hoe is dat proces te automatiseren? Is er een gegarandeerde aanwezigheid van hoog gecertificeerde veiligheidsmedewerkers? Sommige bedrijven kiezen er zelfs voor om twee geografisch gespreide geïsoleerde gouden data-omgevingen te realiseren om zo elke calamiteit, bijvoorbeeld een ultieme fysieke aanval op het geïsoleerde datacenter, uit te sluiten.

Kroonjuwelen
Defensie is een slot op de deur veiligstellen. Om in de ultieme situatie waarin niets meer werkt, toch de kroonjuwelen weten te beschermen. Het zijn geen goedkope oplossingen en het speelt zich af aan het andere kant van het spectrum van open cloud computing en de 24/7 internet-gekoppelde informatiewereld. Het is een wereld die helaas ook bestaat en waar preventie en security-hygiëne prioriteit hebben boven uitwisselbaarheid en openheid. Het gebied waar de Chief Security Officer de scepter zwaait en deze geharde omgeving met militaire discipline dag in dag uit 100% veilig moet weten te houden. Een Security Office dat zelfstandig moet kunnen opereren als de ondersteuning van de rest van het bedrijf mocht uitvallen.

Het is een specifieke markt die deze unieke informatie-omgevingen kan bouwen, inrichten en ondersteunen en daarnaast ook nog certificeringen ondersteunt om deze bescherming onafhankelijk te borgen, op basis van bijvoorbeeld de ‘Targeted Cyber Intrusion Detection and Mitigation Strategies’ van ICS-CERT. De informatiewereld wordt steeds meer onze gewone wereld, dus hebben we ook daar een defensie-industrie nodig.

Door: Hans Timmerman, cto EMC Nederland

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!