Datadiefstal: Gone in 60 Seconds!
Didacticum Solutions
Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk alleen al recentelijk aan de ziekenhuizen, banken, webwinkels en sites voor vreemdgangers, die hiermee in het nieuws kwamen. Als organisatie is het wel het laatste wat je wilt. Het levert, naast alle ingrijpende gevolgen op technisch vlak, ook reputatieschade op. Geen gemakkelijke opgave daar weer bovenop te komen! Deze datadiefstal en ontwikkelingen zoals cloud, wetgeving en BYOD vragen om een eenvoudige, schaalbare en contextonafhankelijke beveiliging die verder gaat dan alleen systeem-en netwerkbeveiliging.
Minuten versus Maanden Uit onderzoek van Verizon[1][2] blijkt dat een hacker in het grootste deel van de aanvallen slechts enkele minuten nodig heeft om data te stelen. Dit staat in schril contrast tegen de weken of maanden die de meeste bedrijven nodig hebben om de aanval te ontdekken en het gat te dichten. Dit wordt duidelijk weergegeven in figuren 1 en 2.
Figuur 1: Gap tussen compromise en discovery[2]
Op basis van figuur 1 is te zien dat steeds meer aanvallen slagen in minder dan een dag. Diezelfde trend gaat op voor het ontdekken van de aanvallen. In dat kader kan gezegd worden dat bedrijven steeds beter worden in het ontdekken van aanvallen, maar als we kijken naar de trendlijnen zien we dat nog steeds meer dan 70% van de aanvallen die binnen een dag plaatsvinden zelf niet binnen een dag ontdekt worden. Dit wordt nog duidelijker gemaakt in figuur 2.
Pagina 2 van 6
In figuur 2 is te zien dat 85% van de aanvallen binnen enkele minuten succesvol is. Dit is te zien in de eerste regel genaamd “Initial attack to initial compromise”. In de derde regel “Initial compromise to Discovery” staat dat 54% van de aanvallen pas na maanden wordt ontdekt. In de tussentijd wordt de data in vrijwel alle gevallen binnen enkele dagen gestolen.
Figuur 2: Overzicht compromise tot restoration[1]
Trends In de markt spelen meerdere trends die impact hebben op de beveiliging van IT infrastructuren. Een van de grootste trends op dit moment is de cloud. Daarnaast is er ook nieuwe wetgeving.
Cloud Vrijwel elk bedrijf is momenteel bezig met de cloud, of dit nu een public, private of hybrid cloud is. Met de opkomst van de cloud komen er ook andere beveiligingsprincipes. Door de cloud neemt de mobiliteit van applicaties toe. Een applicatie kan mogelijk verplaatst worden tussen de eigen datacentra en de cloud. Verbindingen tussen applicaties kunnen nu tussen de eigen datacentra en de cloud plaatsvinden.
Wetgeving Er spelen vele zaken op het gebied van wetgeving. Zo is recentelijk de nieuwe meldplicht datalekken gepubliceerd door het CPB. Daarnaast heeft het Europese hof bepaald dat de Safe Harbor overeenkomst met Amerika niet geldig is.
Bring Your Own Device en mobiele werkers Door de grote adoptie van mobiel werken en het BYOD concept is het niet meer mogelijk om alleen de kantoren als vertrouwde omgevingen te zien. De werknemers kunnen nu overal vandaan komen en de apparaten waarop gewerkt wordt zijn niet meer te vertrouwen.
Uitgangspunten Pagina 3 van 6
Om het hoofd te bieden aan de uitdagingen en de trends binnen de markt zijn een aantal nieuwe uitgangspunten nodig op het gebied van security 1. 2. 3. 4.
De detectiesnelheid moet omhoog. Data en applicaties moeten beveiligd worden, niet alleen de systemen en netwerken. Security moet blijven staan binnen een veranderende context. Security moet eenvoudig zijn, schaalbaar en overal aanwezig.
Detectie Slechts 15% van de aanvallen wordt binnen enkele dagen ontdekt. Dat betekent dat 85% van de aanvallen pas na weken, maanden of soms zelfs jaren worden ontdekt. Aangezien 60% van de aanvallen binnen enkele uren al bedrijfsdata heeft ontvreemd is er een groot gat te dichten. Voor veel bedrijven is het onbegonnen werk om al het verkeer binnen het datacentrum in de gaten te houden. Daarvoor is er gewoon teveel. Om die reden moet er ook op gebied van detectie een keuze gemaakt worden waar de prioriteiten liggen. Op basis van deze prioriteiten kunnen er keuzes gemaakt worden met betrekking tot de maatregelen die genomen worden. Qua maatregelen zijn er grofweg twee keuzes die significant verschillen in efficiëntie, maar ook in complexiteit. De eenvoudige manier is een netwerkgebaseerde detectie die op basis van voorgedefinieerde patronen werkt. Deze patronen worden door de leveranciers van de beveiligingsapparatuur geleverd. Deze methode is eenvoudig en is in te zetten voor het complete datacentrum, maar is alleen in staat om aanvallen te herkennen die bekend zijn. De andere methode is vele malen complexer en is gebaseerd op gedrag van de applicaties die beveiligd moeten worden. Door exact te weten wat het gedrag is van een applicatie is te herkennen wanneer dit afwijkt van normaal. Dergelijke afwijkingen kunnen een aanwijzing zijn van een aanval. Het is onmogelijk om voor alle applicaties van een bedrijf exact te weten wat normaal gedrag is. Om die reden is deze methode alleen in beperkte mate toe te passen.
Beveilig meer dan het netwerk Veel van onze klanten baseren een groot deel van hun beveiliging op dit moment op klassieke technieken zoals firewalls en intrusion detection systemen. Deze klassieke manier van beveiligen kan het beste vergeleken worden met een kasteel. Er ligt een slotgracht omheen en een hoge muur, maar zodra je deze twee barrières hebt geslecht is de schat zonder problemen te bereiken. De modernere denkwijze over security is het compartimenteren van de omgeving. Dat betekent dat verkeer tussen twee compartimenten steeds door security checkpoints moet, maar ook daar geldt dat zodra je binnen het compartiment bent waar de data te vinden is er vaak geen beveiliging meer is. Om deze reden moet de beveiliging plaatsvinden op applicatie- en dataniveau. Door de data te beveiligen is het mogelijk om eventuele gestolen data nutteloos te maken voor de aanvaller en door de applicatie te beveiligen wordt het moeilijker voor de aanvaller om bij de data te komen. Dit aanvullend op de bestaande beveiligingsmaatregelen.
Pagina 4 van 6
Deze manier van denken is noodzakelijk omdat het niet realistisch is om het grote gat wat nu bestaat tussen de aanval en het ontdekken hiervan terug te brengen naar een tijd waarbinnen datadiefstal tegengehouden kan worden. De tijd tussen de aanval en het ontdekken ervan kan kleiner worden, maar gezien de data meestal in minuten of uren wordt gestolen is dat niet voldoende. Om die reden moeten de applicaties en vooral de data zelf beter beveiligd worden.
Context De context van een applicatie is de omgeving waarin de applicatie zich bevindt. Eigenschappen van de context zijn onder andere de aanwezigheid van beveiligingsmaatregelen en bedreigingen. Een applicatie binnen het datacenter heeft een andere context dan dezelfde applicatie binnen de cloud. Wanneer een applicatie wordt verplaatst vanuit het eigen datacenter naar de cloud mag de beveiliging niet minder sterk worden. Om dit te realiseren moet van elke maatregel precies duidelijk zijn wat het doel is en of het te verplaatsen is naar een andere context. Nog beter is het om beveiligingsmaatregelen te implementeren die contextonafhankelijk zijn. Op deze manier kan de maatregel meebewegen met de applicatie en de data. In theorie is het mogelijk om de verkeersstromen altijd via het eigen datacenter te laten lopen, maar dit heeft als nadeel dat problemen in het eigen datacenter ook effect hebben op de applicaties die in de cloud zijn geplaatst. Dit terwijl deze ontkoppeling juist een van de voordelen is van de cloud. Hierom zijn netwerkgebaseerde oplossingen minder geschikt binnen een omgeving die sterk op clouddienstverlening steunt.
Eenvoud, schaalbaarheid en aanwezigheid Bij toenemende complexiteit neemt ook de kans op menselijke fouten toe. Bij hoge complexiteit bestaat er bovendien de mogelijkheid dat de beveiligingsmaatregel zelf kwetsbaar wordt voor aanvallen. Om die reden moet er gestreefd worden naar oplossingen die de complexiteit zo veel mogelijk beperken. Een ander voordeel van eenvoudige oplossingen is dat ze vaak sneller kunnen worden toegepast, dit zorgt ervoor dat de oplossing ook vaker zal worden toegepast dan een complexe oplossing die veel tijd kost om te implementeren. Dit komt de aanwezigheid van de maatregel ten goede. Een beveiligingsmaatregel heeft meer nut als het ‘pervasive’ is, hiermee wordt bedoeld dat de maatregel op alle plaatsen waar het toegepast kan worden en meerwaarde biedt ook wordt toegepast. Een voorbeeld is het versleutelen van data, als bepaalde data niet overal wordt versleuteld, zowel wanneer het verstuurd, verwerkt en opgeslagen wordt, kan de data toch gestolen worden. Als de versleuteling overal aanwezig is zal dit onmogelijk zijn. Maatregelen moeten ook zo ontworpen worden dat ze mee kunnen groeien met het bedrijf of de applicatie. Dit voorkomt dat er regelmatig nieuwe maatregelen moeten worden genomen om de schaalgrootte aan te kunnen en voorkomt ook dat er een periode is dat de maatregel eigenlijk niet in staat is om de vraag aan te kunnen.
Didacticum Groep De Didacticum Groep is een organisatie die in 1999 is opgericht. Begonnen als een IT opleider op het gebied van IT infrastructuur. Al snel begonnen met consultancy op het gebied van infrastructuur. Sinds enige jaren neemt Didacticum ook projecten aan om de IT infrastructuren van haar klanten te verbeteren. Dit doen wij op basis van het ‘clean – build – manage’ principe, waar we eerst de omgeving in kaart brengen en eventuele legacy opruimen om vervolgens verbeteringen binnen de infrastructuur of nieuwe oplossingen te bouwen en in beheer te geven. Pagina 5 van 6
Didacticum is uniek in de markt in haar combinatie van ICT opleidingen en consultancy. Projecten die door Didacticum aangenomen worden zijn altijd te herkennen aan de combinatie van het leveren van de oplossing én de kennis. Meer weten over de mogelijkheden voor uw organisatie op het gebied van security? Neem contact op met onze salescollega’s via 010 - 447 10 33
Over de auteur Drs. Ing. Michael van Kleij is de Solution Delivery Manager binnen Didacticum voor het vakgebied netwerken en security. Hij is de winnaar van de Joop Bautz Information Security Award 2009 en is zowel CCNP als CCDP gecertificeerd. Michael is sinds 2009 in dienst van Didacticum.
Colofon Organisatie: Bezoekadres: Telefoonnummer: Contactpersoon: Mobiel telefoonnummer: E-mailadres: Auteur(s):
Didacticum Solutions B.V. Rivium 1e straat 99, 2909 LE Capelle a/d IJssel +31 (0)10 447 10 33 Michael van Kleij 0610653191
[email protected] Michael van Kleij
Bronnen [1] Verizon Data Breach Investigations Report 2012, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012ebk_en_xg.pdf [2] Verizon Data Breach Investigations Report 2015, http://www.verizonenterprise.com/DBIR/2015/ [3] College Bescherming Persoonsgegevens, Beleidsregels Meldplicht Datalekken, https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
Pagina 6 van 6
