Michel Harberts, Solution Architect Security ing. Nyree Lemmens Ph.D., IT Business Manager
Top 5 “verrassende” IT- security Issues (en wat kan eraan gedaan worden)
In dit whitepaper belichten we 5 IT- security issues die je, al dan niet, zouden kunnen verrassen. Ook geven we een grove gemiddelde inschatting van het risico dat bedrijven per punt zouden kunnen lopen. Onthoud dat het een inschatting betreft en dat in meer of mindere mate het risico per individueel bedrijf kan verschillen. Last but not least geven we enkele adviezen op welke manieren risico’s beperkt kunnen worden.
Inhoudsopgave Inleiding 1. De eindgebruiker maakt of breekt security 2. Cyber attacks zullen in kwantiteit maar vooral in kwaliteit toenemen 3. Bring Your Own Device (BYOD) maakt figuurlijke gatenkaas van je netwerk 4. Cloud Opslag is handig maar kan addertjes hebben 5. `The internet of things’ komt eraan; alles geconnecteerd! Samenvatting
Inleiding “There’s no such thing as `secure’ anymore” Deborah Plunkett, US National Security Agency’s (NSA) Information Assurance Directorate
“G Data ontdekt Russische spionage-malware” “Google schroeft beveiliging Android-apps op” “Adobe dicht zeroday-lek in Flash-speler” “Kijk uit met open WiFi-netwerken” “Defensie gaat hackers trainen” Op 19 maart 2014 zijn dit de laatste 5 security-issue berichten op een ICT nieuwswebsite wanneer je zoekt op het woord `security’. Het geeft een mooi beeld wat IT- security tegenwoordig betekent: informatie-, computer-, applicatie-, netwerk- en identiteit- beveiliging. Kortom: alle processen en mechanismen waarmee computer-gebaseerde hardware, informatie en diensten beschermd worden tegen ongewilde en ongeautoriseerde toegang, verandering of vernietiging1. Bedenk bij bovenstaande artikeltitels ook: dit zijn berichten die gepubliceerd zijn. De harde werkelijkheid is dat security issues veelvuldig voorkomen bij elke organisatie maar niet perse bekend gemaakt worden. Het feit dat security issues ontstaan is onfortuinlijk maar niet onoverkomelijk. Dat heet: als de issues ontdekt worden. Stelling: “Onze IT is 100% veilig!” Antwoord: “Misschien dan nog maar een keer onderzoeken.” Feit is namelijk dat een, op het eerste gezicht, onschuldige e-mail van je bank of het eenvoudig bekijken van een van je favoriete websites genoeg is om een IT- security bedreiging te veroorzaken op het netwerk. Zonder het te beseffen kunnen kwaadwillende derden toegang krijgen tot je (online) identiteitsgegevens, netwerktoegang verkrijgen en je data stelen. De consequenties kunnen vergaand zijn; identiteitsdiefstal, verlies van bedrijfsreputatie, verlies van intellectueel eigendom etc. Preventieve maatregelen en noodscenario’s in geval van een issue zijn dus ten zeerste aan te bevelen!
1
http://en.wikipedia.org/wiki/IT_security
1. De eindgebruiker maakt of breekt security “Vandaag de dag wordt een grote hoeveelheid data, al dan niet bewust, gedeeld zonder dat deze activiteit ontdekt of bekend wordt.” Bedrijven moeten weten aan wie welke data wordt “gegeven” en hoe die data beschermd wordt. Het betreft data die via papier, USB-stick, e-mail e.d. verspreid of meegenomen wordt of via het netwerk beschikbaar is. Een andere reële mogelijkheid is medewerkers die het bedrijf, om wat voor reden dan ook, verlaten en mogelijk data met, al dan niet kwaadwillende, derden delen. Dergelijke lekken kunnen een probleem vormen voor het intellectueel eigendom en privacy. Ook de online identiteit staat vaak op de tocht. Het verkrijgen van gebruikersgegevens via sociale netwerken, phishing e.d. is in toenemende mate een probleem aan het worden. Bovendien hebben de gebruikers met de meeste rechten (e.g., hoger management, administrators) vaak de minst strikte limitaties. Ofwel omdat er taboe rust op het limiteren van hoger management ofwel omdat er gedacht wordt dat deze gebruikers zich bewust zijn van de gevaren. (Hint: vaak is dat niet zo!) Bovenstaande zaken bieden veel, en moeilijk te detecteren, mogelijkheden voor kwaadwillende derden. En vaak zijn eindgebruikers zich niet bewust van deze zaken! Risico Advies: awareness training rechten-limitatie (e.g., alleen benodigde rechten) voor alle gebruikers gecontroleerde, afgeschermde omgevingen (zogenaamde `sandboxes’)
2
2. Cyber attacks zullen in kwantiteit maar vooral in kwaliteit toenemen “Een kerncentrale die via internet met een virus geïnfecteerd wordt kan rare dingen doen.” De informatisering van de samenleving gaat onverminderd door. Hoe groter de “IT massa”, hoe aanlokkelijker het is voor kwaadwillende derden om er misbruik van te maken. In vergelijking met vroeger kan dat nu ook “makkelijker” omdat (sociale) data en infrastructuren op afstand bereikbaar zijn via het internet. Niet up-to-date software en/of omgevingen blijven vatbaar voor ontdekte en vaak publiek-bekende `lekken’. Een voorbeeld gaat zich binnenkort voordoen voor bedrijven die de werkstations nog steeds op Windows XP hebben draaien. De support van Microsoft gaat stoppen. Er zullen geen security updates meer uitgebracht worden en eventuele toekomstige lekken zullen dus eeuwig misbruikt kunnen worden. Aldus Cisco (wereldmarktleider in networking): “75% van het MKB loopt tenminste 1 virus per jaar op” Bedenk ook, dat zelfs al zijn al deze zaken up-to-date, dan kunnen zogenaamde `Distributed Denial of Service’ (DDoS) aanvallen de infrastructuur toch lam leggen. De hoeveelheid en vooral kwaliteit van de aanvallen zal toenemen. Desondanks hebben veel bedrijven (nog) geen preventieve maatregelen genomen, is er soms zelfs geen benul dat er een mogelijk gevaar is, en bestaan er geen (nood)plannen bij het optreden van een incident.
Risico: Advies: preventieve maatregelen, zoals o regelmatige (security) updates o monitoring o awareness training incident response plannen
3
3. Bring Your Own Device (BYOD) maakt figuurlijke gatenkaas van je netwerk “De snelle toename van Android en iOS apparaten vergroot het aantal aanvalswegen drastisch!” De komst en het toestaan van persoonlijke mobiele apparaten op het bedrijfsnetwerk vergroot de productiviteit van medewerkers aanzienlijk. Echter, het geeft ook additionele mogelijke toegang voor derden tot het bedrijfsnetwerk en de bedrijfsdata. De veiligheid en verscheidenheid aan apps op de apparaten is respectievelijk onbekend en enorm. Een app kan bijvoorbeeld toegang hebben tot de microfoon en camera van het apparaat en zo, zonder dat de eindgebruiker dat weet, zaken horen en zien die eigenlijk privé dienen te blijven. Los daarvan is het maar de vraag hoe veilig de toegang tot het device is. Heeft u bijvoorbeeld een toegangscode ingesteld voordat toegang tot het apparaat gegeven wordt? Wat doet u als u het apparaat verliest? Risico: Advies:
awareness training opstellen gebruikers policies gecontroleerde, afgeschermde omgevingen (zogenaamde `sandboxes’) gecontroleerde apps monitoring (e.g., Mobile Device Management (MDM))
Voor meer informatie over BYOD zie ook het whitepaper `Waar het echt om gaat bij Bring Your Own Device (BYOD)’, http://bit.ly/1hB7xft
4
4. Cloud Opslag is handig maar kan addertjes hebben “Globale cloud opslag wordt als onveilig ervaren onder meer door het nieuws van een aftappende NSA.” Cloud Opslag is een verzamelnaam voor door derde partijen gehoste virtuele opslag. Cloud Opslag is de hype van dit moment. Echter, heeft een bedrijf geen weet van welke data, en hoe gevoelig deze is, door een gebruiker op publieke Cloud Opslag gezet wordt. Globale, publieke Cloud Opslag wordt daarmee een verlokkelijk doelwit voor kwaadwillende derden. Los daarvan is de opslaglocatie voor Clouddiensten van belang. Een voorbeeld ontstaat direct uit de zogenaamde `Patriot Act’ van de Verenigde Staten namelijk: opslag die zich binnen de grenzen van de VS bevinden zijn automatisch toegankelijk voor specifieke overheidsdiensten van de VS, zonder gerechtelijk bevel, ongeacht vertrouwelijkheidsniveau. Risico: Advies:
awareness training regionale/lokale Cloud Opslag monitoring wie toegang heeft security protocollen review
5
5. `The internet of things’ komt eraan; alles geconnecteerd! “Domme technologie wordt alsmaar slimmer en zal de security dreiging alleen maar vergroten” `The internet of things’ verwijst naar het verbinden van alledaagse apparatuur met onze netwerken en internet. In eerste instantie zal het verbinden van een koelkast niet direct een veiligheidsrisico vormen. Maar hoe slimmer een apparaat wordt, hoe meer toegang een apparaat krijgt. Op de korte termijn kan gedacht worden aan beveiligingscamera’s die met het netwerk verbonden worden, bluetooth luidsprekertjes e.d. Toegang tot dergelijke apparatuur kan een kwaadwillende derde veel nuttige informatie opleveren (e.g., patronen in aanwezigheid, toegang tot het netwerk via het apparaat). Een additioneel groot probleem met dergelijke apparatuur is dat monitoring en/of notificatie bij misbruik (nog) niet tot nauwelijks beschikbaar is. Risico: Advies: awareness training bedrijfs-geselecteerde apparatuur
6
Samenvatting: `ignorance is not bliss’ in IT- security land Hoevaak telt u het woord `awareness training’ in bovengenoemde 5 IT- security issues? De sleutel tot een veilige IT omgeving is eerst en vooral bewustzijn. Veel organisaties denken met het aankopen en configureren van security technologie veiligheid te kopen. “Set it and forget it” is de gedachte. In bepaalde mate is dat ook zo. Onder meer monitoring, hardware en software controle, afgeschermde omgevingen en toegangsbeleid hebben elk een belangrijke rol te spelen in IT- security. Het geeft een preventieve `first line of defense’. Echter, als de eindgebruikers, onwetend, onzorgvuldig met de geboden faciliteiten en data omgaan, is het hek van de dam wat betreft veiligheid. Het is dus essentieel dat de eindgebruiker zich bewust is van veiligheid en zich wilt houden aan gebruikersbeleid.
7
Make your IT agile Over KEMBIT Andere tijden vragen om een andere benadering. Informatie Technologie moet u niet binden, maar moet juist meebewegen met die veranderingen. KEMBIT anticipeert op marktontwikkelingen en zet uw IT vraagstukken om in kansen voor uw business. Onze aanpak is erop gericht uw organisatie met behulp van onze IT expertise optimaal te laten presteren, nu en in de toekomst. Mede door de sterke focus op de inhoudelijke en persoonlijke ontwikkeling van onze circa 100 medewerkers, levert KEMBIT al sinds 1996 hoogwaardige IT-professionals en IToplossingen. Onze kennis en kunde zetten wij in voor een breed spectrum van organisaties, variërend van lokale MKB bedrijven tot grote landelijk opererende bedrijven en multinationals. De organisatie opereert vanuit drie locaties te weten, Kasteel Wijnandsrade, Chemelot Campus in Geleen en de High Tech Campus in Eindhoven. Onze vier disciplines IT Services IT Development IT Consultancy IT Knowledge Center Meer weten? Discussiëren over dit E-book? Neem contact met ons op via onderstaande gegevens of ga naar onze website.
KEMBIT Kasteel Wijnandsrade Opfergeltstraat 2 6363 BW Wijnandsrade KEMBIT High Tech Campus High Tech Campus 41 5656 AE Eindhoven +31 (0) 45 - 524 10 21
[email protected] www.kembit.nl
8