Beheer

Security
Versleuteling

Encryptie: een zegen én een obstakel voor beveiliging

Balanceren tussen openheid en vertrouwelijkheid

© Shutterstock
4 maart 2019

Balanceren tussen openheid en vertrouwelijkheid

Encryptie kan voor een betere beveiliging zorgen, maar het bemoeilijkt ook netwerkmonitoring en dus de effectiviteit van diezelfde beveiliging. Daar komen ook nog eens de eisen van de AVG aan de privacybescherming bij. Christian Prickaerts legt uit hoe securityteams toch effectief hun werk kunnen blijven doen.

Goed detecteren van securityincidenten is het gevolg van een slimme combinatie van netwerkmonitoring, logmonitoring en endpointmonitoring. Met name netwerkmonitoring wordt echter lastiger door de groeiende inzet van versleuteling. Op zich is die inzet positief, want het voorkomt het afluisteren van verkeer door criminelen en spionnen. Maar tegelijkertijd is versleuteling een securitybelemmering, omdat de inhoud van het verkeer ontoegankelijk wordt voor monitoring. Toch is met een slimme combinatie van netwerk-/log-/endpointmonitoring adequate detectie mogelijk, terwijl de privacy van medewerkers voldoende wordt gewaarborgd.
 

De paradox ‘vertrouwelijkheid óf openheid’ wordt veroorzaakt doordat de inhoud van een versleutelde gegevensstroom door niemand meer te bekijken is – dus ook niet voor securityspecialisten. Als er in die stroom malware zit, of op een andere manier een aanval wordt voorbereid, zien zij dat dus ook niet. Met als consequentie dat een mogelijke aanval over het hoofd wordt gezien. Daarbij speelt nog een aspect. In de kern draait security om beschikbaarheid, integriteit en vertrouwelijkheid. De focus ligt nu meestal, mede vanwege de AVG, op vertrouwelijkheid. Privacy staat voorop en als de data goed versleuteld zijn, is de privacy gegarandeerd. Maar als de inhoud niet te bekijken is, valt er ook niets te zeggen over de integriteit. Zijn de gegevens aangetast en zo ja in welke mate? Zolang de data versleuteld blijven, komen we er niet achter. 

Specialistische kennis 

Inmiddels zijn er securitytools verkrijgbaar die verdachte patronen in versleutelde communicatiekanalen kunnen opsporen. Alleen gaat dat nooit zo snel en betrouwbaar als de analyse van onversleutelde kanalen. De patroonherkenning van versleutelde kanalen kan kleine afwijkingen missen. Vaststellen of er wat aan de hand is, blijft daarbij een uitdaging. Deze securitytools hebben zeker nut en de bruikbaarheid hangt daarbij voor een deel af van goede intelligence: informatie over de werkwijzen van de cybercrimineel. Wie weet hoe cybercriminelen te werk gaan, kan zich immers veel beter tegen hen beveiligen. Verder vraagt het op de juiste manier inzetten van deze tools specialistische kennis, bijvoorbeeld van machine learning. De gemiddelde organisatie zal die expertise niet in huis hebben, maar zal experts inhuren of de analyse uitbesteden. 

Niet machteloos

Versleuteling kan dus belemmerend werken bij het detecteren van incidenten en het bepalen van de ernst daarvan. Het kan forensisch onderzoek frustreren en zelfs ineffectief maken. Toch betekent het feit dat verkeersstromen versleuteld zijn, niet automatisch dat securityteams machteloos zijn en er helemaal niets meer mee kunnen. Alleen is het wel zo dat we met behulp van monitoring hoe dan ook minder inhoudelijk naar versleutelde data kunnen kijken. Voor een aantal van onze klanten is dat ook een reden geweest om de te beschermen diensten zo in te richten dat wij – als securityteam – nog steeds ontsleuteld verkeer ter beschikking krijgen voor inspectie. 

Aanpak van het dilemma

Het dilemma ‘vertrouwelijkheid óf openheid’ is op drie manieren aan te pakken. Het doel is om te komen tot een combinatie van netwerk-, log- en endpointmonitoring. Versleuteling zit de netwerkmonitoring in de weg en je zou ervoor kunnen kiezen om versleuteling op een bepaald punt te onderbreken.

  • Kijk allereerst of, en zo ja waar, het mogelijk en wenselijk is om de encryptie te onderbreken. Dat kan het beste in overleg/samenwerking met de klant om vast te stellen welke risico’s er zijn, welke data beslist versleuteld moeten worden en welke niet. Selectief versleutelen maakt het werk van het securityteam in elk geval wat eenvoudiger.
  • Ten tweede: als toegang tot onversleutelde data niet mogelijk is, kan nog steeds onderzoek plaatsvinden, maar is de opbrengst hoogstwaarschijnlijk beperkter. Bij logmonitoring speelt versleuteling geen rol. 
  • De derde manier is het verplaatsen van de software die de verkeersstroom monitort naar bijvoorbeeld de computer van de gebruiker (endpoint). De gebruiker heeft immers toegang tot de verkeersstroom, nadat die ontsleuteld is. Deze aanpak geeft weer zicht op de data, maar is in principe ook een (mogelijk grotere) inbreuk op de privacy van de gebruiker. Zeker als software meekijkt op de computer, om te zien of er wordt ingebroken. Dit is te vergelijken met walkietalkies die de communicatie tussen de apparaten versleutelen, terwijl de gebruikers op het apparaat zelf alles gewoon kunnen horen. Door mee te kijken op de computer van de medewerkers en het uitvoeren van een gedragsanalyse, kunnen malafide zaken daar direct worden gesignaleerd en is verder onderzoek mogelijk. 

Hoe zwaar weegt security?

Zomaar de zichtbaarheid van de interactie van medewerkers regelen, zal zeker niet goed vallen. De legitieme reden hiervoor is dus cruciaal: hoe zwaar weegt de securityreden en rechtvaardigt die deze aanpak? In feite verschuift met de inzet van versleuteling van verkeersstromen het moment waarop je het effectiefst kunt zien wat een cybercrimineel doet. De eerste vraag is dan wat er gemist zou worden als de verkeersstroom versleuteld zou blijven en welke risico’s dat oplevert voor de desbetreffende organisatie. Dit kan alleen in overleg tussen organisatie en securityexpert in kaart gebracht worden, zodat er een goede afweging kan plaatsvinden. 

Minimaliseer de impact op de privacy

Als de keuze dan valt op meekijken, zijn er mogelijkheden om de impact daarvan op de privacy te minimaliseren. Denk aan de selectie en screening van de securityexperts en meer technische maatregelen, zoals accountability doorvoeren en werken volgens least privilege- en need-to-knowprincipes. Vergelijk het met hoe de omgang met een medisch dossier is geregeld. Let wel, dit zijn geen principes die specifiek samenhangen met endpoints, maar die algemeen gelden voor werkzaamheden die een mogelijke inbreuk op privacy tot gevolg kunnen hebben.
 
Verder is het belangrijk om zo veel mogelijk geautomatiseerde processen te gebruiken om te bepalen waar een securityanalist naar moet kijken. Samen met goede informatie over aanvalsmethoden van cybercriminelen, kun je er dan voor zorgen dat de inbreuk op privacy door analisten beperkt blijft tot alleen die momenten die nader geanalyseerd moeten worden. We kunnen daarnaast nog een aantal anonimiseringsmaatregelen treffen, zodat bij een rapport de informatie niet herleidbaar is naar een specifieke gebruiker. 

Toegang formeel regelen

Waar vervolgens vanuit securityperspectief naar gekeken moet worden, kan behoorlijk gedetailleerd zijn: programma’s die worden opgestart, website- en netwerkverbindingen, gebruikersnaam, kenmerken van bestanden (hashwaarden), opslaglocaties, registersleutels, et cetera. Een endpointagent die op het besturingssysteem is geïnstalleerd, is de meest geschikte software om dit te bekijken. Voorbeelden zijn Fox-IT Endpoint, Carbon Black, Crowd Strike of ESET.  
 
Klantorganisaties kunnen formeel regelen dat de securityspecialisten in het kader van incidentonderzoeken op deze manier naar data mogen kijken. In bewerkersovereenkomsten kan dan worden omschreven hoe deze specialisten met de data dienen om te gaan. Dit geldt overigens ook voor de andere vormen van monitoring.

Acceptabele balans

Het is niet altijd eenvoudig om een uitgebalanceerde afweging te maken tussen security en privacy. Toch worden we – securityleveranciers én hun klanten – door technische vooruitgang gedwongen deze discussie steeds vaker te voeren. Vanuit securityoogpunt is het nodig om te weten dát er gecommuniceerd wordt, door wie en wat er dan gecommuniceerd wordt. Voor detectie van cyberaanvallen is inspectie van alle drie het ideale scenario.  
 
Met de hierboven beschreven aanpak en maatregelen is het mogelijk om een bruikbare én acceptabele balans te vinden om dichter bij dat ideale scenario te komen. Dat kost natuurlijk wel geld en moeite. Is het alle moeite wel waard? In feite: wat is de uiteindelijke securitywinst en wat mag die kosten? Dat laatste hangt nauw samen met het risicoprofiel en de gevoeligheid of de waarde van de informatie die beschermd moet worden. Voor de inrichting van de oplossing moet altijd op grond van deze aspecten een afweging worden gemaakt. Voor wie het zelf wil regelen, is in de regel technologie niet de grootste kostenpost. Het meeste geld gaat naar de experts die in staat zijn om de juiste informatie te verzamelen en te analyseren. De uiteindelijke winst is minder risico op infiltratie, verstoring en dataverlies.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (nummer januari / februari, 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.