Beheer

Security
Don Smith

IT na corona: Bestaande security-ontwikkelingen komen in stroomversnelling

Identity wordt steeds belangrijker binnen security.

Don Smith © Secureworks
10 juni 2020

Identity wordt steeds belangrijker binnen security.

Welke veranderingen maakte IT tijdens de coronacrisis door, en welke van die veranderingen zijn blijvend? AG Connect vroeg experts met verschillende specialismen naar hun visie. Vandaag Don Smith, senior director cyber intelligence bij Secureworks, in deel 3 van de rubriek 'IT na corona'.

Don Smith leidt bij Secureworks één van de teams van de Counter Threat Unit. Binnen de Counter Threat Unit wordt met tachtig mensen onderzocht hoe een dreiging er precies uitziet. Die kennis wordt vervolgens toegepast om klanten en partners te beschermen. Smith leidt als Senior Director Cyber Intelligence het deel van de afdeling dat onderzoek doet. Volgens hem verandert de coronacrisis de houding van veel security-mensen en worden al bestaande ontwikkelingen door de crisis versneld.

Welke impact heeft de coronacrisis en het thuiswerken gehad op security?

“Het is allemaal behoorlijk interessant geweest. De coronacrisis is het grootste nieuwsonderwerp, en grote nieuwsonderwerpen worden door cybercriminelen veel gebruikt als onderwerp voor bijvoorbeeld phishing. In het verleden zag je bijvoorbeeld dat veel phishing-berichten toegespitst werden op beroemdheden als zo’n beroemdheid veel in het nieuws was geweest. Dit jaar zie je dat dat de dreigingsactoren Covid-19 als onderwerp gebruiken.”

Heeft de coronacrisis ook tot
meer cybercriminaliteit geleid?

“Je ziet wel berichten dat er meer aanvallen zijn, maar dat zien wij zelf niet. Het lijkt er niet op dat er echt meer criminelen bij zijn gekomen. Het is dezelfde groep en het algehele dreigingsniveau van dingen als phishing is hetzelfde gebleven. Maar ik denk wel dat er een groter risico is, omdat bedrijven hun infrastructuur opeens heel snel aan hebben moeten passen. Volgens mij is er dan ook een lichte stijging in het aantal succesvolle aanvallen. Maar dat is volgens mij meer het gevolg van een verandering in security. Het is niet zo dat er opeens duizend nieuwe criminelen zijn opgesprongen in Rusland of Azië.

Wel zien we dat er meer mensen scannen naar open RDP (Remote Desktop Protocol) verbindingen, waarmee je op afstand in kunt loggen op een server. Ze proberen dan misbruik te maken van bedrijven die opeens thuiswerken mogelijk moesten maken, hun infrastructuur niet goed beschermd hebben en daarmee meer infrastructuur naar buiten toe blootstellen dan normaal gesproken. Daarnaast zien we signalen van gerichte aanvallen op farmaceutische bedrijven die werken aan Covid-19-medicatie. We weten alleen niet zeker of dit nieuw is, of dat de al bestaande gerichte aanvallen op farmaceutische bedrijven zijn.”

Zijn er ontwikkelingen die je verrast hebben?

“Hetgeen wat me het meeste heeft verbaasd, heeft niet zozeer met security te maken. Ik heb me echt verbaasd over hoe snel enterprises zich hebben aangepast aan op afstand werken. Covid-19 is een positieve invloed geworden om toch veranderingen door te voeren. Zo is security nu opeens een ‘enabler’ geworden voor modern enterprises, in plaats van dat dit het team was dat zei: ‘dit kun je niet doen, dat is te risicovol.’ Het heeft security-teams de mogelijkheid gegeven om te zeggen dat ze iets juist wél mogelijk kunnen maken, op een veilige manier.”

Heeft de coronacrisis ook positieve veranderingen binnen security teweeggebracht?

“Identiteit is tegenwoordig een groot onderdeel van security. Mensen zeggen al jaren dat identiteit de nieuwe parameter is. Vijf jaar geleden had je al een concept wat de ‘extended enterprise’ genoemd werd, waarbij een aantal mensen thuiswerkten en de tools – bijvoorbeeld Salesforce en Office365 - buiten het bedrijf stonden.

Maar nu is pas duidelijk in hoeverre de wereld veranderd is. Het is relatief gemakkelijk om thuis te werken en op veilige wijze toegang te krijgen tot bedrijfsinformatie. Daarbij draait het niet langer om waar die informatie precies staat. Het maakt niet uit of de data in het netwerk staat en jij daar ook in zit. De vraag die security controls nu stellen is wie ben jij, waar kom je vandaan en mag ik je toegang geven tot deze informatie? Die data kan dan een SaaS-dienst zijn, maar ook iets binnen de infrastructuur van het bedrijf zelf zijn.”

Maar als dat al zolang bestaat, wat is er dan nieuw aan in de coronacrisis?

“We realiseren ons nu pas dat de belangrijkste security control die je hebt, degene is die je gebruikers identificeert en verifieert. Hoe bescherm je jezelf in een wereld waar je niet over alles de controle hebt? Dat komt allemaal neer op identiteit als nieuwe parameter.

Covid-19 is echt een katalysator geweest voor mensen die dit soort technologieën omarmen, maar heeft er ook voor gezorgd dat mensen zich realiseren hoe krachtig de dingen zijn die ze eigenlijk al in hun beveiliging hadden zitten. Als je een goede identiteitsprovider hebt, dan heb je een enkel auditpunt, een enkel punt voor multifactor authentication en een enkel punt voor adaptive authentication. Je kunt verificatie dus verenigen. Denk aan Office 365: mensen gebruiken dat voor mail, maar kunnen het ook gebruiken om zich bij andere diensten te identificeren.”

Welke effecten heeft dat op de securitywereld?

“Dit betekent dat een generatie van security professionals die opgegroeid zijn met firewalls, routers en switches opeens goed om moeten kunnen gaan met security controls op een veel hoger niveau. Zij zien nu mensen met iPads werken en dat mensen niet eens meer in de buurt komen van de zwaarbeveiligde netwerkinfrastructuur van het bedrijf. Zij kunnen zich nu afvragen hoe je dat goed beveiligd. Ze beheren in tegenstelling tot vroeger niet langer het apparaat dat de gebruiker inzet én niet waar de data zelf staat. Maar dat doe je dus met identiteit, waarmee je in feite een geheel nieuwe parameter opzet.”

Is dit iets waar we voorzichtig mee moeten zijn?

“De onderliggende technologieën hiervoor zijn complex. Kijk bijvoorbeeld naar OAuth, dat onder meer door Facebook gebruikt wordt. In theorie is dit een simpel systeem en de implementatie is ook erg gemakkelijk, omdat er allerlei libraries voor bestaan. Maar als je er echt verder induikt en ook maar een klein foutje maakt, dan kun je kwetsbaar zijn voor mensen die het systeem willen misbruiken.

Ik zeg al heel lang: security gaat meer richting tokens dan naar sessies. Dus het beheer van de beveiligingstokens die systemen gebruiken, wordt heel belangrijk voor de security-teams van de toekomst. Dat terwijl het vroeger veel meer om de gebruikerssessies en het beschermen daarvan draaide. Mijn zorg is dat het heel gemakkelijk is om een complex ecosysteem te maken van applicaties, gebruikers en software-providers, maar het is een stuk ingewikkelder om de beveiliging van het geheel te begrijpen.”

Wat gaat er volgens jou permanent door de crisis veranderen?

“Deels is dat we identiteit veel meer als parameter gaan gebruiken. Daarnaast evalueert iedereen nu hoe ze voor de crisis als persoon werkten. Ik denk dat mensen zich daardoor nu realiseren dat ze vanuit huis kunnen werken en dat ook nog eens erg effectief kunnen. Dat past beter bij hun gezin en hun levensstijl, en het schuurt met het leven op kantoor. De grote winnaars daarvan zijn natuurlijk de tools voor videoconferencing. Het is gemakkelijk om als team te werken en je een team te voelen.

Natuurlijk heeft dit ook nadelen. Het is geen vervanging voor zes mensen die samen in een ruimte een probleem bespreken. Maar het is wel heel interessant om te zien hoe mensen evalueren hoe ze werken als alles weer terug naar normaal gaat.

Dit is ook een belangrijk moment voor security-teams. De effectieve teams hebben zich gerealiseerd dat dit hun kans is om de ‘yes man’ en niet de ‘no man’ te zijn. Ze kunnen het juist nu mogelijk maken om veilig vanaf andere plekken ter werken.”

Heb je advies voor andere IT-managers om het hoofd boven water te houden tijdens de crisis?

“Op strategisch niveau is het van belang dat je je normen onder de loep neemt. Als er iemand naar je toekomt met een idee dat je zes maanden geleden nog vreemd vond, is dit juist het moment om er toch naar te luisteren. We leven nu in een wereld waar je creatief moet zijn voor oplossingen die flexibel werken ondersteunen. Degenen die creatief zijn in dat ondersteunen, zijn degenen die het meest succesvol zijn.

Op een tactisch niveau zijn er delen van de infrastructuur die nu kwetsbaarder zijn. Denk aan oplossingen voor toegang op afstand. Als dat gebouwd is met het idee dat het af en toe beschikbaar moest zijn en niet met het idee dat het altijd moet kunnen draaien, dan levert dat natuurlijk problemen op. Dat soort dingen staan op servers, die onderhouden en gepatcht moeten worden. Als je voor Covid-19 had kunnen plannen, dan had je daar twee van gehad. Eén daarvan is de back-up. Maar je hebt er maar één, want het systeem was alleen als extraatje bedoeld. Je moet nu dan dus gaan besluiten of je gaat updaten en de toegang tot legacy-apps een half uur of zelfs langer ontzegd, of de boel kwetsbaar laat. Daar zitten dus echt wat uitdagingen in. Ik geef als advies om toch wel te patchen, want we weten dat de criminelen echt zoeken naar kwetsbaarheden.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.