Beheer

Security

leren van 
spionagediensten

21 januari 2013

Tijdens het beveiligingscongres RSA Europe 2012, dat in de tweede week van oktober in Londen werd gehouden, waren de meeste IT-beveiligingsexperts het er wel over eens: IT-beveiligers moeten uit een ander vaatje gaan tappen. Ira Winkler, jarenlang in dienst bij de Amerikaanse geheime dienst NSA en tegenwoordig chief security strategist bij Codenomicon, legde uit wat spionagediensten IT-beveiligers kunnen leren.

Winkler wijst er op dat zelden of nooit – afgezien dan van WikiLeaks – informatie naar buiten lekt uit de enorme databases van nationale veiligheidsdiensten. “Ze hebben net zo goed beperkte budgetten voor hun IT-beveiliging als gewone organisaties en ze beschikken ook over enorme hoeveelheden data. Maar zij beschermen die heel goed. Dat komt doordat ze daarvoor veel betere processen hebben die ook al tientallen jaren worden gebruikt, en doordat ze veel meer doordrenkt zijn van een beveiligingscultuur. Terwijl IT-beveiligingsprogramma’s zelden goede processen hebben”, zegt Winkler.

Doelgericht achter de vijand aan

Geheime diensten verzamelen informatie over mogelijke vijanden en dat doen ze zeer doelgericht en gestructureerd. Daar zit de crux, zegt Winkler. Want de gemiddelde IT-beveiliger volgt pas na een probleem het spoor van de mogelijke daders. Beter is om je risico’s van tevoren te bedenken en dan informatie te verzamelen of er daadwerkelijk iets aan de hand is. De hoeveelheid aanvallen is tegenwoordig zo groot, dat reactief acteren domweg amechtig achter de feiten aan hollen is. Winkler: “Inlichtingendiensten geven een duidelijke opdracht, zoals: vind mogelijke nieuwe communicatiesignalen. Dan wordt bijvoorbeeld een groep onderzoekers in een klein bootje naar de Perzische Golf gestuurd, die daar signalen probeert op te pikken voor de kust van Iran. De verzamelde gegevens worden geanalyseerd, waarna geëvalueerd wordt wat die kunnen betekenen. Dan volgt vaak een volgende opdracht om nader uit te zoeken door wie en waarvoor die signalen gebruikt kunnen worden. En begint weer precies hetzelfde proces.”

Dat is volgens hem ook de reden waarom de Chinezen momenteel zo succesvol zijn bij hun cyberaanvallen en -spionage. “Ze zijn gedisciplineerd. Ze hebben duidelijke doelen waar ze zich op concentreren en werken volgens de methodes van hun geheime diensten.”

Identificeer zwakke plekken

Leidend is dus: wat wil je te weten komen, wie kan dat het beste uitzoeken en hoe? Vervolgens moet de waarde van die informatie worden bepaald en moet beoordeeld worden of aan de beginvraag is voldaan. Zo werken de forensische experts van IT-beveiligers maar zelden, volgens Winkler.

“Je moet kijken wie de vijand is en wat hij aan het doen is. De traditionele focus is gericht op dreigingen en dus op de zwakke plekken in je verdediging. Bepaal welke zwakke plekken een grote kans hebben om misbruikt te worden en repareer die. Want hoe geavanceerd de aanvallers ook te werk mogen gaan, als de zwakke plekken er niet meer zijn, kunnen ze niets meer. Daarbij moet wel gekeken worden of het qua kosten de moeite waard is. Je moet je tegenmaatregelen dus prioriteren, want je middelen zijn beperkt.”

Kies meer methodes

Maar ook van belang is welke methodes je kiest om je informatie te verkrijgen. Bovendien, zo stelt Winkler, moet je meerdere methodes tegelijk gebruiken. “Want als je maar één bron gebruikt en die is misleidend, dan heb je niets aan de informatie.” Daarbij is HUMINT(Human Intelligence) de meest sensitieve en waardevolle methode. Hierbij wordt informatie verzameld met behulp van persoonlijk contact. SIGINT (Signals Intelligence) is veruit de meest betrouwbare methode. Hierbij wordt gezocht naar signalen tussen mensen en elektronische signalen en de combinatie daarvan.

Winkler wijst er echter ook op dat de computer een steeds belangrijkere bron van informatie wordt. “Uiteindelijk komt alle informatie op een computer terecht. Belangrijk is dan wel dat jij precies kunt vinden welke computer dat is.”

Maar de beste tegenmaatregel die je als organisatie kunt nemen is awareness-trainingen geven. “Vanaf dag één en daarmee blijven doorgaan.” Medewerkers moeten leren:

dat hun informatie waarde heeft,

dat iemand die zal stelen als hij de kans krijgt,

dat ze opmerkelijke zaken moeten rapporteren,

welke tegenmaatregelen er zijn en hoe die werken.

“veiligheidsdiensten zijn doordrenkt 
van een beveiligingscultuur”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!