Beheer

Security
Rob Joyce, NSA

NSA-topman: zo bescherm je je tegen ons

NSA-hacktopman geeft beheerders basisadvies.

Rob Joyce, hoofd van NSA's hackteam © Rob Joyce
28 januari 2016

NSA-hacktopman geeft beheerders basisadvies.

Het hoofd van het NSA-hacking team, Rob Joyce, deelde gisteren een flinke sneer uit aan IT-beheerders. Hij gaf een hoogst ongebruikelijke uitleg hoe je het best de spiedende ogen van zijn team buiten de IT-systemen kan houden.

Het bezoek en de voordracht van Rob Joyce op de Usenix Enigma conferentie waren op zijn zachtst gezegd opmerkelijk. De NSA is een van de meest gesloten organisaties van de Amerikaanse overheid. Lange tijd werden zelfs de vergaande spionagepraktijken van de NSA ontkent en nu komt de baas van het spul uitleggen hoe het team te werk gaan en hoe je dit ongewenste bezoek buiten de deur kan houden. The Register deed verslag van de bijeenkomst.

Tik op de vingers

Joyce gaf IT-beheerders een forse tik op de vingers. De essentie van zijn verhaal was dat zij beter moeten weten hoe hun systemen in elkaar zitten en welke componenten daar onderdeel van uitmaken. "Vaak kennen wij de netwerken beter dan degenen die ze hebben ontworpen en runnen". Hij schetste een zesstaps strategie die de NSA hanteert: ontdekken, eerste penetratie, aanwezigheid verzekeren, installeren van softwaregereedschap, uitbreiding naar brede aanwezigheid, en dan als laatste fase het verzamelen, exporteren en gebruik van de gegevens.

De cruciale fase is de eerste. Daar gaat het om het vinden van de zwakke plek. "We prikken en prikken en wachten en wachten, tot we binnen zijn." Zijn team richt zich vooral op fouten in de netwerkarchitectuur, en op sleutelfiguren in de organisatie die slordig omgaan met het beveiligingsbeleid. Maar het team zoekt ook naar plekken in het doelnetwerk waar het verbindingen heeft met andere computersystemen zoals de verwarming of de ventilatie. Die bieden soms een goed handvat voor een aanval.

Joyce raadde ook aan een grondig evaluatie van cloudproviders te doen voordat een contract wordt gesloten. Zodra je data plaatst in een cloudopslag, vertrouw je volledig op de beveiliging van de aanbieder.

Zero day niet gebruikelijk

Hij bestreedt overigens de veelgebruikte aanname dat overheidsgestuurde hackers doorgaans gebruik maken van nog niet gemelde kwetsbaarheden (zero day vulnerabilities). "Dat is niet zo gebruikelijk. Bij grote bedrijven is volharding en doelgericht zoeken voldoende om binnen te komen zonder zero day: er zijn zo veel meer manieren die veel makkelijker zijn, minder riskant en veel productiever."

Leer het volledige verslag van het advies van Joyce op The Register.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.