In steeds hoger tempo worden mensen, processen, dingen en data met elkaar verbonden. Met dit Internet of Everything kan de komende jaren wereldwijd biljoenen euro’s aan waarde gerealiseerd worden. Nieuwe informatie leidt tot nieuwe inzichten die tot ongekende economische kansen leiden. Dit maakt netwerkverbindingen waardevoller dan ooit tevoren. Maar wat is het belang van security?
Het Internet of Everything zal nieuwe waarde creëren en ook waarde herverdelen. Nieuwe waarde ontstaat door technologische innovatie en het vergroten van marktaandeel doordat bedrijven op basis van informatie uit het Internet of Everything beter op ontwikkelingen inspelen dan andere bedrijven. Ook de kosten van het koppelen van apparatuur aan het netwerk dalen snel. Andere factoren zijn de onverwacht snelle opkomst van tablets/smartphones die allemaal met internet verbonden zijn, en de acceptatie van de cloud.
Onlosmakelijk
Het Internet of Everything en security zijn onlosmakelijk met elkaar verbonden. Want door de hierboven beschreven ontwikkelingen dreigt er op veel meer punten gevaar; het ‘bedreigingsoppervlak’ wordt veel groter. Werknemers zijn allang niet meer gebonden aan het veilige netwerk binnen het kantoor. Zij ontvangen en versturen informatie via allerlei internetverbindingen, al dan niet draadloos, en vanaf alle mogelijke locaties. Zo zijn er werknemers die vanuit een luchthaven werken via gratis Wi-Fi-verbindingen. Een hacker hoeft dan niet meer het bedrijfsnetwerk aan te vallen maar hoeft alleen maar het netwerkverkeer op de luchthaven te onderscheppen en te onderzoeken op waardevolle informatie. Op dezelfde manier kan ook gezocht worden naar slinkse manieren om toegang te krijgen tot een bedrijfsnetwerk. Bedreigingen zijn overal waar (mobiele) internetverbindingen zijn.
Behalve dat het bedreigingsoppervlak veel groter wordt, verandert ook de aard van de bedreigingen. Naast georganiseerde cybercriminaliteit zijn er nu ook nations states/hacktivists et cetera die uit zijn op (bedrijfs)spionage en diefstal van intellectueel eigendom. Dit zijn tegenstanders van een heel ander kaliber dan de gemiddelde hacker. Het is dan ook een enorme uitdaging om de cybercrimineel, in welke hoedanigheid dan ook, tegen te houden. Tot slot worden de aanvallen steeds geavanceerder en gebruiken cybercriminelen allerlei technieken om ongemerkt door de beveiliging heen te dringen. Voor cybersecurity geldt daarom ook wat voor normale beveiliging geldt: er is altijd wel een manier om binnen te komen. Het is daarom zaak om niet alleen maar naar de buitenkant, naar het ‘hekwerk’ rond het bedrijfsnetwerk, te kijken, maar ook intern te patrouilleren.
‘Before, during & after’
Toch staan we niet machteloos tegen cybercriminelen en cyberspionnen. De methodiek van 'before, during en after' (voor, tijdens en nadat een aanval heeft plaatsgevonden) kan een belangrijk uitgangspunt bieden.
Een aspect daarvan is het met zekerheid kunnen bepalen wie er toegang tot het netwerk krijgt en wie niet. Hiervoor zijn zogeheten ‘identity services’ beschikbaar. Die gaan niet alleen na wat de identiteit is van degene die toegang wil en welke rechten daarbij horen, maar ook de context van een verzoek tot toegang kunnen bepalen, dat wil zeggen op welk tijdstip en vanaf welke locatie er om toegang wordt gevraagd. Op basis hiervan kunnen verdachte omstandigheden worden vastgesteld, zoals toegang uit een land of op een tijdstip die voor de desbetreffende werknemer hoogst onwaarschijnlijk is. Alle maatregelen in deze ‘before’-fase zijn gericht op het bouwen van een solide beveiliging rondom het bedrijfsnetwerk.
In de ‘during’-fase gaat het om aanvallen die in uitvoering zijn, bijvoorbeeld na het klikken op een kwalijke link op een website of in een e-mail. Onder andere websecurity en beveiliging van e-mail zijn de middelen om in deze fase maatregelen te nemen. Zeer belangrijk is ook om de connecties binnen het netwerk zelf in de gaten te houden. Het gaat dan om verbindingen tussen applicaties onderling en tussen applicaties en gebruikers.
Toch binnen
Als het hekwerk faalt en een aanval in uitvoering niet in de kiem wordt gesmoord, moet er actie worden ondernomen om deze aanval aan te pakken en de impact ervan te minimaliseren. In deze ‘after’-fase kunnen bedrijven bijvoorbeeld te maken krijgen met een zogeheten ‘Rubber Ducky’: een usb-stick die voor een paar tientjes op internet te koop is. Leg een paar van deze sticks op het parkeerterrein naast het kantoor en er is altijd wel iemand die nieuwsgierig is naar wat er op staat. Deze gebruiker zet dan onbedoeld een connectie op met een computer van cybercriminelen. Dit zou ook kunnen gebeuren als gebruikers via het bedrijfsnetwerk bestanden downloaden die malware bevatten. In beide gevallen zijn het acties van legitieme gebruikers. De kwalijke gevolgen van deze acties, bijvoorbeeld onverwacht uitgaand netwerkverkeer moeten in deze fase worden opgespoord.
Het gaat er steeds meer om helder real-time inzicht in wat er precies op het bedrijfsnetwerk gebeurt. Door permanente monitoring en analyse is het mogelijk om afwijkende verkeerspatronen boven tafel te krijgen en te bepalen of er sprake is van ongewenst gedrag.
In feite wordt met alle middelen in de before, during & after fasen getracht om aanvallen zo veel mogelijk tegen te houden en, als dat niet lukt, via forensisch onderzoek te bepalen wat er precies aan de hand is. Wat er dan precies moet gebeuren willen bedrijven meestal graag zelf bepalen. Het gaat immers vaak om gevoelige informatie.
Nu het steeds moeilijker wordt om aanvallen tegen te houden, wordt het essentieel voor bedrijven om voortdurend inzicht te hebben in wat er precies op hun netwerk gebeurt. Alleen dan kan abnormaal netwerkverkeer worden opgespoord en bepaald worden of dat schadelijk is.
Lees ook