Dat informatiebeveiliging steeds meer aandacht krijgt binnen het publieke en private domein hoeven wij niet nader toe te lichten. In een tijd van toenemende eisen vanuit compliance en dreigingen vanuit ‘cybercrime’ is dit ook geen overbodige luxe. Desondanks zien wij dat beveiligingsmaatregelen hopeloos achterblijven bij de zich steeds verder ontwikkelende dreigingen.
Uit de meest recente Global Information Security Survey van EY blijkt dat de achterstallige informatiebeveiliging vooral komt door beperkte budgetten en ontbrekende kennis [EY13]. Een andere belangrijke observatie is dat de methodieken die (cyber)criminelen hanteren steeds vaker multidisciplinair van aard zijn en niet meer ophouden bij het technisch hacken van netwerken en systemen. Gevolg is dat ook informatiebeveiliging steeds meer op eenzelfde manier, dus multidisciplinair, zal moeten worden aangepakt. Integrated1 (integraal) beveiligingsonderzoek speelt hierbij een centrale rol, omdat dit naar onze mening een uitstekende manier is om inzicht te krijgen in hoe effectief de combinatie van getroffen maatregelen nu écht is.
In dit artikel gaan wij in op hoe een geïntegreerde combinatie van bestaande onderzoeksmethoden er uit kan zien en welke randvoorwaarden hierbij noodzakelijk zijn. Eerst zullen wij kort ingaan op de noodzaak van beveiligingsonderzoek en de beperkingen van bestaande methodieken.
Noodzaak beveiligingsonderzoek
U hoeft de krant maar open te slaan en de noodzaak van beveiligingsonderzoek wordt direct duidelijk. Cybercrime is een ‘hot topic’ en langzamerhand ontstaat een cultuur waarin het ongevraagd hacken van systemen om kwetsbaarheden aan te tonen alleen maar wordt toegejuicht, met alle gevolgen van dien. De echte cybercrimineel blijft echter zoveel mogelijk in de luwte en de schade van dergelijke aanvallen komt vaak pas veel later naar buiten – of er wordt helemaal geen ruchtbaarheid aan gegeven. Sommigen beweren dat dit slechts de waan van de dag is en het wel weer over zal waaien. Wij ontkennen zeker niet dat beveiligingskwesties in sommige opzichten inderdaad worden gehypet door de media en (eerlijk is eerlijk) de beveiligingsindustrie zelf. Aan de andere kant is het belang van IT voor veel organisaties van dien aard dat beveiligingsincidenten tot belangrijke schade kunnen leiden. Aan IT-auditors de taak om zicht te houden op de balans tussen risico’s en maatregelen en zich niet gek te laten maken door alle rumoer.
Dreigingslandschap
Wij onderscheiden vier soorten hackers die zich – allen vanuit hun eigen belang en met hun eigen middelen – voortdurend bezighouden met het aanvallen van organisaties, zoals weergegeven in Figuur 1.
De eerste drie categorieën betreffen aanvallen van hackers waar iedereen wel een beeld bij heeft: script kiddies (hobbyisten), georganiseerde hackers en kwaadwillende insiders zijn erop uit om organisaties schade toe te brengen, om wat voor reden dan ook. Denk bijvoorbeeld aan financieel gewin, politieke of religieuze overtuiging, uit wrok of frustratie of simpelweg uit verveling. Vanuit ons perspectief omvat ‘cybercrime’ alle acties die in de tweede en derde categorie plaatsvinden. Dit zijn namelijk gerichte acties op organisaties. Zowel direct, als indirect via haar medewerkers of klanten (denk bijvoorbeeld aan virussen gericht op internetbankieren).
De categorie ‘Advanced Persistent Threat’ (APT) laten wij hier bewust buiten beschouwing. Deze aanvallen zijn zo geavanceerd dat een geheel aparte aanpak van beveiligen en testen is vereist. Typische APT’s zijn langdurige en zeer kostbare aanvallen waarbij nog onbekende kwetsbaarheden in populaire software (zogenaamde zero-day exploits) worden gebruikt om onopvallend toegang tot interne systemen te krijgen en te behouden. Los van deze technische component is het niet ongebruikelijk dat ook fysieke infiltratie in een organisatie wordt toegepast en een aanvaller soms zelfs in dienst treedt om toegang te krijgen tot de benodigde informatie. Dergelijke dreigingen zijn momenteel slechts voor enkele organisaties echt reëel.
Terug naar cybercrime. Hiervan onderkennen organisaties de risico’s steeds vaker en ze treffen beveiligingsmaatregelen om zich tegen dergelijke dreigingen te beschermen. IT-auditors geven vervolgens een oordeel over de opzet en effectiviteit hiervan en doen aanbevelingen ter verbetering. Tot zover gaat het goed. In theorie.
Wij zien dergelijke aan-vallen snel geavanceerder en schadelijker worden.
De praktijk is echter anders. In de afgelopen jaren hebben verschillende voorbeelden van cybercime het nieuws gehaald. Zo heeft in 2011 een cyberaanval geleid tot de ondergang van Diginotar, nadat deze Certificate Authority was gehackt door een Iraanse hacker [KAMP12]. Valselijk verkregen certificaten zijn vervolgens gebruikt voor het ‘afluisteren’ van internetverkeer met diensten zoals Gmail. In Nederland hebben wij dagelijks te maken met cybercrime in de vorm van Trojaanse paarden die internetbankieren onveilig proberen te maken, botnets die aanvallen uitvoeren op kritieke infrastructuur en aanvallen van ransomware dat systemen gijzelt en tegen betaling van losgeld weer vrijgeeft. Wij zien dergelijke aanvallen snel geavanceerder en schadelijker worden. Zo snel dat niet alleen beveiliging er steeds achteraan hobbelt, maar ook de kloof tussen dreigingen en maatregelen steeds groter wordt. Ook de aanpak van beveiligingsonderzoek schiet hierbij veelal tekort.
Vormen van onderzoek in het kort
IT-Audit
geeft inzicht in de opzet, het bestaan en/of de werking van IT-beheersingsmaatregelen.
Attack & Penetration
geeft een organisatie inzicht in de effectiviteit van het samenspel van technische beveiligingsmaatregelen.
Social engineering assessement
het gebruiken van sociale vaardigheden en het manipuleren van mensen, al dan niet gecombineerd met het omzeilen van logische en fysieke beveiligingsmaatregelen, om vertrouwelijke informatie en/of toegang tot systemen te verkrijgen.
Vormen van onderzoek en beperkingen
Bij het treffen van beveiligingsmaatregelen wordt traditioneel onderscheid gemaakt tussen techniek, processen en mensen. Het treffen van maatregelen op elk van deze dimensies dekt het gehele spectrum van risico’s af. De effectiviteit van de maatregelen is op verschillende, complementaire manieren te toetsen, waarbij grofweg een onderscheid mogelijk is tussen IT-audit, Attack & Penetration (legal hacking) en social engineering assessments.
Creativiteit en ervaring van de onderzoekers spelen hierbij een belangrijke rol.
Vormen van onderzoek
IT-audit
Een IT-audit geeft inzicht in de opzet, het bestaan en/of de werking van IT-beheersingsmaatregelen. Dit is meestal een combinatie van het beoordelen van procedurele maatregelen zoals change management en logische toegangsbeveiliging en van technische instellingen in applicaties en de onderliggende infrastructuur. Daarnaast geven meer technische IT-audits inzicht in de inrichting van specifieke IT-componenten (denk bijvoorbeeld aan een firewall review of een database configuration review).
Attack & Penetration (legal hacking)
Een Attack & Penetration-test geeft een organisatie inzicht in de effectiviteit van het samenspel van technische beveiligingsmaatregelen. Hierbij wordt met dezelfde middelen en technieken die een hacker gebruikt een poging gedaan om al dan niet via internet toegang te verkrijgen tot informatie uit (web)applicaties, mobiele apps of infrastructuren. Voor veel organisaties is het laten uitvoeren van Attack & Penetration-tests op systemen die op internet zijn aangesloten gemeengoed geworden en een waardevolle aanvulling op een IT-audit.
Social engineering assessement
Social engineering is het gebruiken van sociale vaardigheden en het manipuleren van mensen, al dan niet gecombineerd met het omzeilen van logische en fysieke beveiligingsmaatregelen, om vertrouwelijke informatie en/of toegang tot systemen te verkrijgen. Een social engineering assessment zet deze technieken in om na te gaan of de organisatie kwetsbaar is voor social engineering. In een steeds meer open wereld waarin het eenvoudig is contact te krijgen met elkaar (geholpen door sociale media) is dit een relevante toets. Organisaties hebben niets aan een perfecte technische beveiliging als hun medewerkers belangrijke informatie aan een willekeurige beller prijsgeven. Social engineering assessments worden nog relatief weinig toegepast binnen organisaties.
Beperkingen
Al deze vormen van onderzoek zijn binnen een bepaalde context zeer waardevol. Wij zien in de praktijk echter ook de beperkingen die kunnen leiden tot een gevoel van ‘schijnveiligheid’. Het probleem zit hierbij in de afbakening van opdrachten. Een vast normenkader bepaalt de reikwijdte van een IT-audit en bij een Attack & Penetration-test worden vooraf afspraken gemaakt over welke systemen en/of applicaties al dan niet worden getest. Het testen van andere systemen van een organisatie mag dan niet en kan zelfs strafbaar zijn. Ook is het uitvoeren van social engineering vaak uitgesloten bij eerdergenoemde werkzaamheden. Het risico van beperking tot één type onderzoek en het nut van een geïntegreerde aanpak blijkt uit het voorbeeld in het tekstkader ‘Risico van beperking tot één type onderzoek’.
Dit is slechts één voorbeeld van de vele mogelijkheden die bestaan door het combineren van verschillende beveiligingsonderzoeken. In de volgende paragraaf beschrijven wij de aanpak van een geïntegreerd beveiligingsonderzoek. Het is echter wel goed om stil te staan bij de redenen voor bovengenoemde beperkingen. In veel gevallen komt dit door gebrek aan mandaat van een opdrachtgever die slechts verantwoordelijk is voor één systeem of applicatie, maar budget speelt zeker ook een rol. Wij stellen dan ook niet voor om alle bestaande vormen van onderzoek te vervangen door een combinatie. Belangrijke voorwaarden beschrijven wij in de paragraaf ‘Randvoorwaarden’.
Risico van beperking tot één type onderzoek
Organisatie X beschikt over een grote hoeveelheid intellectueel eigendom die voor haar concurrentie veel waard is. Sinds kort is een nieuw intranetportaal in gebruik genomen en dit wordt voor de medewerkers van X ontsloten via internet. Op dit portaal is tevens gevoelige informatie te vinden. Om deze reden heeft de organisatie verzocht een Attack & Penetration test vanaf internet uit te voeren op al haar via internet ontsloten systemen en webapplicaties. Aangezien zij gebruik maakt van Forefront Unified Access Gateway is naast de publieke website niets anders te bereiken voor onbevoegden. Ook het intranet is adequaat afgeschermd. De Attack & Penetration-test resulteert in een positief oordeel.
In overleg met de organisatie wordt besloten na te gaan of op een andere wijze toegang kan worden verkregen tot het intranet. Op basis van LinkedIn-profielen selecteren de testers tien medewerkers van X en zij sturen hen een gerichte email met een uitnodiging alvast een ‘sneak preview’ te nemen op de nieuwe website van het bedrijf. Het enige wat zij hoeven doen is op de link in de email te klikken en inloggen op het portaal. De link leidt echter niet naar een systeem van de organisatie, maar van de testers. Binnen een uur hadden twee medewerkers ingelogd en konden de testers met de gegevens die ze op deze wijze van deze medewerkers verkregen alsnog inloggen op het intranet. Al met al een groot beveiligingsrisico! Dit voorbeeld illustreert de beperkte waarde van beveiligingsonderzoek dat gebruikmaakt van slechts één type onderzoek.
Aanpak Integrated Security Assessment
Een Integrated Security Assessment (ISA) kenmerkt zich voornamelijk door zo min mogelijk afbakening in het onderzoek. Creativiteit en ervaring van de onderzoekers spelen hierbij een belangrijke rol. Ook zullen zij over de juiste ‘mindset’ moeten beschikken. Vanzelfsprekend zullen de werkzaamheden altijd binnen wettelijke kaders en beroepsregels moeten plaatsvinden2. Ook moet het belang groot genoeg zijn voor een dergelijke test en is een bepaald basisniveau van beveiliging vereist (zie de paragraaf ‘Randvoorwaarden’).
In Figuur 3 is de ISA-aanpak schematisch weergegeven.
1. Bepaal doelen
In een ISA is de reikwijdte geen beperkende factor en daarom is het des te belangrijker een helder doel te definiëren. Denk dan niet aan ‘Is applicatie Y veilig?’ of ‘Voldoet systeem Z aan norm A?’, maar meer aan: ‘Kan een concurrent toegang krijgen tot onze interne prijslijsten?’ of ‘Is het mogelijk ons productieproces stil te leggen?’. Het is belangrijk dat de vraag niet IT-gedreven is, maar dat deze aansluit op daadwerkelijke bedrijfsrisico’s.
2. Verkennen
Met een helder doel voor ogen wordt vervolgens een verkenning (‘reconnaissance’) uitgevoerd. Het begrip ‘reconnaissance’ is afkomstig uit de militaire wereld, waarbij het draait om het vergaren van zoveel mogelijk relevante informatie over een doelwit en de context van het doelwit. Dit is een zeer belangrijke fase in de ISA omdat de vergaarde informatie de basis vormt voor de echte ‘aanval’. De verkenning vindt zo breed mogelijk plaats en omvat in ieder geval de volgende dimensies.
Technisch
In kaart brengen van netwerken (IP-adressen), domeinnamen, websites, maar ook gebruikte software en hardware, VPN-oplossingen, etc.
Sociaal
In kaart brengen van zoveel mogelijk informatie over medewerkers (bijvoorbeeld op basis van social media, weblogs, et cetera), maar ook vacatures, een overzicht van medewerkers op de website, en dergelijke.
Beleid en richtlijnen
In kaart brengen van aanmeldprocedures, beveiligingsrichtlijnen, facilitaire regelingen, wijzigingsbeheer, et cetera.
Fysiek
In kaart brengen van gebouwen, toegangsmogelijkheden en bewaking. Zowel ‘on-site’ als door middel van oplossingen als Google Street View. Aandachtspunten zijn geplaatste bewakingscamera’s, rokersvoorzieningen, leveranciersingangen, dresscode, en specifieke gebeurtenissen (feesten, verbouwingen), et cetera.
De verkenning vindt in eerste instantie plaats op basis van openbare bronnen en waarneming ter plaatse, aangevuld met informatie van de organisatie die eenvoudig te verkrijgen is, bijvoorbeeld door te bellen naar de receptie en te vragen naar de aanmeldprocedure. Het resultaat van deze fase leidt vaak al tot grote verbazing bij organisaties. Door alle gevonden informatie bij elkaar te voegen blijkt pas hoeveel voor buitenstaanders inzichtelijk is, terwijl veel organisaties het idee hebben toch wel ‘gesloten’ te zijn.
Zoals in Figuur 3 te zien, is er een terugkoppelingslus in het ISA-proces. Na elke succesvolle ‘infiltratie’ volgt weer een nadere verkenning, enscenering en infiltratie, uitgevoerd vanuit een nieuw perspectief.
3. Ensceneren
Op basis van de achterhaalde informatie worden verschillende scenario’s bedacht om het doel van het onderzoek te realiseren. Dat hier veel analytisch vermogen, ervaring en creativiteit voor nodig is, mag duidelijk zijn. Het is belangrijk om scenario’s te bedenken die het werk van criminelen zo realistisch mogelijk nabootsen. Dit betekent dat er wordt gestart met de acties waarbij het detectierisico zo laag mogelijk is en langzaamaan (waar nodig) wat meer risico wordt genomen.
Dit houdt ook in dat eerst de mogelijkheden op afstand worden benut en pas daarna de alternatieven waarbij fysieke toegang nodig is. Een combinatie is ook mogelijk, bijvoorbeeld door als leverancier vermomd een WiFi-toegangspunt aan het interne netwerk te koppelen en vervolgens van buiten het pand een aanval op het interne netwerk uit te voeren. Andersom kan het mogelijk zijn eerst een systeem voor fysieke toegang te hacken vanaf internet om vervolgens ongehinderd binnen het pand te kunnen opereren.
De scenario’s met de verwachte resultaten worden gedocumenteerd in een ‘intrusion testplan’. Merk hierbij op dat een scenario lang niet altijd meteen het doel van de test zal verwezenlijken, maar meestal zal leiden tot een stap dichter bij het behalen van het doel.
4. Infiltreren
In deze fase wordt aan de hand van de scenario’s daadwerkelijk getracht de getroffen beveiligingsmaatregelen te doorbreken. Het maken van duidelijke (juridische) afspraken met verantwoordelijken van de organisatie is hierbij zeer belangrijk om binnen alle wettelijke kaders te kunnen opereren (zie ook de paragraaf ‘Randvoorwaarden’). Deze fase kan tot een aantal resultaten leiden, zoals:
Doel bereikt
Het is gelukt het doel van de test te verwezenlijken binnen de overeengekomen grenzen – weinig organisaties zullen immers willen dat hun productiefaciliteiten echt worden gestopt in het kader van een test.
Succesvolle detectie
De test is opgemerkt en effectieve maatregelen zijn getroffen om de ‘aanval’ te stoppen. Afhankelijk van de mate van detectie kan worden besloten een ander scenario te proberen of de test af te ronden.
Volgende stap
Een subdoelstelling is bereikt. Vanuit deze situatie wordt opnieuw een verkenning uitgevoerd en worden nieuwe scenario’s bepaald.
5. Rapporteren
Het resultaat van een ISA is een zo compleet mogelijk beeld van de effectiviteit van het samenspel aan beveiligingsmaatregelen binnen de organisatie. Met behulp van bewijsmateriaal in de vorm van foto’s en videobeelden kunnen de bevindingen op een tastbare wijze worden overgebracht op het management. Aangezien een beeld vaak meer zegt dan duizend woorden bestaat een ‘ISA-rapport’ dan ook veelal uit een videocompilatie gecombineerd met bewustwordingssessies. Binnen een ISA-team zijn verschillende expertises aanwezig, waardoor het team in staat is concrete, multidisciplinaire aanbevelingen te doen. Veelal zijn deze onderverdeeld in quick-wins (‘richt de beveiligingscamera anders’) en structurele verbeteringen (‘trainen van beveiligingspersoneel’).
Op het eerste gezicht kan de indruk bestaan dat een ISA niet meer is dan een Attack & Penetration-test met enkele aanvullende aandachtspunten. Dit is echter zeker niet het geval. Sterker nog, er zijn scenario’s denkbaar waarbij hacking helemaal geen rol speelt in een ISA. Een andere misvatting is dat IT-audit geen enkele rol speelt in een ISA. Het tegendeel is waar, alleen de invalshoek is anders. Waar in een klassieke audit vanuit die hoedanigheid om ontwerp- of configuratiedocumentatie wordt gevraagd, gebeurt dit in een ISA door deze ongemerkt van een systeem te downloaden of door social engineering toe te passen op beheerders. Op basis van de verkregen informatie wordt vervolgens naar aanknopingspunten gezocht om weer verder te komen.
Randvoorwaarden
Uit de vorige paragraaf blijkt dat een ISA een ingrijpende en voor mensen confronterende test is waarbij, binnen grenzen, weinig beperkingen worden opgelegd. Het weerspiegelt een realistische aanval door cybercriminelen en/of hackers zo goed mogelijk, met alle gevolgen van dien. Dit betekent dat een ISA lang niet voor elke situatie en iedere organisatie geschikt is. De belangrijkste randvoorwaarden volgen hierna.
Basisbeveiligingsniveau
Tijdens een ISA wordt de organisatie benaderd vanuit het perspectief van een goed voorbereide aanvaller die het gemunt heeft op de kroonjuwelen van de organisatie. Om dit middel effectief in te zetten dient er tenminste een basisniveau van beveiligingsmaatregelen te zijn getroffen op het gebied van techniek, processen en mensen. Anders gaat de test zijn uiteindelijke doel voorbij, namelijk het aantonen van eventuele zwakheden in het samenspel van getroffen maatregelen en het aandragen van verbeteringen. Als de organisatie zelf nog onvoldoende over beveiliging heeft nagedacht zal een ISA zeker slagen, maar blijft het gewenste effect uit.
Realistisch doelwit
Tevens vereist een ISA nogal wat voorbereidingen en is de uitvoering arbeidsintensief. Dit zijn vaak trajecten met een doorlooptijd van tenminste een maand tot enkele maanden. Het middel moet dan ook wel in verhouding staan tot het doel. Met andere woorden: een organisatie moet beschikken over kroonjuwelen die voor anderen interessant genoeg zijn om veel moeite te willen doen deze in handen te krijgen. Voor kleinere ondernemingen zal dit op dit moment over het algemeen minder het geval zijn – nichespelers met zeer innovatieve producten daargelaten.
Juridische kaders
Het lastigste aspect van een ISA is het vormgeven van kaders waarbinnen de test zonder al te veel beperkingen kan plaatsvinden en waarbij zo min mogelijk mensen binnen de organisatie van de test op de hoogte zijn. In de praktijk betekent dit dat de test vaak direct in opdracht van de directie en/of Raad van Bestuur wordt uitgevoerd. In sommige gevallen is het tevens noodzakelijk de Ondernemingsraad te informeren. Het wordt pas echt complex als een test over landsgrenzen heen plaatsvindt en de organisatie delen van de dienstverlening heeft uitbesteed of afneemt als cloud-dienst. Om de testers te kunnen vrijwaren van eventuele schade is het nodig om in het beginstadium juristen met specialisatie in IT-recht te betrekken in het onderzoek.
Budget
Waar een ISA zich kenmerkt door weinig beperkingen, is er natuurlijk altijd het financiële aspect dat voor een natuurlijke afbakening zorgt. Hoewel een time-box aanpak niet wordt aanbevolen, is het vanzelfsprekend ongewenst geen limiet aan doorlooptijd en/of budget te stellen. Meestal wordt het beschikbare budget afgeleid van het belang van de kroonjuwelen, het aantal maatregelen dat al is getroffen en het specifieke dreigingslandschap. De organisatie en de testers moeten in overleg bepalen wat haalbaar is. Bij teveel beperkingen is het beter terug te vallen op meer afgebakende onderzoeken zoals IT-audits, Attack & Penetration testen of social engineering onderzoeken.
Tot slot
In een steeds veranderende wereld waarin cyberaanvallen aan de orde van de dag zijn, loopt beveiligingsonderzoek achter bij de methodieken van de aanvallers. Een belangrijk gemis is dat IT-audits, Attack & Penetration-tests en social engineering assessments meestal als losse en afgebakende tests worden uitgevoerd. Naar onze mening is een combinatie van deze onderzoeken in veel situaties effectiever dan het los en ingekaderd uitvoeren hiervan. Wij hebben beschreven hoe een Integrated Security Assessment eruit zou moeten zien en wat hierbij komt kijken. Ook zijn wij ingegaan op de belangrijkste randvoorwaarden voor het uitvoeren van een ISA.
Tot slot: wij horen nog te vaak: ‘Als iemand écht binnen wil komen, dan lukt het toch wel’. Tot op zekere hoogte zijn wij het hiermee eens. Zeker wanneer sprake is van ‘Advanced Persistent Threats’ is een totaal andere aanpak van beveiligen en tests vereist. Voor de organisaties waarvoor deze dreigingen nog geen realiteit zijn (en gelukkig zijn dat de meeste), hebben wij nog een andere stelling in petto: ‘De organisatie hoeft niet het beste beveiligd te zijn, maar slechts beter dan haar buren’. Door de resultaten van een ISA effectief te gebruiken is de organisatie al een eind op weg.
Literatuur
- [EY13] EY, ‘Global Information Security Survey’, 2013.
- [EY11] EY, ‘Advanced Security Centers’, 2011.
- [KAMP12] Kamp, H.G.J., ‘Beantwoording Kamervragen over DigiNotar’, 14 december 2012. Tweede Kamer, Vergaderjaar 2012-2013, 26 643, nr. 262.
