Column: Wat niet meet, wat niet deert
Bewakingsystemen zien bepaalde zaken wel en anderen niet - dat is inherent aan iedere vorm van geautomatiseerde detectie. In feite zijn er twee manieren om te bewaken: de eerste het is signaleren van vooraf gedefinieerde foutsituaties (het herkennen van een virus-signature of een reeks verdachte instructies in verder onbekende trojan, maar ook zoals iets te hard rijden). De tweede is een aanpak om situaties door hun ongebruikelijkheid op te laten vallen. Denk hierbij het uitproberen van meerdere IP adressen in een subnet of het slingeren over de hele rijbaan. Dit is een vorm van anomaliedetectie. Bij IDS systemen zie je vaak dat beide benaderingen mogelijk zijn, zodat de kans dat een gevoelige situatie opvalt, groter is. Dat is reuze handig.
De praktijk van anomaliedetectie is echter weerbarstiger: om een anomalie terug te vertalen naar een concreet incident, moet er onderzocht worden wat er aan de hand is. En daar wreekt de gladde interface van de mooi vormgegeven appliances zich - de bedienende mens moet complexe patronen kunnen analyseren, terwijl het apparaat en bijgevoegde salespitch de indruk wekt dat een aapje het trucje wel zal kunnen. Je treft dan ook zelden een beheerder of eigenlijk IDS operator aan die in staat is de onbekende situaties te herkennen. En nog schaarser zijn die, die het ook daadwerkelijk en met enige regelmaat dóen.
Wat ook niet helpt bij IDS-en is het kunnen finetunen van het instelbare alarmniveau, waarbij je bij foutsituaties een rood stoplicht kunt laten tonen. Dat moet, omdat sommige patronen voor het specifieke netwerk dat je moet bewaken daadwerkelijk een bedreiging zijn en anderen foutsituaties weer niet. Het is heel verleidelijk dit zeer spaarzaam in te stellen, omdat rode stoplichten ertoe leiden dat je iets moet gaan doen. Daarbij vraagt de analyse van een verdachte reeks packets veel kennis van kwetsbaarheden en het eigen netwerk. Zoek je een patroon uit, dan kan het zijn dat deze verwijst naar een aanval die systeemspecifiek is. Zo lang je niet weet wat voor applicaties je feitelijk allemaal hebt, weet je niet waar je gevoelig voor bent. Het is heel verleidelijk om te veronderstellen dat je een bepaald script nergens hebt. In de gemiddelde CMDB vind je de informatie niet, dus....
Er zijn nog andere showstoppers. Veel incident-tickets staat behoorlijk beroerd in de SLA rapportage, en een paar onduidelijke meldingen in een bewakingssysteem zijn geen moeilijk gesprek met de service manager waard....
Bedenk je dat in veel organisaties incidenten waarbij geen storing in de dienstverlening optreedt, helemaal niet kúnnen bestaan, volgens het servicemodel. Zonder ticket heb je geen werkorder, en mag je er helemaal geen tijd aan besteden.
De laatste nagel in de doodskist is de natuur van een techneut. Een echte automatiseerder streeft er naar om bij voorkeur niets met het handje te hoeven doen, dus een waarschuwingsysteem zó instellen dat er vaak bellen afgaan, is tegennatuurlijk. Omdat het IDS-systeem zélf gewoon werkt, is het uitsluiten van een wazige foutmelding een prima manier om een incident te sluiten.
De consequentie is dat de overgrote meerderheid van de IDS systemen alleen bekende issues zal detecteren, waar je veelal - als je een beetje bij blijft met patchen en virussignaturen - toch niet gevoelig voor bent. Dit leidt tot een complete vervreemding van de werkelijke situatie op de perimeter. Meten is weten, maar zolang je alleen meet wat je al weet, weet je niet wat je niet weet. En dan weet je dus niets. Bij security-managementinformatie geldt helaas ook het bekende adagium van garbage in en garbage out.
De resulterende "veilige" situatie is in feite die waarbij de bestuurder die 's nachts met 97 km/h over de randweg Eindhoven rijdt, een prent krijgt, en die andere chauffeur die stomdronken met alleen stadslichten op de middenbaan slingert met 70 km/h, ongezien door mag. Intussen meldt de politieke leiding een toename van de veiligheid op het baanvak. Dat doel kan echter alleen gerealiseerd worden door ook een ouderwets concept als een agent die zelf kijkt in te zetten. Maar daar is helaas geen budget of mankracht meer voor.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Het gaat niet alleen om wat er uitkomt maar ook wat het kost. Voor 99.5%
van de organisaties wegen die kosten niet op tegen de opbrengst. De
kosten bestaan vooral uit loonkosten, de enorme hoeveelheid tijd die het
kost om iets in de brij van data te ontdekken dat van belang kan zijn.
Maar voor degenen die op zoek zijn naar compliancy is het natuurlijk wel
prachtig: hoe meer grafieken en taarten, en kleuren, hoe beter. "Kijk eens
wat we aan veiligheid doen!" Die exorbitante loonkosten maak je niet, want
je klikt gewoon wat met je muis en presto.
Een IPS wel praktisch toepasbaar, maar dan zonder overbodige signature
ballast, als instrument in (D)DoS verdediging. Je hebt dan wel weer die
loonkosten (kennis is nodig), maar de hoeveelheid benodigde uren is veel
lager.
In de zin Bewakingsystemen zien bepaalde zaken wel en
anderen niet.
De n betekent dat het om mensen gaat. Het gaat
hier niet om andere mensen maar andere zaken. Dus geen n! :)
Hetzelfde geldt bij beide en beiden.
Grappig dat voorbeeld over die dronken bestuurder die
ongezien door kan rijden. Het laat zien hoe - in veel
gevallen - de politiek alleen maar cosmetische maatregelen
neemt. Dan kan men het publiek laten zien dat men krachtig
optreedt, en dat trekt weer stemmen.
Stel dat je in een melige bui met wat mensen gek loopt te
doen in een bewaakte winkelstraat. Wanneer snappen
geautomatiseerde systemen dat je geen terrorist bent maar
gewoon melig?
Zolang systemen niet kunnen nadenken, moet men voorzichtig
zijn de eigen gedachten uit handen te geven.
anomaliedetectie
/*
Hier komen we aan de bron van ons bestaan.
De voortuitgang is te danken aan de anomalie.
Einstein was er ook een enz....Beschadigd DNA kan een
voordeel zijn in de evolutie van een soort.Als we gaan
scannen op anomalie zal alles stil gaan staan en gaan we aan
onszelf tenonder.Dit soort systemen gaat er vanuit dat het
NU goed is.(volgens , ja wie eigenlijk en vanuit welke
werkelijkheid)Ik geloof dat elke beleidsmaker of iemand met
"wat" macht minstens alle basis begrippen van de philosophi
en de natuur moet kennen anders kunnen we wel inpakken in de
toekomst....
Er zijn meer soorten biotopen verdwenen omdat ze hun eigen
vooruitgang in de weg zaten.
Terug naar wat , waarom , etc ipv $$$$$$$
vaak in een opwelling maar die systemen maken er een
probleem van want je bent waarschijnlijk je uiterlijk aan
het modificeren wat natuurlijk verdacht is volgens het systeem.
Ik wil een kloon die voldoet aan de anomalie voorwaarden
voor mij en zelf verdwijn ik ergens....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.