"LulzSec toont falen security industrie"
De aanvallen van LulzSec tonen aan dat de security industrie de afgelopen jaren heeft gefaald, aldus beveiligingsexpert David Maynor. Volgens sommigen zouden de activiteiten van LulzSec goed voor security zijn, omdat ze aantonen dat er nog altijd gapende gaten zijn. Daar is Maynor het niet mee eens. "Ik denk dat LulzSec heeft laten zien hoe ineffectief de security gemeenschap en marktplaats echt is."
De gehackte bedrijven waren grote bedrijven, die meer geld aan beveiliging uitgeven dan de meeste mensen in hun leven verdienen. "Het uitgeven voorkwam niet de aanval en het plaatsen van hun persoonlijke gegevens, dus waar is het goed voor?"
Maynor heeft ook kritiek op bedrijven, die denken dat ze door het aanschaffen van een tool of appliance klaar zijn. Het omzeilen van beveiligingstools is vrij eenvoudig, merkt de expert op. "Ik probeer dat aan klanten uit te leggen, maar vaak zijn tools eenvoudiger te vinden dan goede mensen, dus kiezen ze voor tools."
Kadaver
Daarnaast houden beveiligingsbedrijven teveel rekening met de wensen van klanten als ze de beveiliging testen. Zo stellen klanten dat bepaalde tactieken, netwerken of systemen niet mogen worden gebruikt of getest. Iets waar de beveiligingsbedrijven in mee gaan, merkt Maynor op. "Vanwege dit soort mislukkingen, heeft de security gemeenschap klanten niet goed voorbereid op echte aanvallen door vastberaden aanvallers zoals LulzSec. De klanten van de security industrie worden systematisch gehackt en tentoongesteld zodat iedereen het kan zien, net als een kadaver tijdens een autopsie."
Meer geld uitgeven is in dit geval niet de oplossing, de mindset en bewustzijn van managers en bestuurders moet veranderen. "Hoeveel geld ze ook uitgeven, het zal ze niet beschermen, en dat is een falen van ons als industrie", besluit Maynor.
Niet de security industrie faalt, maar haar opdrachtgever.
Die wil gewoon geen geld uitgeven.
Dat de industrie zich richt op wat de markt wil is ook heel normaal.
Dat is gewoon marktwerking. Jij betaalt, wij draaien. Je wilt extra service, je betaalt wat meer.
De industrie wil het liefst zoveel mogelijk veiligheid creëren, dat de klant daar niet op zit te wachten kan je moeilijk de hele veiligheidsindustrie aanrekenen.
Niet de security industrie faalt, maar haar opdrachtgever.
Die wil gewoon geen geld uitgeven.
Dat de industrie zich richt op wat de markt wil is ook heel normaal.
Dat is gewoon marktwerking. Jij betaalt, wij draaien. Je wilt extra service, je betaalt wat meer.
De industrie wil het liefst zoveel mogelijk veiligheid creëren, dat de klant daar niet op zit te wachten kan je moeilijk de hele veiligheidsindustrie aanrekenen.
Een stap verder lijkt me ook nog wel verantwoord: wanneer de opdrachtgevers hun zaakjes beter op orde zouden hebben, zou een deel van de security industrie niet eens bestaan.
Daarnaast houden beveiligingsbedrijven teveel rekening met de wensen van klanten als ze de beveiliging testen. Zo stellen klanten dat bepaalde tactieken, netwerken of systemen niet mogen worden gebruikt of getest. Iets waar de beveiligingsbedrijven in mee gaan, merkt Maynor op. "Vanwege dit soort mislukkingen, heeft de security gemeenschap klanten niet goed voorbereid op echte aanvallen door vastberaden aanvallers zoals LulzSec. De klanten van de security industrie worden systematisch gehackt en tentoongesteld zodat iedereen het kan zien, net als een kadaver tijdens een autopsie."
De "beveiligingsexpert" David Maynor snapt het dus duidelijk niet. Elke goede management doet een kosten/baten analyse op basis van de ingeschatte risicos. Uit een dergelijke analyse blijkt welke risicos het bedrijf wilt lopen.
Ook kunnen zij omgevingen hebben die niet om kunnen gaan met de huidige tools. Een simpele scan kan de oude legacy systemen dus danig om zeep helpen dat de systemen niet meer werken. Van sommige legacy systemen bestaat de fabrikant ook soms niet meer. Bij sommige bedrijven zou dat kunnen betekenen dat de gehele productie stil valt voor langere periode. De schade die dan onstaan is, kan in uitzonderlijke gevallen leiden tot het falliet gaan van het bedrijf. In de meeste gevallen kan dit zorgen voor een behoorlijke grote kostenpost.
Waar de "beveiligingsexpert" David Maynor ook aan voorbij gaat is dat sommige bedrijven zijn gehakt door middel van een 0-day exploit. Hier tegen is nauwelijks iets doen.
door tools van een bekende leverancier toe te passen denken ze ook goed weg te komen.
ze denken dan dat ze bij falen gewoon de andere partij aansprakelijk stellen en dat verzekering gewoon betaald.
dit is een simplistische juridische redenering, maar daar zijn het managers voor.
na hen de zondvloed.
investeren in kennis is uitgefaseerd, alles is extern, dus wat had je dan verwacht?
Onze informatie systemen hangen we allemaal direkt op het internet, plakken er een firewalletje voor en dat is dat.
vind je het dan gek dat er lui zijn die bij je binnen komen kijken?
Als een systeem van zo'n groot belang is voor een bedrijf, waarom wordt het dan niet vele malen beter beveiligd? Als het gaat om een draaiende productie, zijn dat de systemen die het eerste bekeken moeten worden (niet met grof geweld, maar door kundige mensen).
Meestal is het compleet scheiden van een netwerk, en een goed IT beleid al voldoende. Dat betekend dat er geen removable media geaccepteerd mag worden, ook niet door een willekeurige leverancier/fabrikant. Er zijn toch geen updates meer aan het systeem, dus compleet afzonderen, voor zover mogelijk.
En toch moet het management zich dan afvragen, of die hardware niet vervangen moet worden. Wat zijn de kosten van een nieuw systeem? En wat zijn de kosten als het huidige Legacy systeem behouden wordt, in geval dat het mis gaat? Kosten/baten zoals je zelf al aangeeft.
Kosten voor een 2e hands oude server en een linux CD zullen het probleem niet zijn, als het zo bedrijfskritisch is.
Legacy systemen zijn een reden om meer gebruik te maken van OpenSource. Laat zelf hardware ontwikkelen onder de OSHW licentie, en verkoop dat aan je concurenten. Zorg dat legacy vervangen wordt.
Zodra het aankomt op managements, daar is het: Afschuifbeleid en vertrouwen op blauwe ogen. Legacy systeem omdat leverancier failliet is? Eigen schuld, dikke .......
De verzekering dekt maar tot €20,000.
Je installeert een alarmsysteem en sloten goedgekeurd door de verzekering, kost €10,000, maar
de verzekering betaald nu terug tot €30,000
99psecure stelt "total security" voor. Je deuren naar buiten worden vervangen door een sas, iedere bewoner krijgt een badge+sleutel, ramen op gelijkvloers krijgen stalen staven ervoor en kunnen niet meer open, Het alarmsysteem reageert op geluid & beweging en dient binnen de 3 seconden gedeactiveerd te worden met een passphrase. etc. Kost: €30,000 initieel plus operationele kosten, €5000 / jaar. 100% security kan nooit, dus ze betalen terug tot €45,000.
Van de andere huizen in je wijk heeft 2/3 voor optie 1 gekozen: doe niks extra, 1/3voor de goedkope optie.
Wat doe jij?
Je hebt voor zo'n €50,000 spullen in huis.
De verzekering dekt maar tot €20,000.
Je installeert een alarmsysteem en sloten goedgekeurd door de verzekering, kost €10,000, maar
de verzekering betaald nu terug tot €30,000
99psecure stelt "total security" voor. Je deuren naar buiten worden vervangen door een sas, iedere bewoner krijgt een badge+sleutel, ramen op gelijkvloers krijgen stalen staven ervoor en kunnen niet meer open, Het alarmsysteem reageert op geluid & beweging en dient binnen de 3 seconden gedeactiveerd te worden met een passphrase. etc. Kost: €30,000 initieel plus operationele kosten, €5000 / jaar. 100% security kan nooit, dus ze betalen terug tot €45,000.
Van de andere huizen in je wijk heeft 2/3 voor optie 1 gekozen: doe niks extra, 1/3voor de goedkope optie.
Wat doe jij?
Ik hang een bordje "secured by F.Ake" (denk: SSL/pen test claims) + nepcameras (denk: logs van 1k)
"security is nooit 100%" is waar, maar het misbruik ervan om alle verantwoordelijkheid af te wenden lukt niet altijd meer, gelukkig. Ook het streven naar 100% is niet zinvol (gebruiksvriendelijkheid wordt opgeofferd en de kost wordt onredelijk)
En dat argument (kost en vriendelijkheid) wordt dan weer gretig misbruikt om te eisen dat security onzichtbaar is en niks kost. Helaas is dat ook de security die je soms vind: onzichtbaar en gratis, en bijna 100% (00%).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.