Waar netwerkbeveiliging tot voor kort vooral gezien werd als de kunst aanvallers buiten je netwerk te houden, is er nu steeds vaker de realisatie dat dit een te simpele weergave van de werkelijkheid is. Een naïeve weergave ook. Natuurlijk zijn beveiligingsmaatregelen aan de buitenkant van je netwerk nog steeds belangrijk, maar ze vormen maar een onderdeel van de noodzakelijke maatregelen. Want wat als een aanvaller toch, ondanks alle maatregelen, in je netwerk komt? Assume breach. Wat kun je doen om de schade in dat geval te minimaliseren?

Het is bij dit uitgangspunt niet de vraag of maar wanneer een aanvaller in je netwerk komt. Ben je in staat de aanvaller tijdig te detecteren? Heb je mechanismes als netwerksegmentatie en terughoudend gebruik van admin accounts ingericht om aanvallers te vertragen? En ben je in staat een aanvaller zo snel mogelijk uit je netwerk op te ruimen en je netwerk naar een vernieuwde vertrouwde en werkende staat te brengen?

Om een goed plan te maken moet je weten wat je exact aan het beschermen bent. Hoeveel netwerken gaat het om? Hoe ziet de topologie van je netwerken eruit? Welke koppelvlakken hebben deze netwerken met de buitenwereld en elkaar? Welke systemen en hoeveel bestaan er in deze netwerken? En welke software draait hierop? Wie beheert deze systemen en software?

Als je de antwoorden op deze vragen niet binnen korte tijd boven water kunt krijgen heb je een uitdaging. Zonder deze kennis is het moeilijk je verdediging te organiseren. Aanvallers mappen je netwerk zodra ze binnenkomen, zorg dat je ze voor bent en jij een beter zicht hebt dan zij op het strijdtoneel. Zorg dat je deze basis op orde hebt. En houdt. Anders ben je je aan het verdedigen met een blinddoek voor.

Dit klinkt niet sexy en dat is het ook niet. Maar het is wel het allerbelangrijkste. Zonder dit kun je je de luxe niet permiteren om je druk te maken over hippe zaken als bugbounty programma’s en 0days. En het is niet makkelijk. Weet je zeker dat je zicht op alles hebt? Nergens meer een oude onbeheerde testserver?

En als je bedrijfsinfrastructuur in de cloud draait, weet je hoe je netwerk eruit ziet? Zijn er nergens open AWS buckets te vinden? Met zicht op alles wat het netwerk bevat is het zaak te scannen op kwetsbaarheden. Oude en nieuwe kwetsbaarheden. Continu. Zijn er systemen die gepatcht moeten worden? Of zelfs (tijdelijk) off-line gehaald zouden moeten worden?

Analyse

Met zicht op welke systemen en software je netwerk vormen heb je een goed statisch beeld. Nu nog een dynamisch beeld: wat gebeurt er op je netwerk? Welk verkeer gaat er tussen welke systemen? En welke processen genereren dit verkeer? Als er internetverkeer vanaf je mailserver wordt geÏnitieerd, wil je dit weten. Als er clients zijn die buiten kantoortijden heel veel netwerkverkeer genereren, wil je dit weten. Om dit te weten moet je het kunnen zien. Verzamel syslogs. Verzamel logging van netwerkapparatuur. Verzamel alle Netflow/IPFIX. Aggregeer al deze data op een platform en analyseer het. Zorg dat je weet wat normaal is en wat afwijkend is. Zorg dat je bekende IOCs kunt matchen en bekende malware of offensieve software c.q. technieken kunt detecteren.

Met een dynamisch beeld zie je wat er gebeurt, maar een geavanceerde aanvaller zal proberen om niet op te vallen tussen de reguliere gang van zaken op je netwerk. Maar het is jouw netwerk, jij kent dit terrein en bepaalt wat er gebeurt. Lok hem naar een plek waar je hem wel goed kan zien. Honeypots, canary tokens, doe wat je moet doen om hem tegen de lamp te laten lopen.

Niet alleen wil je het zien en analyseren, je wilt het ook bewaren. Als er een aanvaller binnenkomt, wil je analyseren hoe hij binnen is gekomen. Wat hij heeft gedaan. Dit gaat je helpen hem uit je netwerk te krijgen, en om te zorgen dat hij niet op dezelfde manier weer terug kan komen.

Opvolging

En dit raakt aan een ander belangrijk stuk van informatiebeveiliging: incident response. Hoe reageer je adequaat op een doorbraak in je beveiliging? Zonder het (kunnen) geven van goede opvolging aan incidenten heeft detectie geen enkele zin. Je hebt nu geen blinddoek meer voor, maar zonder incident response vecht je met je handen op je rug. Goede incident response vergt goede communicatie, interne afstemming en oefening.

Dat alles is hard werken. Het is makkelijk je blind te staren op (dure) appliances en software die je hierbij helpen. Veel belangrijker is dat in de hele beveiligingsketen je slimme mensen aan boord hebt. Investeer in goede mensen. Investeer om ze binnen te halen en om ze binnen te houden.

En slimme mensen herken je niet per se aan infosec certificeringen. Er zijn zeker goede infosec-trainingen en bijbehorende waardevolle certificaten, maar er zijn tegenwoordig heel veel certificaten waarbij het behalen ervan weinig zegt over de praktisch toepasbare technische domeinkennis. Er is inmiddels een hele certificerings-industrie ontstaan waar de focus meer lijkt te liggen op het geld verdienen aan nieuwkomers in de infosec industrie, dan bij het daadwerkelijk op voldoende technisch niveau brengen van diezelfde groep welwillende geïnteresseerden.

Samen

Het is belangrijk dat we niet allemaal hetzelfde wiel gaan uitvinden. Dat we elkaar weten te vinden om van te leren. Vanuit de Rijksoverheid wordt zo veel mogelijk gedaan om hierbij te ondersteunen. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de Algemene Inlichtingen- en Veiligheidsdienst en ook het Nationaal Cyber Security Centrum (NCSC) vervullen hierin een verbindende rol als kennis- en uitwisselingsplatform. Zo worden er regelmatig symposia georganiseerd om kennis en contacten uit te wisselen.

Op 2 november is een IT Kenniscafé in Soest. Interesse?

Meld je aan op https://www.werkenvoornederland.nl/over-de-rijksoverheid/agenda

Kun je er niet bij zijn maar wil je wel meer weten over de werkzaamheden binnen het securitydomein bij de Rijksoverheid? Lees de verhalen op https://www.werkenvoornederland.nl/security