Catenaccio als information security system

Door Robert Metsemakers 7 feb 2019

“Voetbal is een eenvoudig spel: 22 mannen rennen 90 minuten achter een bal aan en uiteindelijk winnen de Duitsers.” Dat zei de Britse voetballer en commentator Gary Lineker ooit.

Een lange tijd wist ik alles over voetbal, tot ik bij het bekijken van mijn eerste voetbalwedstrijd ooit in een Italiaans restaurant leerde dat de spelers zijn verdeeld in aanvallers en verdedigers.Een aanvaller kan 89 minuten van de wedstrijd ballen kwijtraken, niet op tijd zijn of bij een strafschop compleet over het doel schieten (dit gebeurt echt!), maar als hij één minuut schittert en dan een doelpunt maakt, heeft hij de partij gewonnen en in de ogen van publiek, pers en trainer een goede wedstrijd gespeeld. En een verdediger die 89 minuten piekt, alle aanvallen blokt, steeds behendig de bal afpakt, maar die ene minuut aan zijn hypotheek, zijn vriendin of een ontwerp voor een nieuwe tatoeage denkt, kan in één minuut of met één fout de wedstrijd verliezen. En zo is het ook in security-land waar de hackers aanvallen en wij onze organisaties en (klant)data moeten verdedigen.

We weten allemaal dat het moeilijk is om aan goed security-personeel te komen. Maar wat je niet kwijtraakt, hoef je in elk geval niet te vervangen. Daarom adviseer ik als leidinggever je waardering uit te spreken naar de security-medewerkers over de zaken die wèl goed gaan. De 64.000 poorten op de firewall die wel gesloten zijn. De 99% van de servers die wel zijn gepatcht op de woensdag na de maandelijkse Patch Tuesday van Microsoft. De spamberichten (98% ervan) die wel worden tegengehouden meteen aan de mailpoort en die niet in een mailbox van een medewerker terechtkomen. En dus bij het aansturen en ‘motiveren’ niet alleen te focussen op de keren dat het fout gaat. Als er een hacker op Lionel Messi-niveau aan komt zetten, gewapend met een SMB-exploit gemaakt door - naar verluid, er is nog niets bewezen - de Amerikaanse NSA en verder versterkt en aangepast door - ook weer naar verluid - de Russen, staan de meeste verdedigers in eerste instantie even machteloos. En je kan je nu eenmaal pas verdedigen nadat ze je hebben aangevallen.

Maar security-medewerkers zijn professionals die gewoon graag hun werk goed doen. Een spits die een wedstrijd lang niet heeft gescoord, weet dat zelf ook wel. En een verdediger die een fout, vergissing, omissie, stommiteit (enzovoort) heeft gemaakt, weet dat zelf óók. Gun daarom security-professionals de tijd de ‘fout’ te lokaliseren, deze te verwerken, ervan en erover te leren (Google is your friend, ook in deze!) en daarna hun gedrag en werkwijze verder te optimaliseren. Daar worden we aan de verdedigende kant allemaal beter van. Want cybercriminelen zien ons van security als de Italianen in de uitspraak van Johan Cruijff: “De Italianen kunnen niet van je winnen, maar je kan wel van ze verliezen”.

En dat kwam, zo leerde ik in dat Italiaanse restaurant met behulp van vier flesjes Peroni-bier, doordat ze zo bedreven waren in ‘catenaccio’ in hun verdediging. De lege flesjes werden op een rij op tafel gezet. Dat was de Italiaanse verdediging. Dat begreep ik als leek zelfs nog wel. En als security-man herkende ik daarin natuurlijk de mij bekende functies en teams.

Er was een man of team voor Identity & Access Management. De mannen en vrouwen die bepalen wie er toegang tot de systemen en applicaties krijgen en bij welke personen die rechten moeten worden ingetrokken of gewijzigd. En tot welke systemen ze precies toegang krijgen en wat ze in die systemen vervolgens mogen doen. Niet heel sexy, maar wel essentieel voor het bewaken van integriteit en vertrouwelijkheid van in die systemen opgeslagen informatie.

Daarnaast een team van testers, die alle nieuwe systemen, websites en mobiele apps stevig onder handen nemen voordat ze ‘in productie’ gaan. Let op: tijdens die wedstrijd was er nog geen continuous deployment. En die bovendien de bestaande systemen periodiek ook aan een inspectie onderwerpen met daarbij in de planning extra aandacht voor de systemen die ooit live gingen zonder voorafgaande test, omdat de testafdeling met al hun verschillende kleuren hoedjes en petjes (rood, blauw, zwart, wit, grijs) toen nog helemaal niet bestond. Wel sexy, ook essentieel, maar helaas niet altijd in dank ontvangen door de onderzochte partij.

In het volgende flesje herkende ik het team dat compliance checks en monitoring doet, om bijvoorbeeld te zien of medewerkers toch via proxies, zoals Google Translate, verboden websites bezoeken. En dat ze geen onversleutelde USB-sticks of externe harde schijven aansluiten op het netwerk en daar bedrijfsdata op zetten, wat bij verlies of diefstal van die kleine of grote schijf tot een AVG-incident of zelfs boete kan leiden. Dit team zorgt als onderdeel van de onderling nauw samenwerkende verdediging ook voor het aanbrengen van de security-patches op alle extern verworven software. Niet sexy, maar wel essentieel om onnodige security-fouten met betrekking tot beschikbaarheid, integriteit en soms vertrouwelijkheid te vermijden.

Drie functies die elke security-afdeling wel heeft, lijkt mij. Hoeveel mensen je daarvoor nodig hebt, vraagt u dan? Nou, als je 100 personeelsleden hebt waarvan één zich fulltime bezighoudt met security, kom je uit op 1 per honderd (of ‘per cent’, zoals de Romeinen zeiden). Eén procent dus.
Heb je bijvoorbeeld 15.000 medewerkers, waarvan er 30 werken op de afdeling security, kom je op twee per duizend. Dat is dus 0,2 procent van het totale personeelsbudget. Dertig klinkt voor mij veel, maar 0,2 procent niet.

Als je die 15.000 medewerkers elke werkdag (225) vier koppen koffie of thee geeft (0,25 euro per stuk, dat is inclusief koffie, thee, water, elektra, het onderhoudscontract op de koffiemachine, melk, suiker, kartonnen of plastic beker), kost dat 3.375.000 euro per jaar. Als ze bekers en suiker meenemen voor gebruik tijdens hun vakantie, als er een bedrijfslogo op de bekers komt, of als medewerkers bij elke vergadering op een dag (staand) een beker pakken, dan wordt het duurder. En zeker als je als hippe startup company of Google de koffie door een echte ‘barista’ (Italiaans) laat bereiden. Of je telt de gederfde arbeidsuren mee voor het opnemen van de bestellingen, het tappen van alle koffie en thee, en het rondbrengen ervan op de afdeling. Ook al is het stimulerend voor de teamgeest en onderlinge collegialiteit, je hebt ook nog heb je ook nog van die dure dienbladen nodig!

In het algemeen lijkt het me in dit moderne, digitale tijdperk redelijk om het bedrag dat je aan koffie uitgeeft voor je medewerkers ook als minimumbedrag te investeren in security. Een kleine zelfstandige, zoals een schoenpoetser, paaldanseres, gaslantaarnaansteker of stadsomroeper heeft een baan met een lage informatie-intensiviteit. Er hoeft dus inderdaad minder aan informatiebeveiliging te worden uitgeven dan aan een digitaal getransformeerde organisatie waar informatie zowel grondstof, halffabricaat als eindproduct is. Maar 225 euro per jaar is bijna iedereen wel kwijt. Voor een paar virusscanners op tablet, laptop en smartphone, een backup-apparaat, een USB-powerbank om ook bij een lege mobiele telefoon toch de DigiD-code als tweede factor via SMS te kunnen ontvangen en zo te kunnen aanloggen op een belangrijke website. En de uren die je jaarlijks moet besteden om de gewijzigde privacyreglementen van social media providers te bestuderen, kun je wat mij betreft ook meerekenen als ‘aan security besteed’.

Juist toen ik me zat af te vragen wat het vierde flesje was, kwam de restauranteigenaar aan ons tafeltje staan. Hij transformeerde twee stukjes stokbrood in doelpalen en schoof het vierde flesje daartussen, als een keeper. Na het bekijken van de wedstrijd begreep ik dat het de Italianen er vooral om ging geen doelpunt tegen te krijgen en dat daarvoor de bal gestopt moest worden tijdens elke aanval. En wanneer dat tegenhouden niet lukte door de bal bruut (Brutus – ook een Italiaan) of listig (Machiavelli van ‘De Vorst’ - een van de oudste managementboeken - was behalve diplomaat, politiek filosoof, militair strateeg, historicus, dichter, toneelschrijver en humanist ook Italiaan) af te pakken, dat dan in elk geval de aanvaller gestopt moest worden. Daarbij werd een flinke overtreding niet geschuwd. Want als de afweging is: óf een tegendoelpunt krijgen en de wedstrijd verliezen en daarmee de winnaarsbonus voor alle spelers en trainer kwijtraken en op langere termijn ook reclame- en merchandisingrechten en de opbrengsten uit verkoop van losse toegangskaarten en jaarabonnementen, óf de situatie dat één verdediger één keer de volgende wedstrijd niet mee mag doen, maar daarvoor toch betaald krijgt…
Ik kon me met die uitleg wel voorstellen dat die keuze meestal in het nadeel van de enkel- of kruisbanden van de betreffende aanvaller werd gemaakt. Of door héél hard aan zijn truitje te trekken terwijl hij probeert de bal te koppen.

Begrijp me wel: security-medewerkers hoeven voor mij niet per se (Latijn!) zo meedogenloos op de man te spelen, maar hard ingrijpen om bijvoorbeeld een grote DDoS-aanval snel te stoppen, is soms wel noodzakelijk. De website uit de lucht halen om een essentiële patch aan te brengen, de toegang tot de centrale server die software deployed uitzetten als ransomware elders op het netwerk wordt gevonden en dat soort maatregelen. Maar hoe bekwaam je ook verdedigt, het gaat toch incidenteel weleens fout, legde de eigenaar uit. En in die betreurenswaardige gevallen worden dan door de doelverdediger geblokkeerd.
Goed, dat was dus het Security Incident Response Team - om auteursrechtelijke reden ook vaak ‘SOC’ genoemd. Het zijn in elk geval de groep mannen en vrouwen die in actie komen bij grote security incidenten en die daarna pas naar huis gaan om te slapen als de acute problemen in de operatie voldoende zijn opgelost.

Net toen ik dacht het hele systeem te begrijpen, plaatste de eigenaar zijn eigen, inmiddels ook lege, flesje Birra Moretti op de tafel en bleef dat over de tafel schuiven tussen de vier Peroni-flesjes door. Hij vertelde dat het Italiaanse woord catenaccio ‘deurgrendel’ betekent en dat het voetbalsysteem met dezelfde naam was beïnvloed door het ‘verrou’ (dat is Frans voor ‘deurgrendel’) systeem uitgevonden door de Oostenrijkse coach Karl Rappan toen hij in de jaren ‘30 en ‘40 het, voor mij enigszins verwarrend, Zwitserse voetbalteam coachte. Hij gebruikte een extreem defensief ingestelde speler, die net voor de keeper was gepositioneerd: de verrouilleur. Ook wel ‘bezem’ genoemd, omdat hij de taak had om alle toch nog door de verdediging gekomen ballen op te vangen. In het Nederlands werd die speler ook wel laatste man genoemd, zei hij nog. Het leek mij, als voetballeek, dat juist de keeper die functie had, maar ik knikte hier instemmend. De restauranteigenaar had mij namelijk bij een eerder bezoek al gezegd: “Keepa calm? I cannota keepa calm, I am Italian!”

Deze speler werd later ook wel ‘libero’ genoemd en zijn rol was het oppikken van verloren ballen in de breedte van het veld en het eventueel helpen met dubbele mandekking, bij erg sterke opponenten. Een andere innovatie in de jaren ‘50 in het catenaccio was de snelle counteraanval, vooral door lange ballen naar voren vanuit de verdediging. Maar ik dwaal hier – voor het eerst in mijn leven – af.

De verdedigingslinie bestond dus uit drie man en hield zich bezig met in voetbaltermen een zeer strikte mandekking, dus elke verdediger zijn eigen aanvaller. In security-termen is dat een strikte functionele scheiding: de testers doen geen IAM, de autorisatiebeheerders doen geen pentesting, de security-patchers zitten niet in het redteam. Ieder team heeft zijn eigen specialisme en dat werkt door de onderlinge samenwerking. Als voetbalsysteem richt catenaccio zich vooral op een goed georganiseerde en effectieve verdediging, die de aanvallen van de opponenten moet neutraliseren en kansen bij de tegenpartij om doelpunten te maken moet voorkomen. Er is echter ook een aanvallend aspect en sommige vleugelverdedigers scoren net zoveel als een aanvaller. Maar security-medewerkers vallen niet aan, zoals ik al aangaf. Behalve misschien als ze bij een veiligheidsdienst of law enforcement agency werken en wettelijk gezien mogen ‘terughacken’.

De liberofunctie kun je op een security-afdeling invullen met een team mobiele ‘probleemoplossers’, die afwisselend op verschillende plaatsen waar nodig de security van een organisatie versterken. De Duitsers noemen deze speler trouwens ’Ausputzer’, die rugdekking geeft aan de verdedigers (als een soort ‘security van de security’). Dat klinkt voor mij beter dan ‘bezem’ of ‘slingerback’, mocht u beste lezer hiervoor nog in alle haast een nieuwe vacaturetekst gaan opstellen. Consultant dekt de lading niet helemaal, want behalve raad wordt er af en toe van de raadgever ook daad verwacht. Omdat deze personen naast hun interne samenwerking ook regelmatig extern afstemmen en verbinden met branchegenoten, overheid (NCSC), politie en security-leveranciers vind ik ‘liaison officer’ (verbindingsofficier) wel een mooie functienaam.

Inmiddels zijn sinds die voetbalwedstrijd vele jaren verstreken en wordt catenaccio in zijn pure vorm weinig meer toegepast. Buiten Italië is catenaccio een scheldwoord geworden voor saai, negatief voetbal. Wanneer een Italiaans voetbalteam echter een succesvolle defensie, met welk systeem dan ook, laat zien in een wedstrijd zijn de dames en heren van de schrijvende pers er als de kippen bij (om maar eens twee clichés in één zin te gebruiken), om te reppen van ‘de terugkeer van het Italiaanse catenaccio’. Dat is dan strikt genomen onjuist geformuleerd, want het is eerder ‘zona mista’ - dus met zonale dekking in plaats van mandekking - of een opvolger daarvan. Maar dit taalgebruik geeft wel aan dat catenaccio een synoniem is geworden voor een succesvolle defensie-tactiek, die geen of slechts zeer weinig ballen doorlaat. En dat is iets waar we als security-specialisten toch allemaal naar streven!

Ciao!

Auteursgegevens
Robert is als ervaren IT auditor en informatiebeveiligingsexpert beschikbaar voor security- advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com.