Drie loodgieterslessen voor security

Door Robert Metsemakers 15 okt 2019

Securityprofessionals lijken in hun werk op loodgieters. Ook zij moeten een goede volgorde kiezen in het oplossen van problemen, bij minder leuke klussen toch gemotiveerd blijven en steeds voorbeeldgedrag tonen aan hun omgeving.

Water en ontlasting lopen altijd naar het laagste punt. Cybercrime en securityproblemen gebeuren ook meestal op het punt met de laagste bescherming. Vaak is de menselijke schakel de zwakste in de keten en dus is awarenessverhoging meestal een goed idee. De security maturity van een afdeling is te meten op een aantal kwaliteitsaspecten. Wanneer we security-aspecten A,B,C,D en E meten en de score is 3-4-4-4-5, dan adviseer ik de ‘A’ te verhogen van 3 naar 4. Niet door nu al te proberen om B+C+D te verhogen naar 5 (rekenkundig gaat de totaalscore dan omhoog), want aspect ‘A’ blijft dan het zwakste punt. Bijvoorbeeld wanneer ‘A’ de security awareness bij medewerkers, managers en systeembeheerders is. Soms is de awareness al ‘5’ en moet het wachtwoordbeheer worden verbeterd, omdat bijvoorbeeld de password reset te gemakkelijk misbruikt kan worden. Kijk naar je zwakste punt in security en verbeter dat eerst.

Securitywerk is stressvol. Je reageert op bewuste aanvallen en onbewuste fouten (van jezelf of andere personen) en die komen per definitie onverwacht. Vaak is security een hygiënefactor. Je kunt het nooit goed doen, alleen fout. Je kunt er de commerciële wedstrijd niet mee winnen als je het goed doet, maar wel verliezen als je het fout doet. Dan is het goed je te realiseren dat aan het eind van de week (of maand, als u niet meer werkt met papieren loonzakjes) er een beloning tegenover staat. Of voor elk teamlid een eigen ‘pannenkoek babi pangang’ bij een on-time-and-specs afgesloten project, zoals ik meemaakte tijdens een leuke afdelingstraditie.

Een bijzondere situatie van betalen voor security is een externe penetratietest. Blackbox (zonder enige informatie over uw configuratie aan de tester en voor zeer weinig geld in een korte periode) komt dan ter sprake. Dan kun je van de externe leverancier niet veel meer verwachten dan een onervaren pentester die net een geautomatiseerd scantool kan starten en het gegenereerde rapport daarna omzet naar PDF. Je betaalt dan een beperkt bedrag voor de uitkomst – ‘In twee werkdagen kan een onervaren hacker met een beperkt aantal tools en zonder voorinformatie niet binnendringen in het onderzochte systeem.’ Dat is iets heel anders dan dat ze zeggen: ‘De website, app of applicatie is voldoende veilig.’ Terwijl dat vaak de uitspraak is waarom het niet-inhoudelijk management een externe penetratietest verplicht stelt als voorwaarde voor ‘live’ gaan. Penetratietesten is negatief testen: bij gevonden issues en tekortkomingen kun je wel aantonen dat een systeem onveilig is, maar het ontbreken van bevindingen uit een pentest zegt niet dat het systeem voldoende beveiligd is. Het zegt alleen dat de betreffende tester(s) in de beschikbare tijd en budget geen kwetsbaarheden konden vinden. Een beperkte pentest is wel noodzakelijk, maar niet voldoende, bedoel ik.

Nooit op je nagels bijten is logisch als je werkt met poep in en rond buizen. Securitymedewerkers moeten ook 'roomser dan de paus' zijn. Zorgen dat hen zelf geen securitynarigheid overkomt, om geen afbreuk te doen aan de organisatiebrede security awareness-campagne vanuit de afdeling Security en hun geloofwaardigheid, professionaliteit en marktwaarde te continueren. Bewaar je back-ups (!) apart van de originele datadrager. Wees alert op phishing en denk aan het Turfschip van Breda[*] bij installeren van software uit ‘onduidelijke bron’. Niemand moet een gevonden USB-stick met mogelijk malware in de zakelijke laptop steken - en zeker een ervaren security-expert niet!

[*] Lang na het Paard van Troje smokkelde men in Breda - met vrijwel dezelfde list - soldaten de stad binnen om deze te veroveren op de bezetters.

Auteursgegevens

Robert Metsemakers is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com.