Lessons Learned bij het schrijven van Security Risk Scenarios
Door Robert Metsemakers 26 jul 2018
Tussen 2000 en 2005 ging ik bijna wekelijks naar de Sneak Preview in bioscoop Cinecitta in Tilburg. Je gaat dan naar de bioscoop tegen gereduceerd tarief, maar weet niet welke film er op het scherm komt.
Dat kan tot grote tegenvallers leiden (de ‘Zoutmannen van Tibet’ was een persoonlijk dieptepunt), maar ook tot aangename verrassingen, zoals de eerste keer ‘There is Something About Mary’ in een uitverkochte zaal vol hardop lachende en joelende mensen. Dat was een Gezamenlijke Positieve Ervaring, waar ik in een volgende column meer over zal schrijven.
Acteur Sylvester Stallone sprak meer dan 200 verschillende filmproducers in Hollywood. Er zijn er niet zóveel gevestigd, dus naar sommige producers ging hij vaker dan één keer. Van elk gesprek leerde hij iets en daarmee kon hij zijn presentatie en elevator pitch steeds verder verbeteren, maar telkens zonder het beoogde succes. Totdat hij door het kijken naar een bokswedstrijd op TV het idee kreeg voor de eerste Rocky film. Hij schreef de hele nacht door aan zijn eerste filmscenario en de volgende dag lukte het hem eindelijk om dit uitgewerkte idee te verkopen, zodat het daarna verfilmd kon gaan worden. Met een hoofdrol voor zichzelf, waar al die eerdere bezoeken voor waren bedoeld.
Scenario denken
Bij het woord scenario denk ik dus zelf meteen aan een filmdraaiboek. Dat draaiboek bevat niet alleen de dialoog van de film, maar nog veel meer:
- wie spreekt de tekst uit ?(en ook: wie is die acteur, is het fluisterend of geschreeuwd, hoe kijkt - of zelfs - voelt de acteur zich daarbij);
- welke attributen zijn daarbij nodig ? (soms zo specifiek als een werpmes of een AK47 machinegeweer, een bepaalde auto of een los paardenhoofd);
- waar speelt het zich af ? (in de bibliotheek, in de auto, in de kerk, een boksschool, op kantoor, in een vliegtuig, op een onzinkbaar cruiseschip);
- wanneer speelt de scène zich af ? (nu of als een flashback in het verleden of wordt er in de film naar de toekomst gereisd).
Zo’n gedetailleerde beschrijving van wat er moet gebeuren, in welke volgorde en door wie (en welke hulpmiddelen ze daarbij nodig hebben) past ook in een security riskscenario. Energiemaatschappij Shell introduceerde ooit scenario denken in Nederland als een succesvolle aanpak in riskmanagement. Zeker wanneer je - net als Stallone - bij elke uitgevoerde test of ieder werkelijk opgetreden security-incident het betreffende riskscenario aanpast op de nieuwe inzichten en ervaringen, en het zo dus steeds verder verbetert.
1 miljoen omschrijving
Verder heeft elk filmdraaiboek een korte samenvatting. Daarin staat kort, maar zeer aansprekend, waarover het gaat. In filmland spreekt men daarom ook wel over de "1 miljoen omschrijving". Het is een bijzondere vorm van de bekende ‘elevator pitch’, waarmee mensen zich voorstellen bij sollicitaties en speeddating. Het is namelijk een beschrijving in één zin van een nieuw te maken film, waar een geldschieter meteen iets in ziet en jou daarom een miljoen betaalt, als je alsjeblieft voor hem/haar het scenario wilt uitschrijven. Bijvoorbeeld: ‘Jaws, maar dan met hondsdolle apen en Meryl Streep als jager’ (al zou ik deze film zelf niet willen zien, ook niet tegen gereduceerd tarief).
De eerste versie van het scenario zal dan later eventueel nog door andere (betere, succesvollere) scenarioschrijvers verder verfijnd en verbeterd worden, en daarna wordt pas besloten of een producer de film ook echt gaat draaien. Maar je miljoen heb jij dan voor je idee al binnen.
Ook bij security risk-scenario’s kun je voorin het document een korte, geldschieters aansprekende beschrijving maken van iets dat technisch fout kan gaan in de IT, of van een mogelijke cybercrime- aanval, of van een ongelukkige samenloop van omstandigheden door fouten of vergissingen van eigen personeel. Er bestaat een twitter-website ‘badthingsdaily’ [1], die veel van deze voorbeelden opsomt. Tijdens mijn eerste bezoek bevatte deze site 130 voorbeelden. Voortdurend voegen bezoekers daar via Twitter nog gevallen aan toe. Het zijn allemaal korte zinnen die in een tweet passen, maar ze vormen wel inspiratie om na te denken over scenario’s voor in theorie mogelijke, toekomstige, onprettige security-situaties.
| NR | OMSCHRIJVING | J/N |
| 1 | Law enforcement has notified you that hosts underlying two of your compute instances were seized from your cloud infra two months ago without your assistance / notification. | |
| 2 | A malicious browser extension is modifying the rendered values of stocks on financial websites. When an active day trader is infected, it additionally swaps ticker values to penny stocks and increases quantity of the trade. | |
| 3 | Due to a botched CI/CD script, complete source code exposure on production. | |
| 4 | The credit card you use to pay for infra SaaS dependencies was just locked down, due to unrelated fraud. | |
| 5 | HR typo'd a new employee's email. All onboarding process is going to an unknown email address. | |
| 6 | A new marketing employee purchased an email list from a spammer. Your next email campaign contains address honeypots. Massive blacklisting occurs and delivery rates plummet for all email that share MX with marketing. |
Tabel 1 - Let op: de genoemde informatiebeveiliging voorbeelden vallen niet in alle organisaties uitsluitend binnen het werkgebied van de IT security afdeling.
Security-riskscenario’s
Een mogelijke aanpak in stappen om deze badstuff-gevallen te gebruiken voor het opstellen van je eigen security-riskscenario’s is de volgende:
- Bekijk of je de op de website ‘badstuff’ genoemde situatie echt begrijpt en deze dus kort (in één zin of elevator pitch) kunt uitleggen aan degene die voor de oplossing moet gaan betalen. Vaak is dat iemand met minder technische security-kennis dan jijzelf. Kort en bondig formuleren is daarbij goed, maar doe het niet té kort (met afkortingen en jargon), zodat het begrijpelijk blijft.
- Overweeg telkens of het risico werkelijk kan optreden bij jouw organisatie, of dat je enige zaken in de omschrijving moet aanpassen. Bijvoorbeeld W2-formulieren in de USA komen in Nederland niet voor, dus ze kunnen ook niet (voor alle medewerkers van je organisatie) na een misleidend telefoontje van een social engineer door een medewerker naar het zogenaamde ‘nieuwe’ gmail adres van de Belastingdienst worden opgestuurd. Maar met andere formulieren of gegevens (zoals een fiscale jaaropgaaf in PDF) kan zoiets in theorie hier natuurlijk wél gebeuren. Met “in theorie” bedoel ik het bestaan van een bruto risico, dus voorafgaand aan alle genomen beheersmaatregelen en security awareness acties. Als die getroffen maatregelen en acties nog niet voldoende zijn, bestaat er nog steeds een netto risico dat het issue optreedt en tot schade leidt.
- Bepaal per situatie van de lijst of je een oplossing weet, of slechts een beetje, of helemaal niet. In het laatste geval: het voorbeeld verder bestuderen en er verder op doorvragen bij anderen, bijvoorbeeld collega bedrijven en organisaties in dezelfde sector. Kijk daarbij ook al naar de volgende vraag: misschien is de situatie wel op te lossen, maar kun jij of je security-afdeling het niet alleen en is hulp van andere afdelingen in de organisatie noodzakelijk.
- Bekijk bij punt 3 in elk geval of je het als security professional zelf of met alleen je collega's van de security afdeling kunt oplossen. In veel security-situaties is er namelijk voor een oplossing ook communicatie naar alle medewerkers nodig, of een door de directie vastgesteld beleidsdocument dat, bijvoorbeeld, stelt dat managers geen zakelijke laptop mee mogen nemen naar bepaalde landen waar de douane inzage vraagt in de opgeslagen gegevens en daarom vrijgave van de encryptiesleutels afdwingt.
- Op basis van de eerdere antwoorden is een datum in te schatten hoe lang het (nog) duurt om al die oplossingen en werkafspraken uit te zoeken. En ze tegelijkertijd leesbaar, voor gebruikers begrijpelijk en daarmee toepasbaar in spannende crisissituaties te documenteren in security-riskscenario’s.
- Als je per situatie een "1 miljoen vraag" (of een lager bedrag) bedenkt, kun je daarmee naar je budgethouder stappen. De risico’s waarvoor je budget krijgt, zijn de aangewezen kandidaten om als eerste uit te gaan werken.
Er bestaat na al die stappen een lijst met uit te werken security-riskscenario’s. Je weet echter niet vooraf welk risico of dreiging als eerste zal optreden. Kies daarom volkomen willekeurig de volgorde van uitwerken van de scenario's en maak een planning waarin de scenario's snel genoeg ‘allemaal’ klaar zijn. Een beetje structuur kan echter wel, want sommige risico’s hebben een lage frequentie, maar kunnen bij optreden wel tot een grote schade leiden. Sommige andere risico’s hebben per geval niet zo’n grote schade, maar kunnen wel vaak of zelfs op meerdere plaatsen tegelijk optreden. Ik zou beginnen met de groep ‘vaak en grote schade’, vervolgens met ‘vaak en kleinere schade’, dan ‘zelden en grote schade’ en daarna pas met ‘zelden en kleinere schade’. Die laatste groep is natuurlijk relatief klein, want hiervoor is het sowieso moeilijk om de interesse van de geldschieters/budgetverstrekkers te wekken.
Zodra de eerste versie van het risico-scenario beschikbaar is, kun je deze in een ‘tabletop exercise’ door een groep deskundigen laten lezen om hun tips en commentaar te verzamelen. Bijvoorbeeld alle draaiboekauteurs zelf, maar dan allemaal samen, zodat ze van elkaars fouten en ervaring kunnen leren. Een goede aanpak is om dit in een fysieke vergadering te doen (ouderwets, ik weet het), waarbij één persoon het draaiboek hardop voorleest, zodat de rest kan reageren; instemmend of met verbeteringen. In het algemeen stimuleert en motiveert het de originele auteur meer, wanneer daarbij complimenten worden gegeven, zoals “dat is een goed idee, dat ga ik in mijn draaiboeken ook zo doen!”.
Daarna volgt nog een periode die nodig is om het draaiboek te oefenen in een of meerdere securitytests. Het scenario kan zo ook goed voorspellen of de situatie (het beschreven risico) werkelijk optreedt, zoals genoemd bij ‘badstuff’ en dan kun je het handboek in het echt toepassen. Tijdens het oplossen van een (security) crisis is het altijd een goed idee als iemand het overzicht over alle genomen besluiten en uitgevoerde acties en hun resultaten bewaart en dat allemaal voor het nageslacht vastlegt in een logboek. In dat logboek staat dan als aan het eind de crisis zo goed mogelijk is opgelost, ook waardevolle informatie om het betreffende draaiboek (riskscenario) te verbeteren. Door het te vereenvoudigen, te versnellen, aan te vullen met telefoonnummers, andere of meer acteurs/rollen of betere attributen op te nemen enzovoort.
Crisisdraaiboek op papier
Een filmscenario wordt niet meer aangepast nadat de film eenmaal is geproduceerd. Maar een riskscenario kan je altijd blijven verbeteren en actualiseren. Afdrukken van een crisisdraaiboek op papier of lokaal opgeslagen kopieën lijken ouderwets, in deze tijd van “we zijn in de wolken met onze cloudoplossingen”. Maar soms treedt het security-risk in kwestie uitgerekend op als het netwerk of de internetverbinding niet beschikbaar is, of de centrale documentatie-server is omgevallen (of omgeduwd door een saboteur). En dan is het fijn dat tijdens de securitycrisis het draaiboek, met de noodzakelijke rollen, functionarissen en hun telefoonnummers tòch beschikbaar is. Ondanks de aangestoken brand in het rekencentrum, de bezetting van het kantoor met gijzeling van medewerkers, of de langdurige DDOS-aanval op de website en de thuiswerk-servers.
Robert Metsemakers is Enterprise Security Officer bij Achmea IT. Robert is bereikbaar via metsemakers@live.com. (Dit artikel is geschreven op persoonlijke titel).
Referentie
https://twitter.com/badthingsdaily - Met dank aan @Edwin Tump die mij op deze site wees.