D3NH4CK: de 5 lessons learned van Nederlandse securityexperts

  1. 13 jul 2018
  2. 0 reacties

Onlangs vond in Den Haag de tweede editie van D3NH4CK plaats, het kennisevenement van DearBytes waar experts uit de securitywereld hun inzichten delen. Wij waren erbij en delen de 5 belangrijkste lessen.

1. Internet of Things: ga uit van datalekken

Het Internet of Things (IoT) was een ‘hot topic’ tijdens D3NH4CK, en niet zozeer vanwege de spannende toepassingen die verbonden apparaten mogelijk maken. Mattijs van Ommeren, Principal Security Consultant bij Nixu Corporation, en Wesley Neelen, ethical hacker bij DearBytes, hadden een complete sessie gewijd aan de gevaren.

Van Ommeren ontdekte in 2008 een enorm lek in een populaire consumenten-NAS. Via de kwetsbaarheid kon hij niet alleen bij de data van andere eigenaren van de betreffende NAS, maar ook code uitvoeren op hun apparaten. Het aanvalsoppervlak was enorm, want het model werd onder diverse merknamen wereldwijd verkocht.

Inmiddels is de situatie volgens Van Ommeren nauwelijks verbeterd. Een recente proef met een gangbare IP-camera deed het ergste vermoeden. Het apparaat lekte onder andere het unieke identificatienummer op het netwerk, wat eenvoudig toegang verschafte tot de onversleutelde videostream. Ook het wifiwachtwoord bleek te achterhalen via het netwerkverkeer dat het apparaat genereert.

foto 1

Neelen trof recentelijk een ernstig lek aan in kindersmartwatches waardoor hij eenvoudig de locatie van kinderen kon achterhalen. Hij haalde met de ontdekking de landelijke media en vroeg mede via die weg aandacht voor het probleem.

Volgens Van Ommeren en Neelen zijn het geen op zichzelf staande incidenten, maar is de onveiligheid van het IoT een structureel probleem. Een belangrijke oorzaak is de manier waarop de apparaten tot stand komen. De leveranciersketen is lang en ingewikkeld, met onder andere verschillende producenten voor bijvoorbeeld het besturingssysteem,

de SoC en de software. In al die schakels kunnen zwakheden ontstaan. Daarbij zijn een snelle time-to-market, krappe winstmarges en gebruiks­vriendelijkheid de belangrijkste focuspunten, en dat gaat ten koste van de aandacht voor veiligheid.

De belangrijkste lesson learned: het Internet of Things biedt kansen, maar ga er vanuit dat de data die je ermee verwerkt op straat belanden. Is dat risico onacceptabel, dan kun je het IoT beter links laten liggen.

2. Focus ligt nog altijd op brandjes blussen

Met welke beschermende maatregelen sla je een cyberaanval af? En hoe beperk je het risico op een datalek? In de praktijk maken de directies van Nederlandse bedrijven vaak verkeerde keuzes. Te vaak ligt de nadruk op technische ad-hoc oplossingen waarmee de board brandjes blust. Dit was een belangrijke conclusie die klonk tijdens ‘the Boardroomgame’.

De deelnemers aan dit spel vormden samen de directie van fietsenfabriek Antilopen. In meerdere rondes moesten ze met het beschikbare budget beveiligingsmaatregelen aanschaffen. Aan het einde van iedere ronde kregen de deelnemers te horen aan welke dreigingen het bedrijf daadwerkelijk bloot had gestaan. Waren de juiste maatregelen getroffen om die dreigingen te mitigeren? Dan had dit een positief effect op het resultaat van de onderneming.

Volgens de deelnemers aan the Boardroomgame bootste het spel de werkelijkheid goed na. “Wij investeerden bijvoorbeeld pas in de derde ronde in een beveiligingsbeleid en in incident-response, terwijl je daar eigenlijk mee hoort te beginnen”, aldus Sander van Blitterswijk, een van de deelnemers aan het spel. “Maar ook in de praktijk zie je dat beleid en incident-response ondergeschoven kindjes zijn.”

“Een ad-hocbenadering van beveiliging op boardroomniveau zien we helaas ook in de praktijk”, bevestigt Nandenie Moenielal, senior securityconsultant bij DearBytes. “Security wordt vaak gezien als een puur technische aangelegenheid. Maar beleid, processen en mensen zijn minstens zo belangrijk. Technische maatregelen alleen zijn niet voldoende om de business te beschermen.”

3. Responsible-disclosurebeleid: onmisbaar in de strijd tegen cybercriminaliteit

Hoe spoor je kwetsbaarheden in je IT-systemen op voordat er misbruik van wordt gemaakt? Volgens Zerocopter-CEO Edwin van Andel zijn er genoeg ethical hackers die aangetroffen kwetsbaarheden graag melden zonder dat ze daarmee kwade bedoelingen hebben of er überhaupt iets voor terug hoeven zien. De angst om wegens computervredebreuk te worden aangeklaagd, houdt ze echter tegen.

De oplossing: stel een responsible-disclosurebeleid op. Hierin kan de organisatie aangeven op welke manier een gevonden lek ‘netjes’ gemeld kan worden. Bijvoorbeeld door het lek niet met de rest van de wereld te delen voor het is opgelost, en door aangetroffen data en systemen verder met rust te laten. In ruil voor het houden aan die gedragscode belooft de organisatie geen stappen te ondernemen tegen de ontdekker van het lek.

Dat een responsible-disclosurebeleid werkt, is inmiddels ruimschoots bewezen. Het NCSC heeft richtlijnen voor het opstellen van zo’n beleid, en er is zelfs een ISO-normering voor beschikbaar.

4. De sleutel van effectieve threat intelligence is een Cyber Fusion Cell

“Hadden de slachtoffers van WannaCry vorig jaar de ernstige consequenties van niet tijdig patchen op voorhand geweten, dan hadden ze andere keuzes gemaakt”, aldus een confronterende Matthijs van der Wel van PwC. Volgens hem kan threat intelligence (TI) die inzichten bieden. Het probleem is dat TI enorm veelomvattend is. Het is kennis van de vijand, maar ook van de eigen systemen, van de positie en ontwikkelingen in de markt. Zelfs het politieke speelveld kan van invloed zijn op de risico’s die een organisatie loopt.

foto 2

Die kennis zit vaak gevangen in silo’s. In de hoofden van mensen, in logs van securityoplossingen en in databanken vol ongestructureerde data. Hij pleit dan ook voor een soort ‘Cyber Fusion Cell’, een plek waar alle informatie samenkomt en die heterogene teams verbindt.

Een Cyber Fusion Cell combineert verschillende informatiebronnen en correleert deze informatie, al dan niet met behulp van kunstmatige intelligentie. Alle betrokken teams krijgen vanuit deze cel de juiste ‘actionable’ informatie op het juiste moment. Op die manier kunnen organisaties hun verzamelde kennis en inzichten optimaal benutten in de strijd tegen cyberdreigingen.

5. Gebouwautomatiserings­systemen zijn het volgende doelwit

Tijdens de openingssessie van D3NH4CK vestigde Suzanne Rijnbergen, portfoliomanager Security bij KPN, de aandacht op het gevaar van gebouwautomatiseringssystemen. Dergelijke systemen hebben steeds vaker een koppeling met het internet. Dat biedt hackers bijvoorbeeld mogelijkheden de koeling in datacenters uit te schakelen, het licht in kantoor­gebouwen te bedienen of gevoelige data te stelen.

Met voorbeelden maakte Rijnbergen duidelijk dat deze risico’s niet alleen in theorie bestaan. Bekend is de hack bij de Amerikaanse winkelketen Target.

De aanvallers drongen binnen via het bedrijf dat de airco onderhield en remote toegang had tot de systemen. Het gevolg was dat de creditcard- en NAW-gegevens van ruim 40 miljoen klanten op straat lagen.

Het netwerkgebaseerde Intrusion Detection Systeem BrAIN, een ontwikkeling van KPN en SecurityMatters, moet aanvallen op systemen voor gebouwautomatisering en -beheer detecteren en afslaan. Aan de hand van blacklists en whitelists controleert BrAIN of het gemonitorde BACnet-verkeer ‘goed’ of ‘fout’ is. BACnet is een datacommunicatie­protocol voor gebouwautomatiserings­systemen. Ook signaleert BrAIN eventuele misconfiguraties en manipulatie van systemen.