15 september 2014 -
Binnen korte tijd kwamen twee grote namen in het nieuws vanwege security-issues rondom hun gebruikersnetwerken: Sony en Apple. Hoewel de achtergrond sterk verschilt, is er volgens Rene Oskam, Benelux-directeur van F5 Networks wel een aantal lessen te leren.
Zowel voor bedrijven die vergelijkbare netwerken bieden, als voor de gebruikers ervan.
Reputatieschade
Sony’s PlayStation Network (PSN) werd platgelegd door een DDoS-aanval. Dat gebeurde eerder in 2011; toen lag de data van 77 miljoen gebruikers voor het grijpen. Nu ging het om een gerichte aanval door de groepering genaamd Lizard Squad. Vervelend voor het bedrijf, lastig voor de gebruikers, maar erg grote (persoonlijke) schade bleef uit.
Dat is anders bij Apple. De iCloud-accounts van enkele bekende acteurs en zangeressen zijn gekraakt, met als gevolg dat verschillende privé-foto’s openbaar werden. Rene Oskam: "Hier speelt dus reputatieschade een rol, zowel voor Apple als de personen. Apple claimde al snel dat het niet ging om een hack van hun netwerk, maar dat de bekendheden slachtoffer zijn geworden van goed giswerk, malware en social engineering. Kortom, het zou vooral aan de slachtoffers zelf liggen. Cru, maar mogelijk wel waar."
Wat leren we hiervan?
Oskam: "Ten eerste dat bedrijven met grote netwerken en databestanden een meerlaagse beveiliging moeten hebben. Dit helpt tegen de grootschalige en veelzijdige aanvallen die tegenwoordig plaatsvinden, maar ook tegen bewust dan wel onbewust lekken van gegevens binnen de organisatie. Denk hierbij aan firewalls en systemen die controleren wie probeert in te loggen op de netwerken. Ten tweede leren we nogmaals dat mensen voorzichtiger moeten zijn met wat ze in de cloud zetten, en dat zogeheten two-factor verificatie de beveiliging een stuk sterker maakt. Hierbij wordt naast een wachtwoord, gewerkt met een tweede controleslag, bijvoorbeeld een sms-code, of kaartlezer zoals veel banken gebruiken.
De praktijk is echter weerbarstig. Veel bedrijven gebruiken verschillende autonome systemen die matig op elkaar zijn afgestemd en altijd wel ergens beperkingen hebben. Cloud-gebaseerde toepassingen kunnen bijvoorbeeld versleuteld verkeer niet verwerken. Daarom wordt het vaak gewoon maar versleuteld doorgestuurd, inclusief versleutelde aanvallen. De meeste firewalls die bij organisaties worden gebruikt kampen met een vergelijkbaar euvel: zij kunnen wel netwerkverkeer controleren maar hebben geen zicht wat er gebeurt op applicatieniveau, terwijl we steeds meer afhankelijk worden van (mobiele) applicaties."
Gedeelde verantwoordelijkheid
Oskam: "Een van de sterkste beveiligingen is een zogeheten ‘context-aware’ bescherming. Een bescherming die weet welke applicaties in een netwerk draaien, hoe ze functioneren en welk verkeer ze verwerken inclusief versleutelde data. Daarnaast wordt rekening gehouden met het soort (mobiele) apparatuur, de locatie van de gebruiker, het tijdstip op de dag, kortom, de hele context die van invloed kan zijn op de beveiligingsstatus. Idealiter doe je dit zowel in de cloud als binnen het bedrijf zelf, zodat de beveiligingslagen beter op elkaar zijn afgestemd, en de kans op kwetsbaarheden tussen die lagen verkleind wordt. Op die manier ben je pro-actief; bedrijven kunnen zich niet langer een reactieve houding permitteren."
En dan nog de gebruikerszijde. Mensen moeten blijven begrijpen dat data in een cloud zetten geen vrijwaring is om er onzorgvuldig mee om te gaan, of te gemakzuchtig te denken over de beveiliging ervan. Oskam: "Uiteraard ligt er een gedeelde verantwoordelijkheid en bedrijven zullen er veel aan doen de opgeslagen gegevens te beschermen, maar het blijft eigendom van de gebruiker. Daarnaast moet beveiliging, en zeker cloud-beveiliging, worden benaderd met de 'ui-tactiek'. Hoe meer lagen hoe beter het midden wordt beschermd. Two-factor, ofwel meervoudige authenticatie is dus aan te raden. Apple en Google bieden dit dan ook aan. Het is aan de gebruiker daarvan te profiteren."
