Bouw een hoge ‘Chinese muur’ om je bedrijf heen en je houdt hackers gegarandeerd buiten de deur. In de ideale wereld is dat goed mogelijk, maar in de realiteit wordt élk bedrijf op enig moment gehackt. De enige variabelen: de snelheid waarmee en de wijze waarop. Wie geen plan klaar heeft liggen voor de dag dat de hacker wel over die muur klimt of er een tunnel onderdoor graaft, neemt bewust risico. Accepteer dus maar dat die hacker binnenkomt, zeggen ze bij Deloitte. Daar werkt een speciaal team met hackers, die op verzoek de zwakke plekken in de line of defense van hun klanten blootleggen. Een gesprek met Ivo Noppen en Eduard Nigma over compliance, IT security en integriteit.
‘We simuleren niet alleen een aanval op een bedrijf, maar we doen hem echt. En dan hebben we het niet alleen over het hacken van computers, maar ook over het fysiek binnendringen van een bedrijf, het manipuleren van mensen met e-mails om gegevens te achterhalen of software te installeren. Kortom, we doen zulke aanvallen om het bedrijf in kwestie wat te leren. Hoe denkt een aanvaller, hoe gaat hij te werk? Wat kunnen we wel zien en wat niet? Hoe kunnen we onze beveiliging verbeteren om aan dit soort aanvallen het hoofd te bieden?’ Aan het woord is Deloitte-medewerker Eduard Nigma (naam op zijn verzoek gefingeerd); overduidelijk iemand zonder saaie kantoorbaan.
|
Andere mindset
Nigma: ‘Je laat mensen de zwakheden van hun IT security zien. Dat kunnen heel technische punten zijn, maar het kan ook in het beleid zitten en in de persoon. Denk maar aan social engineering en phishing, waardoor mensen onder meer worden verleid om een wachtwoord achter te laten. Hackers kunnen daardoor gemakkelijk toegang krijgen tot data die anders niet ‒ of met aanzienlijk meer inspanning ‒ te verkrijgen zijn.’ Maakt dat de mens per definitie tot een vrij zwakke, of misschien zelfs wel de zwakste schakel? ‘Nee’, luidt zijn antwoord. ‘De mens kan juist ook heel sterk zijn; doordat zijn intuïtie hem waarschuwt dat iets niet in de haak is. Helaas negeren mensen die ‘red flags’ vaak. Wij sturen daarom nadrukkelijk op het creëren van extra bewustwording van dat soort signalen. Kortom, we willen een andere mindset bij klanten stimuleren: medewerkers moeten niet meer hun schouders ophalen en denken ‘ik zal het me wel verbeelden dat er iets aan de hand is’, maar juist: ‘hé, dit ziet er toch een beetje vreemd uit, wat moet ik hiermee? Misschien is het niks, maar laat ik het voor de zekerheid toch even melden’.
Red and blue teams
Ivo Noppen is hackingspecialist bij Deloitte en komt uit de hackingpraktijk van de accountantsorganisatie, terwijl Nigma uit de zogeheten ‘red teaming-praktijk’ komt. ‘Hacking is meer gescoped’, licht Noppen toe. ‘Bij hacking richt je je op een heel specifieke applicatie of een nieuw systeem dat de klant online heeft gezet. Je krijgt dan de specifieke opdracht om alleen dat onderdeel door te lichten op kwetsbaarheden, om te onderzoeken waar hackers binnen kunnen dringen. Bij ‘red teaming’ heb je een veel minder afgebakende scope. De scope is eigenlijk het gehele bedrijf van je klant, dat je op elk mogelijk onderdeel aanvalt, met inzet van diverse middelen. Met maar één missie: lek schieten!’
Nigma: ‘Met red teaming kijken we hoe het bedrijf (onze klant) reageert op een aanval. Daar staat als verdediging het ‘blue team’ tegenover; mensen uit de organisatie die het netwerk bij de klant monitoren, de firewall (her)configureren, etc. Wij zorgen er met ons red team voor dat dit blue team waarde krijgt. Wij dwingen hen hun verdediging aan te scherpen, waardoor zij ons weer prikkelen tot slimmere aanvallen.’ In die zin blijft het een boeiend kat-en-muisspel, geeft hij aan. Dan, even reflecterend: ‘Vroeger zetten we al het geld op de verdediging, vandaag de dag accepteren we gewoon dat hackers op moment X door de verdediging heen komen. De focus ligt dus niet langer op preventie, maar juist op detectie en bestrijding.’
Wat de hacker beweegt
Nigma: ‘Als jij niet weet wat je aanvaller beweegt, kun je hem sowieso moeilijk buiten de deur houden. Er zijn zoveel hackers in binnen- en buitenland. Cybercriminelen, die de hele dag het internet afscannen op zoek naar kwetsbare systemen; ongenode gasten voor wie je je voordeur zo goed mogelijk wilt vergrendelen. En komt er onverhoopt toch zo’n gast binnen, dan moet je dat wel direct weten! Daarvoor moet je een responsplan klaar hebben liggen. Zo kan het je strategie zijn om de insluiper eerst te gaan volgen, zodat je ziet welke dingen hij aanraakt of welke data hij laat wegsijpelen naar het internet. Of je besluit hem direct te ‘containen’; in een hoekje te duwen en af te serveren. Feit is dat je je eigen systemen continu zult moeten monitoren. Pas als je weet waar een potentiële hacker naar op zoek is, kun je die monitoring ook goed ‘tailoren’. Eerder niet.’
Profiel hackers
Wat voor profiel hebben de hackers die in het hackingteam van Deloitte zitten? Noppen: ‘De achtergrond van onze mensen is heel divers; het zijn technici uit de computer sciencehoek, wiskundigen en natuurkundigen, maar ook mensen met een commercieel-economische of een wat politieke achtergrond. Maar weet je, het allerbelangrijkste is het vereiste karakter. Eén: je moet een erg nieuwsgierige geest hebben. Twee: je DNA moet bol staan van creativiteit. De raderen in je hoofd moeten constant draaien; hoe steekt iets in elkaar, hoe kan ik er iets anders mee doen dan waar dit systeem of deze applicatie voor bedoeld is? Technische knowhow is in die zin pas vers twee. De hackers in onze teams zijn ook nooit klaar met leren. Ze zijn altijd informatie aan het zoeken, nieuws aan het volgen. Nieuw gevonden kwetsbaarheden proberen ze actief uit op onze eigen systemen, voordat ze ermee aan de slag gaan bij klanten.’
Naarste hackers
Noppen: ‘We zien op dit moment dat sommige criminele (en ook staatsgesponsorde) organisaties heel ver kunnen gaan. Het maakt niet meer uit wie er achter de knoppen zit (…). Een grote dreiging vormen hackers die zich echt heel specifiek op jouw bedrijf richten. Die het dus hebben voorzien op jouw intellectual property, je assets, waarmee ze extra kennis opbouwen waardoor ze dieper kunnen penetreren in jouw organisatie. Dat maakt de waarde duidelijk van zogeheten white hat hackers; ethische hackers. Zij zorgen ervoor dat ze kwetsbaarheden vinden voordat iemand anders dat doet en schade aanricht. Daarnaast bestaan de onethische, op persoonlijk gewin uit zijnde black hat hacker en de grey hat hacker. Die laatste is evenmin zuiver bezig, maar is ‒ in tegenstelling tot de black hat hacker ‒ niet primair gebrand op het louter toebrengen van zware schade of het behalen van financieel gewin. Een grey hat hacker probeert met zijn acties bijvoorbeeld specifieke aandacht van de pers te claimen en haalt daar dan zijn voldoening uit.’
Compliance
Hacking en security testing zetten veel bedrijven in vanuit hun compliancebehoefte, merkt Nigma op. ‘Ze willen een baseline creëren van security. Toch is hun scope daarbij vaak beperkt, omdat ze zich focussen op separate applicaties of stukjes netwerk. Binnen red teaming kijken we breder, maar hebben we het er ook over wat er nou net níet binnen de scope valt; systemen die je niet aan mag raken of connecties met derde partijen bijvoorbeeld. Om een bedrijf te helpen volwassen te worden op securitygebied, is een brede blik nodig. We willen alle ‘gaten’ tussen alle onderdelen zien. Een veilig bevonden nieuwe applicatie of nieuw systeemonderdeel kan echter alsnog onveilig zijn wanneer het benaderd kan worden via een niet geüpdatet ander systeem dat in hetzelfde netwerk hangt, om maar iets te noemen.’
Meeste indruk
Kunnen jullie een voorbeeld geven van een hack die een onuitwisbare indruk op jullie heeft gemaakt? Noppen en Nigma: ‘Het zijn voor ons eigenlijk juist de positieve voorbeelden die eruit springen. Je probeert een bedrijf binnen te komen, maar je wordt gewoon gestopt bij de red teaming-opdracht. Ik geef toe; we liggen er dan van wakker dat we niet verder kunnen komen. Onze terriërmentaliteit komt dan boven; we laten onze creativiteit er helemaal op los. Let wel, die mentaliteit bezit een gedreven aanvaller ook! Bovendien, die aanvaller heeft misschien wél maanden de tijd en gelegenheid gehad om zich erop voor te bereiden. Wij niet.’ Nigma: ‘Niets kunnen vinden is het meest frustrerende dat we kunnen meemaken als hackers… Natuurlijk wil je dat een bedrijf zo goed mogelijk beveiligd is, maar als dat bedrijf al behoorlijk beveiligd is voordat je begint met je cyberaanvallen, ligt de lat hoog. We trekken in zo’n geval alle registers open. Dankzij die gedrevenheid, onze knowhow en ervaring hebben we vorig jaar (en ook in eerdere jaren) de Cyberlympics gewonnen.’
Ethiek
Ethisch besef en ethisch handelen zijn kernwaarden binnen Deloitte. Noppen: ‘Onze organisatie is gestoeld op vertrouwen. Daarom huren klanten ons ook in. Want we zitten dan wel met een groep hackers, maar we kunnen ons natuurlijk op geen enkele manier veroorloven dat er wat misgaat. Onze collega’s worden daarom zorgvuldig geselecteerd, stevig en regelmatig getraind, zijn gecertificeerd, en hun handelen is omgeven met protocollen. Iedereen wordt gescreend. We zijn een accountancy- en adviesorganisatie die onafhankelijkheid en vertrouwen hoog in het vaandel heeft staan, we doen ook audits. Dus ja, we zijn hier heel scherp op.’
Auteur: Annemarie Oord, eindredacteur Accountancy Vanmorgen
Geef een reactie