MAGAZINE EN VERDER. Thema Cyber Security. Motiv formuleert aanpak cyberdreiging. Aanval is de beste verdediging

Transcriptie

1 VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING Thema Cyber Security MAGAZINE Nr voorjaar 2012 Visie op Cyber Security Motiv formuleert aanpak cyberdreiging > P. 10 Interview met de ethical hackers van Motiv Aanval is de beste verdediging > P. 16 Leverancier in de schijnwerpers Check Point slaat cybercriminelen botnets uit handen > P. 18 > P. 6 Gesprek met wim hafkamp, CISO bij de Rabobank Groep ' Vooruit kijken om de aanval voor te zijn' EN VERDER CISO André Beerten over de NEN 7510-puzzel Blue Coat WebPulse biedt realtime bescherming

2

3 Nr voorjaar 2012 Coverbeeld: Wim Hafkamp, Rabobank Groep, geportretteerd door Ruud Jonkers Fotografie IN DIT NUMMER MAGAZINE Motivator Magazine is een uitgave van Motiv IT Masters BV VOORWOORD 6 Wim Hafkamp van de Rabobank Groep: Vooruit kijken om de aanval voor te zijn 10 Visie op Cyber Security: Motiv formuleert aanpak cyberdreiging 16 Interview met de ethical hackers van Motiv: Aanval is de beste verdediging 18 Check Point slaat cybercriminelen botnets uit handen 30 André Beerten van Coöperatie SZWN: NEN 7510 toepassen enorme puzzel The art of Cyber Security Het belang van een gedegen Cyber Security-programma is enorm. Ook begin 2012 is het nieuws rondom cybercrime een trending topic. Zowel het vergroten van de weerbaarheid als securitymonitoring staat als gevolg van de vele incidenten hoog op de beveiligingsagenda. Reden voor de Motivator om dit onderwerp breed uit te lichten. Paul Derksen en Ronald van der Westen van Motiv spreken over de the art of hacking. De aanpak voor elke inbraaktest is uniek. En de bevindingen van een dergelijke test zijn een mooie basis om te kijken waar zaken verder verbeterd kunnen worden. Meer over de algemene strategie voor verbeteren is beschreven in de visie van Motiv rondom Cyber Security. Verder een interview met Wim Hafkamp, Chief Information Security Officer van de Rabobank Groep. Ook Rabobank onderkent de risico s van Cyber Security. Middels meerdere continue veranderprogramma s houdt de bank grip op de risico s van cyberdreigingen. Wim Hafkamp vertelt aan Motivator hoe dit binnen de Rabobank is opgepakt. Verder interviews met André Beerten, Chief Information Security Officer van Coöperatie SZWN, en met Kees de Raad en Johan Meijer van Kawasaki Motors Europe. EN VERDER 4 Motiv vestigt aandacht op pijnlijke gevolgen cyberdreigingen 13 Blue Coat WebPulse biedt realtime bescherming 20 Arnoud Engelfriet: Ethische hacker snel in grijs gebied 22 Kawasaki: Beveiliging is in onze visie een contradictie 26 Update: Motiv in Oeganda 28 Column: BIV-triade 29 Kwaliteit zorg gebaat bij informatiebeveiliging 34 Imperva s Data Security beschermt de business 36 Column: Bewust veilig 37 Toezichthouders pleiten voor risicogebaseerd denken 38 Authenticatie met SecurEnvoy altijd op maat 41 Motiv s Peter van de Water ontvangt Juniper Award 42 Column: Beveilig op maat! 43 Nieuwe vormen telewerken introduceren risico s 47 Beveiligingsexpertise Motiv op afroep beschikbaar via MPS 48 Motiv bouwt nieuw pand 50 Nieuws van Motiv ICT Security is enorm in ontwikkeling. Als gevolg daarvan verwacht Motiv in 2012 verder te groeien en dat past niet meer in onze huidige kantoren. Dit betekent dat Motiv dit jaar een splinternieuw kantoor laat bouwen in hartje IJsselstein. We zullen dit kantoor in 2013 betrekken. Dit geeft ons de mogelijkheid om op grotere schaal slimme en innovatieve producten en diensten te leveren. In deze Motivator ziet u de eerste impressies van de nieuwbouw. Wij hopen dat u met deze Motivator weer voldoende inspiratie opdoet om uw complexe beveiligingsvraagstukken op te lossen. Bastiaan Bakker, Directeur Business Development 3

4 HEADLINE Motiv vestigt aandacht op pijnlijke gevolgen cyberdreigingen Updatesessie Belang van Cyber Security Motiv vestigt aandacht op pijnlijke gevolgen cyberdreigingen door Ferry Waterkamp, freelance ICT-journalist Motiv organiseerde begin maart in De Olifant in Breukelen een updatesessie over de gevaren van cyberdreigingen en hoe organisaties zich hiertegen kunnen wapenen. Tijdens discussies met de zaal kwam de aandacht al snel te liggen op de mens' als de zwakste schakel en het belang om alert te zijn op social engineering. "Slechts twee muisklikken kunnen verstrekkende gevolgen hebben", zo merkte Pre-Sales Security Engineer Niels den Otter van Check Point Software Technologies op. De sessie werd geopend door ICT-journalist Brenno de Winter die de afgelopen jaren bekendheid verwierf door kwetsbaarheden bloot te leggen in de beveiliging van onder andere de ov-chipkaart, DigiNotar en KPN. Als onderdeel van de actie Lektober schoot hij gaten in een vijftigtal gemeentewebsites. Niet omdat ik een hekel heb aan gemeentes, maar omdat ik vind dat je als gemeente de plicht hebt om een minimale beveiligingsstandaard te hanteren. Als burger ben je namelijk verplicht om je gegevens bij een gemeente achter te laten. Tijdens zijn presentatie probeerde De Winter de ogen van het publiek te openen door te wijzen op de mogelijk catastrofale gevolgen van het niet goed op orde hebben van de beveiliging. Digi- Notar was twee weken na het bekend worden van het beveiligingsincident failliet. DigiNotar had dan ook mensen in gevaar gebracht door na de inbraak vol te blijven houden dat alles oké was. Maar ook het lekken van wachtwoorden via een gemeentewebsite kan verstrekkende gevolgen hebben als de eigenaar van een wachtwoord hetzelfde wachtwoord ook op andere plaatsen gebruikt. Gelooft u mij, ik word niet graag geconfronteerd met berichten die ik tien jaar geleden heb achtergelaten op een datingsite, zo gaf De Winter als voorbeeld. Er zijn voorbeelden van mensen die hun baan hebben opgezegd en iets anders zijn gaan doen, gewoon omdat de situatie te pijnlijk was. Retentie is ontzettend belangrijk, zo drukte De Winter het publiek op het hart. Gooi je verouderde data weg, dan heeft een lek ook minder impact. Het scheelt nogal of er na een lek de gegevens van 30 of personen op straat komen te liggen. Cyber Security Bastiaan Bakker, Directeur Business Development bij Motiv, ging tijdens zijn presentatie dieper in op de maatregelen die organisaties kunnen nemen tegen cyberdreigingen. Hij onderscheidde daarbij drie fasen die moeten leiden naar een volwassen vorm van Cyber Security. De eerste fase bestaat uit het optimaliseren van de weerbaarheid met behulp van moderne technologieën en het plaatsen van beschermende maatregelen. Voorkomen is nog altijd beter dan genezen, merkte Bakker op. De tweede fase bestaat uit het inrichten van securitymonitoring eventueel binnen een Cyber Security Operations Center om inbraken en gedrag te kunnen signaleren en filmen. De derde stap is het beperken van de schade door het inrichten van een incident- en response-team dat als een soort mobiele brandweer kan uitrukken als het nodig is. Maar het op orde krijgen van dit proces neemt zeker drie jaar in beslag, merkte Bakker op. De camera s moeten eerst op de juiste plek worden opgehangen en de alerting moet op de juiste manier zijn ingeregeld; pas dan heeft het zin om de mobiele brandweer uit te laten rukken. 4 MM 01 voorjaar 2012

5 Cyber Security Op donderdag 19 april 2012 organiseert Motiv een Security in Mobiliteit updatesessie. Na de zeer succesvolle Cyber Security-updatesessie van afgelopen maart, staat deze tweede updatesessie van 2012 in het teken van Security in Mobiliteit. Samen met een aantal toonaangevende en internationaal georiënteerde partners, waaronder Juniper en SecurEnvoy geven wij u meer inzicht in het belang van securityvraagstukken binnen de wensen als telewerken, de 24-uurs economie en Het Nieuwe Werken. Naast de presentaties door externe sprekers, partners en Motiv is deze sessie, zoals u gewend bent, uiterst interactief. Wij hebben tijdens de voorbereiding van dit evenement van een aantal relaties het verzoek gehad om ook in te gaan op onderwerpen zoals mobile device management en lifecyclemanagement van mobiele devices. En dan nog zijn we alleen maar reactief bezig. We moeten naar een proactieve aanpak door gebruik te maken van de security intelligence die wereldwijd beschikbaar is. Hier zijn we in Nederland nog worden overgenomen. Je kunt technisch alles op orde hebben, maar als de gebruikers niet alert zijn op social engineering fiets je zo door de beveiliging, merkte een bezoeker op. 19 april: MOTIV PRESENTEERT HET BELANG VAN SECURITY IN MOBILITEIT VOOR U EN UW ORGANISATIE! Wij stellen uw aanwezigheid zeer op prijs! Inschrijven kan nu! We moeten naar een proactieve aanpak door gebruik te maken van de security intelligence die wereldwijd beschikbaar is' nauwelijks mee bezig. De rol van Motiv is om tussen de klant en de Cyber Intelligence in te gaan zitten, door het collecteren en analyseren van de informatie, het formuleren van een boodschap en het uitvoeren. Motiv kan functioneren als de lokale hub richting dat internationale speelveld. Gebruikers centraal De presentatie van Bakker wierp vanuit het publiek al snel de vraag op of een Cyber Security-aanpak zich niet in eerste instantie moeten richten op security awareness en het opvoeden van de gebruikers? Algemeen wordt immers aangenomen dat social engineering de primaire methode is om malware op machines geïnstalleerd te krijgen die dan op afstand kunnen Social engineering is al zo oud als de weg naar Kralingen, alleen gaat het nu via wegen als LinkedIn en Facebook, bevestigde Niels den Otter van Check Point tijdens zijn presentatie. De mens is van nature nieuwsgierig en dat is meteen het eerste probleem. Een wordt eerst aangeklikt en pas daarna wordt nagedacht over de mogelijke gevolgen. Slechts twee klikken kunnen zo verstrekkende gevolgen hebben. Demonstratie De dag in Breukelen werd afgesloten met een demonstratie van Crossbeam s high-performance hardwareplatform dat is geoptimaliseerd voor het draaien van de beveiligingssoftware van derde partijen zoals Check Point en Imperva. Met dit platform is het volgens de leverancier mogelijk om zaken als firewall, IDS, IPS, URLfiltering en antimalware te consolideren binnen één chassis zonder in te boeten op performance. Als de verschillende beveiligingsapplicaties op verschillende appliances worden gedraaid is vaak wel sprake van een aanzienlijk performanceverlies, zo stelde Zach Barile, bij Crossbeam Director Global Alliances. Door de consolidatie kun je de applicaties bovendien integraal monitoren op de gezondheid. Al met al kan worden teruggekeken op een geslaagd evenement dat bij de bezoekers een behoefte heeft ingevuld. Ik ben hier naartoe gekomen om me te oriënteren op voor mij nieuwe ontwikkelingen en Crossbeam kende ik nog niet, reageert Ed Voncken, consultant van CVIS en een van de meer dan 80 aanwezigen. Steeds meer zaken worden via internet afgehandeld maar in de top van organisaties is nog te weinig het bewustzijn dat je dan je Cyber Security op orde moet hebben. Dat bewustzijn komt vaak pas nadat de organisatie is gehackt. Dat wil ik graag voor zijn. 5

6 HEADLINE Vooruit kijken om de aanval voor te zijn Interview Wim Hafkamp, Chief Information Security Officer bij de Rabobank Groep ' Vooruit kijken om de aanval voor te zijn' 6 MM 01 voorjaar 2012

7 Cyber Security De Rabobank ziet een optimale informatiebeveiliging als het fundament onder een langdurige relatie met de klant. Wij vertalen het vertrouwen van de klant door in een optimale beveiliging, zegt CISO Wim Hafkamp van de Rabobank Groep. Een gesprek met Hafkamp over de initiatieven die worden ontplooid om op het gebied van informatiebeveiliging tempo te houden in de verbeteringen en klanten te beschermen tegen de toenemende dreiging van cybercrime. Wim Hafkamp is sinds november 2011 als Chief Information Security Officer eindverantwoordelijk voor informatiebeveiliging binnen de gehele Rabobank Groep. Deze functie vervult hij vanuit zijn rol als hoofd van de afdeling Information Security and Risk Management (IRM) die bestaat uit vijftien beleidsadviseurs en securitymanagers die zowel de business als de ICTorganisaties op strategisch en tactisch niveau van advies voorzien. Fotografie: Ruud Jonkers Als je het nauw formuleert zijn binnen de Rabobank Groep zo n honderd professionals verantwoordelijk voor informatiebeveiliging, en dat is grotendeels in een lijn gestopt, vertelt Hafkamp. We zijn een grote organisatie met een aantal min of meer zelfstandige dochters zoals Robeco en Lage Landen. Die dochters hebben allemaal een eigen beveiligingsorganisatie waar de afdeling IRM nauw in contact mee staat. > 7

8 HEADLINE Vooruit kijken om de aanval voor te zijn Interview Wim Hafkamp, Chief Information Security Officer bij de Rabobank Groep Ons voornaamste doel is om het geld binnen de bank te houden, en dat lukt helaas niet altijd, maar het is niet zo dat de situatie onbeheersbaar is geworden > Uit het verhaal van Hafkamp komt duidelijk naar voren dat informatiebeveiliging een hoge prioriteit heeft binnen alle geledingen van de Rabobank Groep. Dat ik als Chief Information Security Officer een directe rapportagelijn heb met de raad van bestuur zegt ook al iets. Door de gehele organisatie is er het besef dat vertrouwen van de klant in de bank het meest wezenlijke is. Daarmee bouw je een langdurige relatie op. Dat betekent ook dat we prioriteit moeten geven aan informatiebeveiliging zodat gegevens beschikbaar zijn wanneer ze nodig zijn, integer zijn en er vertrouwelijk mee om wordt gegaan. Dat doen we onder andere door een goede lijnorganisatie op te bouwen aan zowel de business- als de ICT-kant. Om continu verbetering aan te brengen op het gebied van de continuïteit van informatievoorziening en de integriteit en vertrouwelijkheid van gegevens hebben we op dit moment een aantal grote veranderprogramma s lopen, vervolgt Hafkamp. Bij die programma s zit een stuurgroep met drie directeuren en er is ook een redelijk budget aan gekoppeld. Op die manier proberen wij tempo te houden in de verbeteringen. En als we snel dingen moeten aanpassen, pakken we dat op via het programma en brengen het vervolgens terug in de lijn. Maar hoe verklaart u dat cybercrime zich niet meer in golven manifesteert maar in een permanente stroom? Zijn de aanvallers beter georganiseerd dan enkele jaren geleden? En beschikken ze over meer geld en middelen? Wat we merken is dat cybercrime langduriger en gerichter wordt. Maar zolang de boeven vrij rondlopen, is het lastig om conclusies te trekken overde organisatiegraad van de aanvallers. Daar is moeilijk zicht op te krijgen, want we weten niet wie de criminelen zijn. Er wordt af en toe wel een crimineel in de kraag gegrepen, maar de opsporing mag wat mij betreft wel een tandje hoger. En zolang cybercriminelen zich niet melden, is het lastig om vast te stellen uit welke hoek het gevaar komt op het moment dat je onder vuur ligt. Voor de beleving is het wel prettig om te weten met wie je te maken hebt, maar aan de andere kant is het nu ook weer niet zo heel belangrijk. Of de dreiging nu van links of van rechts komt, de doelman moet de bal gewoon tegenhouden. Kunt u een voorbeeld geven van zo n veranderprogramma? Wim Hafkamp: Een voorbeeld is het programma Beveiliging Virtuele Kanalen dat is gericht op het publieke domein met diensten zoals internetbankieren, ideal en mobiele applicaties. Dit programma loopt nu zo n tweeënhalf jaar. Als er een noodzaak is om snel te acteren, vliegen we dat aan vanuit het programma. We hebben toch te maken met incidenten en een min of meer permanente vorm van cybercrime zoals phishing. De term cybercrime is gevallen. Dit onderwerp lijkt onder een toenemende belangstelling te staan; het is bijna een trending topic te noemen. Ervaart u dat ook zo? Ik zie wel een toenemende aandacht, en een toename van het aantal misdrijven dat via het virtuele kanaal op ons afkomt. De dreiging van cybercrime manifesteert zich niet meer in golven maar in een permanente stroom. In het geval van banken zijn de aanvallen vooral fraudegerelateerd; het draait om het financiële gewin dat de crimineel probeert te krijgen via de producten die wij aanbieden. Maar de toenemende dreiging van cybercrime vind ik zelf geen verrassing. We moeten wel reëel zijn: we zijn een bank! Sinds het ontstaan van banken hebben we te maken gehad met overvallen. De overstap van chartaal naar virtueel geld betekent niet dat criminelen ons de rug toekeren en zeggen: we gaan wel iets anders doen. 8 MM 01 voorjaar 2012

9 Cyber Security Hoe verdedigt de Rabobank zich tegen cybercrime? Het is belangrijk dat je snel reageert op de dingen die je ziet, dat je leert van incidenten en dat je voorkomt dat de volgende keer op dezelfde manier fraude wordt gepleegd. We proberen de grote lijn te pakken en verder vooruit te kijken. In het geval van een incident kunnen we een beroep doen op een pool van mensen die niet de last hebben van het gewone beheer- en ontwikkelwerk. Vandaar dat we in 2006 het initiatief hebben genomen tot onder meer het opzetten van een Security Operations Center. Kun u iets meer vertellen over de totstandkoming van het Security Operations Center binnen de Rabobank? Ons doel was om binnen de ICT-beheerorganisatie activiteiten en expertises te bundelen en dus ook specialisten voor specifieke operationele securitytaken vrij te maken. De activiteiten en expertises hebben we geclusterd naar verschillende taakgebieden. Een belangrijk taakgebied is monitoring van bijvoorbeeld het klantdomein, van beheeractiviteiten en van beheerders met hoge bevoegdheden. Daarnaast hebben we een team voor het beheer van cryptografische sleutels en een team voor vulnerabilityscanning. Ook hebben we de uitgifte van beveiligingscertificaten gecentraliseerd binnen het Security Operations Center. Al met al hebben we de kennis nu gebundeld met als voordeel dat we informatiebeveiliging eenduidig hebben belegd binnen de organisatie, kennis makkelijker kunnen verspreiden en mensen beter scherp kunnen houden. Bastiaan Bakker van Motiv (l) in gesprek met Wim Hafkamp van de Rabobank (r). We hebben nu een Security Operations Center waar ruim twintig mensen werkzaam zijn die zich bezighouden met operationele taken zoals vulnerabilityscanning en het beheer van de monitoringsystemen. Daarnaast heeft Rabobank International nog een Security Operations Center met ongeveer vijftien medewerkers. Is de inrichting van een Security Operations Center (SOC) een lastig proces? Ja, dat is toch best wel lastig. Nadat we in 2006 het initiatief hadden genomen tot de oprichting van een dergelijk Center hebben we te maken gehad met een langere aanlooptijd waarna het SOC pas in 2008 formeel werd. Zaken als vulnerabilityscanning en monitoring van de beveiligingssystemen zijn vrij snel te centraliseren. Dat ligt anders voor bijvoorbeeld het cryptografisch sleutelbeheer dat vrij sterk is gekoppeld aan applicatief beheer. Uiteindelijk was het soms lastig om te beschrijven wat nu waargebeurt. Je moet je voorstellen dat sleutelbeheer in sommige omgevingen een activiteit is van zo n twee à drie uur per jaar, terwijl wel heel veel kennis nodig is van die omgevingen, want je wilt niet dat bepaalde applicaties stil komen te staan. Cybercrime is niet iets wat alleen de Rabobank treft, maar de gehele bancaire sector. Welke activiteiten worden ontplooid om gezamenlijk op te trekken tegen cybercrime? Voor het delen van informatie onderling zijn we in 2006 gestart met het FI-ISAC (Financial Institutions-Information Sharing and Analysis Center, red.) waar ik zelf de voorzitter van ben. Al tijdens mijn promotieonderzoek gedurende 2003 zag ik dat er veel overleg was tussen banken, maar dan voornamelijk op strategisch beleidsmatig gebied. Er was geen uitwisseling van bijvoorbeeld incidenten en modus operandi terwijl juist daar tegen de achtergrond van de toenemende cyberdreiging die toen al waarneembaar was de toegevoegde waarde zit. Er was een behoefte om met een pool van mensen van verschillende banken informatie te delen. Daarvoor hebben we FI-ISAC opgezet, om de lessons learned met elkaar te delen. FI-ISAC heeft vervolgens model gestaan voor de inrichting van ISAC s voor alle kritische infrastructuren in Nederland, onder andere voor waterschappen, energiemaatschappijen en de telecomsector. We zijn nu aan het kijken of we alle ISAC s kunnen integreren in het Nationaal Cyber Security Center van de overheid dat in januari van start is gegaan. Gaan de verdedigers het met een gezamenlijke inspanning ooit winnen van de aanvallers? Of zijn we kansloos in de ratrace? Het voelt in ieder geval niet als een verloren race en misschien is het woord ratrace ook niet juist. Er wordt ook vaak de vergelijking gemaakt met een kat-en-muisspel alleen vraag ik me dan af wie de kat en wie de muis is. Maar het spel van actie-reactie herken ik wel heel sterk. Ons voornaamste doel is om het geld binnen de bank te houden, en dat lukt helaas niet altijd. Maar het is niet zo dat de situatie onbeheersbaar is geworden. Zeker niet! We zullen ook blijven investeren in een betere beveiliging en proberen iedere keer een stapje vooruit te kijken om de aanval voor te zijn. 9

10 HEADLINE Motiv formuleert aanpak Cyberdreiging Visie van Motiv op Cyber Security Motiv formuleert aanpak cyberdreiging Je kunt je niet honderd procent wapenen tegen cybercriminelen, stelt Bastiaan Bakker, bij Motiv Directeur Business Development. Als een goed georganiseerde crimineel wil inbreken, dan lukt dat ook. Dan is het zaak om een dreiging snel te kunnen signaleren zodat je kunt ingrijpen nog voordat er iets gebeurt. Een gedegen securitymonitoring en security intelligence zijn daarvoor cruciaal. Dikke vuurmuren zijn niet meer voldoende. Cyber Security is een onderwerp dat al geruime tijd in de belangstelling staat, maar volgens Bastiaan Bakker van Motiv pas recent een trending topic is geworden. Eind 2010 en in 2011 hebben zich enkele écht serieuze incidenten gemanifesteerd die je kunt plaatsen onder het kopje cybercrime. De Directeur Business Development noemt als voorbeelden de aanvallen op DigiNotar, Sony PlayStation en Lockheed Martin. Maar ook banken hebben te maken gehad met aanvallen die erop waren gericht om sites plat te leggen. Kenmerkend van alle aanvallen is dat de schade en daarmee het risico extreem hoog kan zijn. Stel je voor dat een hack op internetbankieren plaatsvindt op een dag dat de handelsbeurzen zeer volatiel zijn en klanten op dat moment geen aandelen kunnen aan- of verkopen. De schade is enorm. Dreigingsbeeld (NCSC2012) DDoS en APT s Bakker onderscheidt op hoofdlijnen twee vormen van cybercrime. De eerste vorm zijn de zogenaamde Distributed Denial of Service (DDoS)- aanvallen die tot doel hebben om een service of servers onderuit te halen. Dergelijke aanvallen vinden met een dusdanig geweld plaats dat moderne maatregelen nodig zijn om je hiertegen te wapenen. Dit is echt een IT-probleem. Dat gaat niet op voor de zogenaamde Advanced Persistant Threats (APT s), de tweede vorm van cybercrime die Bakker onderscheidt. Een voorbeeld van een APT-aanval is Stuxnet dat tot doel had om op basis van zeer geavanceerde technieken de meet- en regelsystemen van de Iraanse energiemaatschappijen te saboteren. Kenmerkend voor een APT is dat hackers zeer diepgaande kennis hebben van bijvoorbeeld lekken in software en geavanceerde gereedschappen tot hun beschikking hebben. Ook beschikken hackers doorgaans over zeer veel geld en tijd om een aanval (persistent) uit te voeren. De dreigingen kunnen doorgaans een serieuze schade toebrengen. Stel je voor dat het een hacker lukt om het energienetwerk af te sluiten?, vraagt Bakker zich hardop af. 10 MM 01 voorjaar 2012

11 Cyber Security Focus op Cyber Security Weerbaarheid Security Monitoring Cyber Wapens Incident/response Bij een APT beschikken de aanvallers over een dusdanige expertkennis dat je jezelf daar niet tegen kunt wapenen, vervolgt Bakker. Al heb je 25 firewalls achter elkaar staan, ga er maar vanuit dat het een hacker lukt om binnen te komen. Dat is zeker geen vrijbrief om de beveiliging te laten versloffen, maar het maakt het wel noodzakelijk om de focus meer te leggen op het signaleren van incidenten. Hoe sneller je weet dat er iemand binnenkomt, hoe sneller je kunt corrigeren. Vergelijk het met videocamera s die je in en rond je kantoorpand ophangt om snel te kunnen reageren als er iets fout dreigt te gaan. Cyber Security-model Voor een succesvolle Cyber Security-aanpak is het kortom niet meer voldoende om de IT-security goed te organiseren. IT-security om cybercriminelen buiten de deur te houden kan natuurlijk altijd beter, maar is bij de meeste bedrijven goed op orde. Nu maken we de overstap van IT-security naar informatiebeveiliging, aldus Bakker. Motiv heeft een model ontwikkeld om meer grip te krijgen op en weerbaarder te worden tegen cyberaanvallen. Binnen dit model is het de taak van het Security Operations Center (SOC) om snel te reageren op incidenten. Bakker: Als je kijkt naar informatiebeveiliging, dan voorziet Motiv de behoefte om meer security-managementinformatie uit de systemen te verkrijgen. De beste manier om dat op te pakken, is de bouw van een SOC dat gegevens verzamelt en analyseert. Op die manier kun je sneller reageren op dreigingen en misschien wel ingrijpen zonder dat er iets is gebeurd. We maken de overstap van IT-security naar informatiebeveiliging' Maar dan ben je nog altijd reactief bezig: je ziet iets gebeuren en de brandweer rukt uit om de brand te blussen zodat de schade minimaal is, vervolgt Bakker. Om dreigingen proactief aan te pakken nog voordat de aanval wordt uitgevoerd is het noodzakelijk om een Computer Emergency Response Team (CERT) op te zetten dat security intelligence verzamelt uit een diversiteit aan bronnen en voorfiltert waardoor je informatie op maat krijgt over de trending topics. Bakker: Als je die trending topics kunt analyseren en een boodschap kunt uitsturen naar het SOC, dan kunnen er extra alarmsensoren worden opgehangen of de IT-security worden aange- scherpt zodat dreigingen geen kans maken. Dan ben je niet meer reactief bezig maar proactief. Toegevoegde waarde Motiv De combinatie van CERT en SOC en de opbouw van security intelligence om bijna realtime te kunnen reageren, is volgens Bakker het beleidsterrein waarop Motiv de komende jaren verder gaat investeren. Dat is de toekomst. Motiv kan klanten helpen bij het bouwen van een SOC door producten en expertise in te brengen. Ook kunnen klanten een SOC als beheerde dienst afnemen bij Motiv. Hetzelfde geldt voor het opzetten van een CERT. Motiv kan klanten helpen met advies, consultancy en producten, of het CERT aanbieden als beheerde dienst. Dan biedt Motiv de mobiele brandweer die uitrukt op het moment dat er iets aan de hand is. Onze toegevoegde waarde is dat wij een Nederlandse partij zijn en gescreend personeel in dienst hebben. Voor overheidsklanten zijn wij daardoor een vertrouwde partij om de security intelligence die wij via onze partners verkrijgen bij af te nemen. Wij fungeren daarbij als een soort lokale hub. 11

12 12 MM 01 voorjaar 2012

13 Cyber Security Leverancier in de schijnwerpers: Blue Coat Systems Blue Coat WebPulse biedt realtime bescherming Virussen worden niet meer per rondgestuurd, stelt Robbert Verdonk, Key Account Manager Benelux bij Blue Coat Systems. Om moderne cybercriminelen effectief te bestrijden, is een dynamische en realtime aanpak nodig. De oplossing ligt volgens Verdonk in de cloud. Via Blue Coat WebPulse bieden 75 miljoen gebruikers elkaar realtime bescherming. If you mess with one of us, you mess with all of us. Deze beveiliging tegen de threats vanuit het internet wordt nu ook via de Blue Coat Security Cloud aangeboden, met dezelfde technologie als de bekende Blue Coat Secure Webgateway appliance-oplossing. Blue Coat beveiligt al sinds 1996 zijn gebruikers tegen malware die via kwaadaardige websites binnenkomt en heeft daarvoor sinds jaar en dag de ProxySG Web Security Gateway in het vuur. Vorig jaar werd het productaanbod om websurfers te beveiligen uitgebreid met de Blue Coat Security Cloud Service. De Security Cloud Service maakt gebruik van dezelfde onderliggende technologie als de ProxySG, alleen hebben we nu de noodzaak voor de hardware weggehaald, vertelt Robbert Verdonk van Blue Coat Systems. Het is beveiliging tegen de gevaren vanuit het internet geleverd via de cloud. Het WebPulse-netwerk wordt bovendien gevoed door de gebruikers achter de ProxySG s die wereldwijd zijn geïnstalleerd, vervolgt Verdonk. Als een gebruiker op een besmette site klikt, worden de gegevens direct gedeeld met Web- Pulse en uitgestuurd naar alle andere Blue Coat-gebruikers wereldwijd. Dagelijks zijn 75 miljoen Blue Coat-gebruikers alert op good and bad stuff Robbert Verdonk, Key Account Manager Benelux bij Blue Coat Systems WebPulse Met die onderliggende technologie doelt Verdonk op Web- Pulse, de Cloud Defence Community die Blue Coat ruim zeven jaar geleden heeft opgezet. WebPulse is een wereldwijd netwerk van datapunten en servers, legt Verdonk uit. Op die servers draaien wij antivirusscanners en andere softwaretools om het internetverkeer te monitoren en het gedrag van bepaalde netwerken in de gaten te houden. Op die manier monitoren wij op een dagelijkse basis vijftig distributienetwerken voor malware. Het komt er dus eigenlijk op neer dat dagelijks 75 miljoen gebruikers alert zijn op good and bad stuff en elkaar helpen om veilig te blijven. Dat schept vertrouwen. Volgens Verdonk was het mede aan WebPulse te danken dat Blue Coat er vorig jaar in slaagde om de MySQL.com-trojan al drie dagen voor de daadwerkelijke aanval te blokkeren. Een goed voorbeeld van realtime bescherming die volgens Blue Coat onontbeerlijk is. > 13

14 volgende pagina Interview Paul Derksen en Ronald van der Westen, ethical hackers van Motiv P.16 Leverancier in de schijnwerpers: Blue Coat Systems > Tien jaar geleden volstond het nog om websites te blokkeren die vaak werden ingezet voor het verspreiden van malware, zoals porno- en goksites. Maar die oude aanpak volstaat niet meer. Cybercriminelen weten welke sites worden geblokkeerd en hebben zich verder ontwikkeld. Nu zijn het bijvoorbeeld de zoekresultaten van zoekmachines zoals Google en Bing die worden gemanipuleerd. Je hebt een realtime aanpak nodig om je hiertegen te beschermen. Die realtime bescherming bieden we met WebPulse en onze 75 miljoen gebruikers. Cloud-Connector Om zonder tussenkomst van een ProxySG direct contact te maken met WebPulse introduceerde Blue Coat de Cloud-Connector die kan worden geïnstalleerd op notebooks en later dit jaar ook op iphones en ipads. Ondersteuning voor Android wordt in de tweede helft van 2012 verwacht. Al bij de introductie van onze Cloud Service stond voor ons vast dat we ook mobiele werkers beveiliging moesten gaan bieden, en dat met de granulariteit die je gewend bent als je via een ProxySG surft, stelt Verdonk. Een voorbeeld van die granulariteit is het toestaan dat mobiele werkers naar Facebook surfen, maar dan alleen naar bepaalde onderdelen hiervan en bijvoorbeeld niets downloaden. De Cloud-Connector maakt de Blue Coat Cloud Service volgens Verdonk uniek. Onze concurrenten bieden websecurity ook via de cloud aan, maar vereisen een VPN om het internet op te gaan. Dat is naar mijn smaak beveiliging uit de oude doos. Onze Cloud-Connector is een klein stukje software dat zichzelf automatisch verbindt met WebPulse. Als gebruiker hoef je helemaal niets te doen. Overal waar je bent op een vliegveld, in een hotel of in een StarBucks worden dezelfde policy s toegepast. Hybride systeem Verdonk benadrukt dat de ProxySG en de Blue Coat Cloud Service prima naast elkaar kunnen worden gebruikt in een volledig geïntegreerde, hybride oplossing. Om het beheer te vereenvoudigen kunnen policysettings worden gepusht van de appliance naar de Cloud Service en met ingang van de nieuwe release ook in omgekeerde richting. Ook kunnen rapportages voor de gecombineerde omgeving vanaf één locatie worden opgehaald. Je wilt immers niet twee verschillende systemen beheren. Nu maken ze via satelliet gebruik van de Blue Coat Cloud Service wat enorm scheelt in kapitaalkosten en manuren. Dat is toch geweldig? Robbert Verdonk, Key Account Manager Benelux bij Blue Coat Systems De hybride benadering is onder andere interessant voor bedrijven die het nog eng vinden om voor hun beveiliging volledig te vertrouwen op de cloud. In dat geval kunnen de medewerkers in het hoofdkantoor worden beschermd met een appliance en de mobiele werkers via de Cloud Service. Verdonk kent echter ook voorbeelden van bedrijven die voor hun websecurity inmiddels volledig vertrouwen op de Blue Coat Cloud Service. Zo geeft hij het voorbeeld van een grote Noorse rederij die de ProxySG-appliance gebruikte aan boord van zijn schepen. Zes maanden geleden hadden ze per schip een ProxySG in bedrijf, een ProxySG als reserve en iemand om het beheer uit te voeren. Nu maken ze via satelliet gebruik van de Blue Coat Cloud Service wat enorm scheelt in kapitaalkosten en manuren. Dat is toch geweldig? Beveiling geleverd via het internet, als aanvulling op een appliance, dat is waar de markt naartoe gaat, besluit Verdonk. Daarnaast kunnen we ook het cloudverkeer zoals SaaStoepassingen versnellen. MEER INFORMATIE? Inschrijven voor een gratis proefversie van Blue Coat Cloud Service voor dertig dagen kan via 14 MM 01 voorjaar 2012