Security-onderzoeker Dan Kaminksy, bekend van het gat in internetbasisprotocol DNS, is blij dat mensen beseffen dat geen enkel netwerk immuun is voor cyberaanvallen. Dat betekent, zegt hij tegen techmagazine Wired, dat de security-industrie en haar klanten eindelijk de waarheid kunnen accepteren dat wat ze jarenlang hebben gedaan niet werkt.
Kaminsky legt uit dat er een enorm convervatieve houding heerst in de beveiligingswereld. ‘Do what everyone else is doing, whether or not it works. It’s not about surviving, it’s about claiming you did due diligence’, zo stelt Kaminsky. ‘That’s good if you’re trying to keep a job. It’s bad if you’re trying to solve a technical problem’. Zoals dus het beveiligen van IT-systemen en netwerken.
‘In reality’, zo zegt Kaminsky, ‘No one knows how to make a secure network right now. There’s no obvious answer that we’re just not doing because we’re lazy. Simply installing firewalls and intrusion detection systems and keeping anti-virus signatures up to date won’t cut it anymore — especially since most companies never know they’ve been hit until someone outside the firm tells them. If someone walks up to you on the street and hits you with a lead pipe, you know you were hit in the head with a lead pipe. Computer security has none of that knowing you were hit in the head with a lead pipe’.
Wired haalt securityfirma Mandiant aan die op basis van eigen metingen stelt dat het gemiddelde cyberspionagegeval maar liefst 416 dagen ongedetecteerd blijft. Bedrijven ontdekken dus pas na ruim een jaar dat ze zijn gehackt. Enkele jaren geleden lag dit gemiddelde nog op twee tot drie jaar, meldt Mandiant, dat onder meer Google heeft geholpen met forensisch IT-werk en opruiming na een succesvolle cyberaanval.
Google is eind 2009 gehackt, door aanvallers vanuit China. Daarbij zijn niet alleen de Gmail-accounts van Chinese dissidenten gekraakt, maar is ook code buitgemaakt. Anonieme bronnen hebben begin 2010 gemeld dat dit ook broncode van het inlogsysteem van de internetreus omvat.
Security-specialist Mandiant weet te vertellen dat de detectietijd voor cyberspionage weliswaar is afgenomen, maar dat dit niet te danken is aan de getroffen bedrijven zelf. Eventuele betere interne monitoring heeft de ontdekking van cyberaanvallers niet bevorderd. Toegenomen waakzaamheid, detectie en actieve meldingen door overheidsinstanties hebben geholpen. Mandiant noemt naast de FBI ook speciale onderzoeksdiensten van de Amerikaanse marine en luchtmacht.
Experts van die organen begeven zich ook op hackerforums om informatie te verzamelen. Daarbij recruteren ze ook echte hackers, om die als informanten in te zetten. Toch is de toegenomen overheidswaakzaamheid en -optreden geen reden tot optimisme. De FBI zelf geeft toe dat de huidige aanpak – door overheden én bedrijven – om cyberaanvallers af te weren niet vol te houden is. Er zijn teveel hackers, die te getalenteerd zijn, en de beschikbare verdedigingsmiddelen zijn te zwak om ze tegen te houden.
Kaminsky is niet zo pessimistisch. De IT-expert houdt voor dat het barsten van de security-zeepbel de deur openzet voor innovatie. ‘The status quo is unacceptable. What do we do now? How do we change things? There really is room for innovation in defensive security. It’s not just the hackers that get to have all the fun’.
Kaminsky stelt bijvoorbeeld voor om de doelwitten te verkleinen door serverinstallaties op te delen in kleinere eilanden. ‘Rather than one large server farm, you want to create small islands, as small as is operationally feasible. When you shrink your perimeter you need to interact with people outside your perimeter and figure out how to do that securely using encryption and authentication between systems that once communicated freely. It changes the rules of the game. You can’t trust that your developers’ machines aren’t compromised. You can’t trust that your support machines aren’t compromised’. Kaminsky erkent wel dat dit een dure oplossing is en dat niet iedereen in staat is dit toe te passen.
Vorig jaar is al gebleken dat zelfs certificatenverstrekker DigiNotar een dergelijke – eigenlijk verplichte – scheiding van bedrijfskritieke systemen niet had doorgevoerd. Een andere optie is het radicaal afschaffen van de huidige infrastructuur en het opbouwen van een geheel nieuwe. Ook daarbij is segmentering aan te raden, al was het maar voor de security-afdeling die de verdedigingsplannen voor de rest van de IT-omgeving formuleert.
Voormalig FBI-topman Henry adviseert: ga ervan uit dat de vijand al op je netwerk zit. Die aanname dwingt tot een andere benadering van het netwerk: van wat er wel en wat er niet op hoort te zitten, en hoe wel aanwezige informatie opgeslagen en verzonden dient te worden. Dit alles is veel meer werk dan het netjes bijhouden van Windows- en applicatiepatches, maar het belooft wel iets meer veiligheid.