Drie quantum safe encryptie-oplossingen

Drie quantum safe encryptie-oplossingen

In mijn laatste blog ben ik ingegaan op de bedreiging die quantum computing biedt voor de hedendaagse encryptietechnologieën. Niet alleen in de toekomst, maar ook voor de data die nu encrypted wordt opgeslagen of encrypted verkeer dat nu wordt afgetapt en bewaard. Het is een kwestie van tijd totdat het mogelijk wordt om deze data alsnog te ontcijferen en te lezen.

Als oplossing heb ik toen gesteld dat de bedreigingen van quantum computing alleen te voorkomen zijn door dezelfde technologie ook in te zetten als basis voor nieuwe vormen van encryptie, de zogenaamde quantum safe cryptografie. Hoewel hier nog volop aan ontwikkeld wordt, zal ik in deze blog een tipje van de sluier oplichten waar zoal aan gedacht moet worden in het kader van quantum safe technologieën.

1. Quantum gebaseerde generatie van sleutels

De klassieke fysica is deterministisch. Als de huidige toestand van een systeem bekend is, dan kunnen fysieke wetten worden gebruikt om de evolutie te voorspellen. En bij een gelijke begintoestand zal er altijd dezelfde uitkomst zijn. Bij de quantum-natuurkunde geldt dat de uitkomst van een bepaald verschijnsel volkomen willekeurig kan zijn. Een voorbeeld hiervan is de reflectie of overdracht van een elementair lichtdeeltje - een foton - op een semi-transparante spiegel. In zo'n geval wordt het foton verzonden of gereflecteerd door de spiegel met een kans van 50%. Het is dus onmogelijk voor een waarnemer om het resultaat te voorspellen. Door aan een verzonden of gereflecteerd foton de waarden 1 of 0 te verbinden is het dus mogelijk om een volledige random string van bits te genereren die als sleutel kan worden gebruikt.

2. Quantumbestendige encryptie-algoritmes

De meeste populaire public-key algoritmes kunnen door een voldoende grote quantumcomputer worden gebroken. Het probleem met de populaire algoritmes is dat hun veiligheid berust op niet omkeerbare wiskundige functies, zoals bijvoorbeeld het factoriseren van een getal in priemgetallen. Je kunt bijvoorbeeld makkelijk uitrekenen dat 37*53=1961, maar als je alleen het getal 1961 hebt is het lastig om de priemgetallen 37 en 53 hier uit te herleiden. Dit kan alleen door het ‘proberen’ van alle mogelijkheden, er is geen wiskundige formule om dit te berekenen. Door te werken met voldoende grote getallen, heb je dus zeer veel rekenkracht nodig om alle mogelijke uitkomsten te berekenen. Dit is echter precies waar quantumcomputers in ruime mate over beschikken.

In tegenstelling tot de dreiging voor de huidige public-key algoritmes, worden de meeste actuele symmetrische cryptografische algoritmes en hashfuncties als relatief veilig tegen aanvallen door quantumcomputers beschouwd. Bij symmetrische algoritmes is de encryptie en decryptie gebaseerd op een shared key die aan beide kanten gelijk is en vooraf is bepaald. Lov Groover heeft in 1996 een quantumalgoritme geschreven om symmetrische keys te kraken, hierbij is gebleken dat een simpele verdubbeling van de sleutellengte al voldoende is om hier tegen bestand te zijn.

3. Quantum gebaseerde sleuteldistributie

In telecommunicatienetwerken wordt licht gebruikt om informatie uit te wisselen via glasvezelkabels. In sterk vereenvoudigde vorm wordt voor elke bit informatie een puls licht uitgezonden via de glasvezel, die aan de ontvangende kant wordt ontvangen en weer wordt omgezet in een elektrisch signaal. Deze pulsen bestaan uit miljoenen lichtdeeltjes, ook wel fotonen genoemd. Binnen de quantum gebaseerde sleuteldistributie wordt dezelfde aanpak gevolgd, alleen bestaan de pulsen nu uit slechts één enkele foton. Via een apart glasvezelkanaal (dark fiber) worden tussen zender en ontvanger fotonen uitgewisseld die bepalend zijn voor de te gebruiken sleutel. Afluisteren van de glasvezel door een klein beetje licht te laten ontsnappen is hierbij onmogelijk, een foton kan zich namelijk maar op één plaats bevinden, binnen of buiten de glasvezel. Door ontbrekende fotonen wordt het direct duidelijk wanneer de glasvezel mogelijk afgetapt wordt.

Wapenen tegen quantum computing

Op basis van bovenstaande oplossingen is het dus nú al mogelijk om je te wapenen tegen de bedreiging die quantum computing biedt voor de hedendaagse encryptietechnologieën, zelfs jaren voordat de eerste bruikbare quantumcomputer het licht zal zien.

En  mocht dit allemaal nog als toekomstmuziek klinken, er zijn op dit moment al commerciële systemen in de markt die gebruikmaken van quantumtechnologie voor de generatie van (random) sleutels en voor de distributie van sleutels. Deze worden bijvoorbeeld al ingezet voor de beveiligde communicatie tussen datacenters. De beperking zit hem nu vooral nog in de maximaal te overbruggen afstand van ongeveer 100 km.


How to: haal security weg!

Onlangs kopte de media dat cybercriminaliteit de Nederlandse economie jaarlijks 10 miljard euro kost. De dreigingen nemen toe en de gevolgen voor uw organisatie worden steeds groter, maar hoe is het met u? Zijn de talloze huidige en toekomstige securitymaatregelen, -wetten en -regelgeving nog wel bij te houden? Weet u waar te beginnen en te stoppen? Of zou u eigenlijk het liefst alle security-uitdagingen met een strik erom zo snel mogelijk weggeven? Dan bent u niet de enige. Weg met security! Hoe u dit realiseert, vertel ik in deze blog.

Security Operating Center als antwoord
Om de business impact te beperken bij een cyberaanval zijn de pijlers detectie, reactie en mitigatie belangrijk. En voor deze drie is tijd essentieel. Het bekijken, reageren en acteren op incidenten is geen sinecure en eist veel kennis en ervaring (en vraagt dus tijd). Zo zijn er veel praktijkvoorbeelden te vinden waarbij grote organisaties al maanden onderhevig zijn aan hackincidenten nog voordat deze überhaupt gedetecteerd worden. Daarom pleit ik voor het inzetten van een Security Operating Center (SOC), maar wat is nu een goed SOC?

Wat is een SOC?
Er duiken steeds meer ondernemingen op die pretenderen deze naam te kunnen dragen. In mijn beleving bestaat een SOC uit een team van mensen, processen en technologieën. Dit samengestelde team is in staat om incidenten te identificeren, kwalificeren en terug te koppelen naar de organisatie die beheerd wordt. Het monitoren van systemen en netwerken ligt aan de bron, waarbij een assessment gemaakt wordt die is gebaseerd op compliance, klanteisen en threat-beveiliging. Daarna wordt een analyse gemaakt over de ernst van een mogelijk incident en welke impact deze heeft op de organisatie.

SOC-technologieën
Terugkijkend naar de laatste tien jaar zien we dat de traditionele aanpak, waarbij de loggegevens van firewalls en routers handmatig werden geanalyseerd, niet meer schalen met de gigantische hoeveelheid aan informatievelden. Denk hierbij aan ontwikkelingen als IoT devices, servers, smartphones, online werkplekken, cloudapplicaties, intrusion prevention-systemen, load balancers, e-mail, DNS en browsing. Al deze ontwikkelingen eisen dat we gebruikmaken van correlatie, orchestration en automation. Het inzetten van technologieën als big data analytics (zoals Cisco Tetration), Cloud Access Security Brokers (zoals Cloudlock) en Watson van IBM gaan hierbij ongetwijfeld een grote bijdrage leveren.

De SOC-evolutie
De evolutie van samenwerkingsverbanden om intel te delen tussen SOC-diensten, leveranciers en service providers zal in het gevecht met de hackerswereld onontbeerlijk zijn. In onderstaande afbeelding ziet u dat een modern SOC samenwerkt met partners qua intelligence en hoog opgeleide skills eist van de mensen die acteren in het SOC.

Wekt dit overzicht qua SOC-diensten uw belangstelling? Dan nodig ik u bij deze graag uit voor het Telindus security evenement op 30 november. Tijdens dit event geven wij inzicht in hoe een hacker acteert, wat u in vijf stappen kunt doen om uw business veilig te stellen en hoe een SOC te werk gaat bij een incident. Deze sessies worden verzorgd door een white hat hacker en forensische specialisten van Davinsi Labs, Proximus CIRT en Telindus. Bent u er ook bij? Meld u aan via: www.wegmetsecurity.nl


Cybercrime

Cybercrime: tips voor tools om kwetsbaarheden in uw netwerk te ontdekken

Maersk en DLA Piper zijn twee van de vele slachtoffers van de wereldwijde Petya-cyberaanval. De ransomware-aanval had bij beide organisatie grote impact op de bedrijfsvoering. Hierbij gaat het niet alleen om de negatieve effecten op het imago en de business, maar ook hoge kosten voor IT gaan hiermee gepaard. Hoe kunt u dit soort risico’s binnen uw organisatie voorkomen?

Ken uw netwerkkwetsbaarheden

De exploitatie van bekende, maar nog niet gemitigeerde kwetsbaarheden, is de meest voorkomende methode die cybercriminelen gebruiken. Het is daarom hoog tijd om de prioriteiten van uw kwetsbaarheidsmanagement af te stemmen met de belangrijkste kwetsbaarheden. Het in kaart brengen van de kwetsbaarheden in uw netwerk is namelijk noodzakelijk om een goede verdedigingsaanpak te maken. IT-beveiligers moeten nadenken over vragen als: hoe worden de kwetsbaarheden beheerd? En worden deze goed in de gaten gehouden? De grootste risico’s in uw netwerk worden hierdoor verkleind.

Om kritische, hoge, gemiddelde en lage kwetsbaarheden in kaart te brengen, raad ik u aan om gebruik te maken van de traditionele beveiligingsschema’s voor kwetsbaarheden, zoals de Common Vulnerabilty Scoring (CVE) kaart. Wanneer u de kwetsbaarheden aan de hand van dit schema in kaart heeft gebracht, kunt u hierop vervolgens een security-aanpak baseren.

Tevens is het cruciaal om prioriteit te geven aan het patchen, zodat de kwetsbaarheden niet kunnen worden uitgebuit. Het komt vaak voor dat men niet kan patchen. Dit probleem wordt simpelweg veroorzaakt doordat de patch niet beschikbaar is vanwege het gebruik van een embedded systeem. Door dit systeem is er geen toegang tot het operating systeem.

Hoe weet u of u last heeft van kwetsbaarheden in het netwerk?

Het handmatig scannen van uw netwerk, operating systemen en applicaties is ondoenlijk. Vooral ook omdat al deze informatie geïnterpreteerd moet worden. Tevens vraagt dit om veel ervaring en kennis. Er is eigenlijk maar één methode die helpt om in kaart te brengen of er kwetsbaarheden in uw netwerk aanwezig zijn: het gebruik van geautomatiseerde tooling.

Rapid7 met Metasploit penetratietest
Rapid7 is een goed gerenommeerde tool. Het voordeel van en unieke aan deze tool is dat het is geïntegreerd met Metasploit. Het Metasploit Project is een open source informatiebeveiligingsproject dat informatie verstrekt over kwetsbaarheden in computersystemen die gebruikt kunnen worden door hackers en dat helpt bij het onderzoeken van systemen op dergelijke kwetsbaarheden.

Metasploit kan vervolgens weer aan Nexpose gekoppeld worden. Nexpose beoordeelt kwetsbaarheden en voorziet de  IT-afdeling van gevalideerde, eenvoudige en duidelijke saneringsrapporten. De koppeling van Metasploit en Nexpose resulteert in een automated vulnerability scanning-oplossing. De gevonden kwetsbaarheden door Nexpose worden automatisch met een penetratietest, uitgevoerd door Metasploit, geverifieerd. Zo heeft het securityteam direct de juiste informatie om de kwetsbaarheid van het juiste risiconiveau te voorzien en hier actie op te ondernemen.

Software as a Service penetratietest met Qualys
Een andere tool die ingezet kan worden is Qualys. Hiermee kunt u geautomatiseerd controleren of de op internet beschikbare patches en updates correct op uw systemen zijn geïnstalleerd. Doordat Qualys over één van de meest uitgebreide Vulnerability Knowledgebases ter wereld beschikt, heeft u continu inzicht in de belangrijkste risico’s in uw infrastructuur.

De Vulnerability Management tool van Qualys is een Software-as-a-Service (SaaS) oplossing. U hoeft hiervoor dus geen kostbare hardware aan te schaffen. Veel organisaties kiezen voor deze tool in plaats van het laten uitvoeren van een penetratietest. Een penetratietest heeft namelijk weinig waarde wanneer uw patchbeleid nog niet optimaal functioneert.

Testopstelling voor toegevoegde waarde meting

Een testopstelling geeft goed inzicht in de toegevoegde waarde van de tools. Ik heb zelf in het verleden gebruikgemaakt van Ixia als bron om DDoS-, DoS- en andere scans in het netwerk te lanceren. Deze tool werkt hetzelfde als een hacker, indien je netwerk, operating systemen en/of applicaties nog kwetsbaarheden bevatten.

Kortom, met een goed kwetsbaarheidsassessment heeft u duidelijk inzicht waar en hoe u uw netwerk moet beveiligen. Veelal kan dit in slechts drie stappen. Ten eerste door een deugdelijk Secure DNS in te richten. Ten tweede door een malware protectie op het netwerk, en idealiter op alle endpoints, in te zetten. En ten derde door het opzetten van een op Software Defined Role Based Access control gebaseerde segmentatie in uw totale infrastructuur. Ik ga ervan uit dat het patchen van systemen natuurlijk altijd  in uw to-do lijstje staat.


Quantum computing

De impact van quantum computing op security

De hedendaagse encryptietechnologieën, die gebruikt worden voor de versleuteling van data tijdens opslag en transport, maken gebruik van algoritmes waarvan wiskundig is bewezen dat deze veilig en onkraakbaar zijn. Toch is door de komst van quantum computing deze wereld volledig op zijn kop gezet en staat de veiligheid van encryptie onder druk. Hierover gaat mijn blog.

Quantum computing en gevolgen voor security

In diverse onderzoekslaboratoria wordt op dit moment onderzoek gedaan naar quantum computing. Quantum computing wordt gezien als dé technologie die over 10 tot 15 jaar de traditionele computer gaat vervangen. Traditionele computers werken op basis van bits die slechts twee toestanden (0 of 1) kunnen bevatten. Quantum computers werken met zogenaamde qubits, die meerdere toestanden tegelijk kunnen bevatten. Zonder verder in de details van deze technologie te duiken, is het resultaat hiervan dat er een gigantische parallelle computer ontstaat. Deze is in staat om meerdere berekeningen tegelijkertijd uit te voeren in plaats van na elkaar, zoals bij een traditionele computer gebeurt. Het gevolg is dat berekeningen, die tot nu toe onmogelijk werden geacht of jaren zouden duren, ineens binnen een fractie van een seconde kunnen worden uitgevoerd.

Encryptie onder druk door quantum computing

Eén van deze berekeningen is bijvoorbeeld het kraken van de op dit moment alom gebruikte Public Key-cryptografiesystemen. Deze systemen werden tot nu veilig geacht vanwege de complexiteit of onmogelijkheid om de gebruikte sleutels te herleiden uit het versleutelde verkeer. Met quantum computing wordt dit echter een peulenschil. Systemen als RSA en de Elliptic curve Diffie–Hellman kunnen met de quantum-technologie eenvoudig worden gekraakt. Dit vormt een serieuze bedreiging. Niet alleen in de toekomst, maar ook voor de data die nu encrypted wordt opgeslagen of het encrypted verkeer dat wordt afgetapt en bewaard. Het is een kwestie van tijd totdat het mogelijk wordt om deze data alsnog te ontcijferen en te lezen. Grote partijen als Google, Intel en IBM investeren op dit moment dan ook miljoenen in onderzoek naar de gevolgen van quantum computing.

De drie pijlers van encryptietechnologieën

Hedendaagse encryptietechnologieën zijn gebaseerd op drie pijlers die gebruikmaken van vergelijkbare, en tot nu toe veilig geachte, Public Key-systemen:

  1. Het generen van veilige sleutels
    Deze sleutels moeten uniek zijn, volledig random en voldoende sterk (lees: lang) om het raden of berekenen binnen de periode dat ze gebruikt worden onmogelijk te maken. Het regelmatig wisselen van sleutels is hierbij ook van belang.
  2. Het gebruikte encryptie-algoritme
    Alle hedendaagse gebruikte encryptie-algoritmen zijn publiek bekend. Dit is niet erg en bevordert juist het gebruik ervan op grote schaal, ook over meerdere vendoren van hardware en software. Voor de toegepaste algoritmes is het van belang dat uit de encrypte data nooit de gebruikte sleutel valt te herleiden.
  3. Het veilig kunnen uitwisselen van sleutels
    Het regelmatig wisselen van sleutels (bijvoorbeeld per minuut) kan alleen plaatsvinden indien deze op een veilige manier kunnen worden uitgewisseld. Ook hiervoor bestaan, publiek bekende, algoritmes waarvan is bewezen dat deze met de huidige technologie onkraakbaar zijn.

Quantum-technologie kraakt en maakt encryptietechnologieën

Bovenstaande pijlers gaan echter op de schop indien quantum computing zijn intrede doet. De enige manier om hier tegen opgewassen te zijn is met quantum-technologie zelf. Dan heb je immers dezelfde rekenkracht voorhanden. Binnen het standaardisatieorgaan ETSI (European Telecommunications Standards Institute) is een werkgroep speciaal opgericht voor het ontwikkelen van quantum safe crypotography. Deze werkgroep is gericht op het ontwikkelen van algoritmes en technologieën die bestand zijn tegen quantum computing:

  • Quantum gebaseerde generatie van sleutels
  • Quantum bestendige encryptie-algoritmes
  • Quantum gebaseerde sleuteldistributie

Hoe dit werkt zal ik vertellen in mijn volgende blogs.


Telindus Security

Security vraagt om geïntegreerde aanpak

Je mag er vandaag de dag wel van uitgaan dat je IT-infrastructuur al eens aangevallen is en anders gaat dat eerdaags gebeuren. De beveiliging kun je niet meer alleen aan de voordeur opzetten. De ‘bad guys’ komen via een applicatie, gebruiker of malware geïnstalleerd op de disk of device helaas al binnen. In deze blog deel ik mijn visie op beveiliging en hoe ik denk dat de markt daar het beste op kan inspelen.

Je mag er vandaag de dag wel van uitgaan dat je IT-infrastructuur al eens aangevallen is en anders gaat dat eerdaags gebeuren. De beveiliging kun je niet meer alleen aan de voordeur opzetten. De ‘bad guys’ komen via een applicatie, gebruiker of malware geïnstalleerd op de disk of device helaas al binnen. In deze blog deel ik mijn visie op beveiliging en hoe ik  denk dat de markt daar het beste op kan inspelen.

Beveiliging kan je wel bekijken over 10 deelgebieden, maar uiteindelijk komt het neer op de volgende 3 pijlers: beschikbaarheid, vertrouwelijkheid en integriteit. We willen onze data te allen tijde als legitieme gebruiker beschikbaar hebben, de informatie dient niet aanpasbaar te zijn door derden en de informatie moet vertrouwelijk blijven. Schematisch is dat in onderstaande tekening weergegeven.

Security BIVPrevent, Detect en React
Het tegenhouden van de ‘bad guys’ aan de voordeur (Prevent) is vandaag allang niet meer voldoende. Het in de gaten houden of je daadwerkelijk aangevallen wordt (Detect) is absoluut noodzakelijk. Helaas blijkt dat ook dit niet afdoende is en zal je ook moeten monitoren of je aangevallen bent en wat de juiste tegenmaatregelen zijn die je kan nemen (React). Bij Telindus menen wij dan ook dat je de beveiliging geïntegreerd en holistisch moet aanpakken. Dit is ook aangegeven in onderstaande tekening. Er moet te allen tijde een minimale basis zijn qua beveiliging en, indien van toepassing, kan deze uitgebreid worden met optische encryptie en meervoudige authenticatie.

Security-prevent-detect-reactBeveiligingsbeheer op maat
Klanten kunnen ervoor kiezen om dit geheel zelfstandig te beheren, waarbij een partij als Telindus het ontwerp maakt op basis van security best practices. Telindus voert dan ook op regelmatige basis Health-checks uit om de klant te adviseren. Dit is de Starter-mogelijkheid. Het is ook een optie om het monitoren van het netwerk op security-vlak over te dragen aan een externe partij. Bij Telindus kiest de klant dan voor de Comfort-mogelijkheid. Wanneer het totale beheer aan Telindus wordt overgelaten, zodat de klant zijn aandacht volledig op de business van het bedrijf kan richten, dan wordt er gebruik gemaakt van de Elite-variant. Hierbij neemt ons Security Operation Center dat het beheer volledig overneemt.

Security Telindus 6
Goede beveiliging is een basisbehoefte. Door de beveiliging goed in te richten voorkom je financiële en reputatieschade en voldoe je aan de regelgeving. Goede beveiliging maakt het ook mogelijk om veilig samen te werken en informatie met elkaar te delen. Maar een IT-manager die zich volop richt op de security, heeft niet altijd de handen vrij om andere innovatie IT-projecten op te pakken die de business vooruit helpen. Door op het gebied van security met een partner samen te werken, wordt de security-last op de schouder van de IT-manager minder en kan IT nog beter, veiliger en innovatiever tegemoetkomen aan de eisen en behoeftes van de markt.


IoT devices

Veilig aanmelden van IoT devices op wifi-netwerken

Het gebruik van IoT devices wordt steeds gangbaarder in een bedrijfsgebouw. Voor de communicatie liften deze devices vaak mee op het reeds bestaande wifi-netwerk. Voorbeelden van IoT devices zijn camera’s, sensoren (temperatuur, verlichting), smartboards, etc. Omdat al deze devices gebruik (willen) maken van het wifi-netwerk doet zich een nieuwe uitdaging voor: hoe gaan deze devices zich veilig aanmelden en authentiseren op het netwerk? Hierover gaat mijn blog.

De eenvoudigste oplossing is niet de beste

Voor het aanmelden van een apparaat op een wifi-netwerk bestaan diverse mogelijkheden. Het gebruik van een aparte wifi Server Set Identifier (SSID) met een vaste Pre Shared Key (PSK) voor alle IoT devices is de eenvoudigste oplossing. Vanuit security oogpunt is deze oplossing echter niet wenselijk. De PSK kan bekend worden of worden meegenomen als iemand uit dienst gaat. Het vervolgens nalopen van alle IoT devices en het invoeren van een nieuwe PSK is een crime. Ook kan een IoT device gehackt worden en daarmee wordt meteen de PSK van het betreffende wifi-SSID bekend.

Authenticatie op basis van een MAC-adres is ook niet handig. Dit gezien de hoeveelheid devices en de administratie die dit vergt om de lijst met MAC-adressen op orde te houden bij toevoeging of vervanging van defecte devices.

Unieke wifi-authenticatie per IoT device

Dan blijft over het authentiseren op basis van een unieke username en wachtwoord per device, in combinatie met de WPA2 enterprise authenticatie. Dit wordt ook gebruikt voor laptops en andere user-gebonden devices. Ook dit vergt een behoorlijke handmatige inspanning en overeenkomstige administratie; welk account zit in welk device? Eigenlijk wil je iedere vorm van handmatige authenticatie vermijden. Het aantal IoT devices groeit alleen maar verder. Stel dat straks bijvoorbeeld ieder lichtarmatuur als een IoT device wordt uitgevoerd en een wifi-connectie nodig heeft, dan wil je iets anders bedenken voor authenticatie. Het liefst een volledig automatische methode, maar wel één die veilig is en niet het wifi-netwerk onbedoeld openzet.

Nieuwe standaarden voor wifi- authenticatie van IoT devices

De Wi-Fi Alliance, de instantie die zich bezighoudt met de certificering van wifi devices, heeft dit probleem al enige tijd erkend en is bezig met de ontwikkeling van nieuwe standaarden voor wifi- authenticatie van IoT devices. Eén hiervan is het Device Provisioning Protocol (DPP), waarmee een beheerder, die reeds geauthentiseerd is, met een app op zijn smartphone een nieuw device op het netwerk aanmeldt. Belangrijk hierbij is de manier van beveiliging. De unieke credentials van het nieuwe device worden onder water bepaald en blijven onzichtbaar voor de aanmelder en worden encrypted over het netwerk verzonden.

Een andere methode, waarbij geen interactie van een beheerder nodig is, is de zogenaamde Passpoint certificatie. Deze wordt momenteel door de Wi-Fi Alliance verder ontwikkeld voor IoT-toepassingen. De Passpoint standaard bestaat al sinds 2012 en is oorspronkelijk bedacht om de authenticatie op publieke hotspots van service providers te vereenvoudigen. Deze standaard komt erop neer dat het IoT device op zoek gaat naar een unieke SSID uit een lijst die fabrieksmatig is geconfigureerd. Vervolgens meldt het device zich aan met een certificaat dat ook fabrieksmatig is aangebracht. Dit certificaat wordt via een Radius proxy geverifieerd bij de fabrikant van het device, waarna de gegevens worden bevestigd en het als een betrouwbaar device wordt gezien.

De oplossing laat nog op zich wachten

De enige voorwaarde is dat het wifi-netwerk Passpoint ondersteunt en dat de Radius proxy richting de fabrikant wordt ingericht. Daarna werkt deze methode volledig zonder menselijke inmenging.

Waar staan we op dit moment? De DPP-standaard is nog verder in ontwikkeling en van de Passpoint standaard is onlangs (december 2016) versie 2.0 tot stand gekomen. Er zijn echter nog maar weinig devices die dit ondersteunen, dus voorlopig zullen de authenticatie issues van IoT devices nog wel even aanhouden.


Anti-malware gaat verder dan antivirus

Endpoint protection: anti-malware gaat verder dan antivirus

In mijn vorige blogs ben ik ingegaan op NextGen firewalls en de database firewall. De meeste NextGen firewall-leveranciers bieden ook beschermingsproducten aan voor endpoints, waaronder anti-malware. Hoe werken deze producten en zijn ze een goed alternatief voor de traditionele antivirus oplossingen? Dit bespreek ik in mijn blog.

Antivirus vs. Anti-malware

Antivirus producten bestaan al jaren. Ze bieden bescherming op het endpoint, zoals pc, laptop en mobiel, door alle lees- en/of schrijfbewerkingen van bestanden te controleren. Daarnaast voeren ze periodiek een scan uit op alle bestanden die zich op alle lokale schijven bevinden. De bestanden worden gecontroleerd door ze te vergelijken met een database met signatures van bekende virussen, trojans en worms. Deze database bevindt zich op het endpoint en moet regelmatig worden geüpdatet. Antivirus beschermt vooral tegen de klassieke, al langer bestaande, bedreigingen. Anti-malware daarentegen richt zich juist meer op de nieuwere zaken zoals zero-day exploits en de meer geavanceerde bedreigingen zoals ransomware. De dynamiek van anti-malware oplossingen is dan ook veel hoger dan bij antivirus en zij opereren veel meer in de frontlinie.

Anti-malware staat in verbinding met clouddiensten

Kenmerkend van anti-malware producten is dat zij vrijwel altijd online in verbinding staan met een ondersteunende clouddienst vanuit de leverancier. Dit kan een rechtstreekse verbinding zijn vanuit het endpoint of via een tussenliggende hardware appliance of firewall, die zich binnen het bedrijfsnetwerk bevindt en als proxy fungeert. Op deze manier ontstaat er een grid-netwerk waarin aanvullende en up-to-date intelligentie geboden wordt. Via geavanceerde-, statistische- en analysetools worden per dag miljoenen malware samples bekeken. Ook wordt er 24/7 een actueel en real-time beeld gevormd van de heersende bedreigingen. Updates van deze informatie worden continu gepushed richting de anti-malware clients.

Snel alarm bij besmette endpoint

De anti-malware oplossing analyseert alle nieuwe bestanden die op het endpoint terecht komen. Denk aan mailings, websites, downloads of USB-devices. Bestanden worden op basis van een signature hash vergeleken met een lokale database van reeds bekende malware. Onbekende bestanden worden ter analyse aangeboden bij het grid-netwerk. Dit gebeurt rechtstreeks bij het netwerk of op de lokaal geïnstalleerde appliance die met dit netwerk in contact staat.

De lokaal geïnstalleerde appliance zorgt ervoor dat er geen vertrouwelijke informatie buiten het bedrijf terecht komt. Het bestand wordt geanalyseerd en uitgevoerd binnen een afgeschermde omgeving, ook wel sandboxing genoemd. Wanneer een bestand is geïnfecteerd met malware, dan is dit uiteraard te laat voor het reeds besmette endpoint. In zo’n situatie kan er nog wel een alarm worden gegenereerd. Zo kan het endpoint snel van het netwerk gehaald worden of in quarantaine worden gezet. De nieuw ontdekte malware wordt direct toegevoegd aan de intelligentie van het grid-netwerk en verspreid naar alle deelnemende clients.

Deze beveiliging werkt ook met terugwerkende kracht. Als een bestand in eerste instantie geen kwaadaardig gedrag vertoont, maar dit later alsnog blijkt te doen, dan kan er alsnog een alarm gegenereerd worden. Doordat bekend is waar het bestand vandaan komt en op welke endpoints het zich bevindt, kunnen er alsnog maatregelen worden genomen.

De snelheid waarmee anti-malware producten reageren vormen het grote pluspunt in vergelijking met antivirus oplossingen. Anti-malware acteert proactief en antivirus is altijd reactief. Aan de andere kant voeren anti-malware producten meestal geen periodieke scan uit op alle lokale schijven en bestanden. Tevens zijn anti-malware producten vaak duurder dan de traditionele antivirus oplossingen. Indien je echter toch van plan bent om de antivirus oplossing te vervangen en je de kosten van een security breach via malware in ogenschouw neemt, dan is de business case voor een anti-malware oplossing waarschijnlijk snel gemaakt.


Ransomware dreigingen onder de loep

Ransomware-dreigingen onder de loep

Voorheen hielden veel cybercriminelen zich verborgen. Zij probeerden detectie te ontlopen door slechts kleine inbreuken op bedrijfsnetwerken uit te voeren om zo hun exploitaties te starten. Tegenwoordig tappen sommige brutalere cybercriminelen legitieme online resources af. Zij tappen servercapaciteit af, stelen gegevens en eisen vervolgens losgeld van online slachtoffers, waarvan zij informatie gijzelen. Deze campagnes zijn een ontnuchterende escalatie in de oorlog tussen verdedigers en aanvallers. Als kwaadwillenden meer online locaties vinden waar vandaan zij kunnen werken, kan hun invloed exponentieel groeien. In deze blog bespreek ik recente ontwikkelingen met betrekking tot ransomware en de schijnveiligheid die klanten ervaren.

Uitbuiten en versleutelen
De Angler exploit kit is één van de grootste en meest effectieve exploit kits op de markt. Deze is in verband gebracht met diverse grootschalige campagnes met malvertising (kwaadaardige advertenties) en ransomware. De exploit kit is eveneens een van de belangrijkste factoren in de algehele explosieve groei in ransomware-activiteiten. Criminelen gebruiken ransomware om bestanden van gebruikers te versleutelen en leveren de sleutels voor decryptie pas nadat gebruikers een ‘ransom’ (losgeld) hebben betaald. Dit ligt gewoonlijk tussen de 300 en 500 euro. Recent sprak ik nog een fysiotherapeute die dit was overkomen. Nadat ze 400 euro had overgemaakt in Bitcoins, kreeg ze de sleutel om haar eigen bestanden weer te openen. Hierbij had ze zichzelf de vraag gesteld: ga ik dit nu doen of probeer ik alles te herstellen? Dit laatste zou meer tijd en uiteindelijk dus meer geld hebben gekost.

Sluipende malware
Russische cyberdreiging-groepen die regelmatig gecontroleerd worden, ontwerpen steeds innovatievere manieren om hun sporen uit te wissen. In 2015 werd de sluipende malware HAMMERTOSS gedetecteerd vanuit een ‘Advanced Persistent Thread’-groep, die vermoedelijk door de Russische regering gesponsord wordt. De ontwikkelaars achter deze malware hebben een bijzonder effectief instrument bedacht. Deze groep probeert de detectie van de malware te ondermijnen door het toevoegen van lagen van verduistering en het nabootsen van het gedrag van de legitieme gebruikers. Dit doen zij met behulp van een verscheidenheid aan technieken. Van het creëren van een algoritme dat dagelijks twitterberichten genereert, tot aan het inbedden van foto's met commando’s (Steganography). HAMMERTOSS maakt gebruik van Twitter, GitHub en opslag in de cloud om commando's en gegevens door te sturen van gecompromitteerde netwerken.

sluipende malware 2ransomware via servers

Ransomware via servers
De laatste tijd horen we in het nieuws dat ziekenhuizen en scholen op globale schaal worden aangevallen door ransomware. Ziekenhuizen van de Verenigde Staten tot aan Europa hebben aanvallen bekend gemaakt. Op dit moment is er zelfs malware specifiek geschreven om de healthcare aan te vallen. Deze malware heet SamSam. Er wordt nu al gekscherend gezegd: de dokter kan uw dossier inkijken en u behandelen, maar moet nog even het losgeld door middel van Bitcoins overmaken. In tegenstelling tot de meeste ransomware, zoals phishing-campagnes en exploit kits, wordt SamSam niet gelanceerd via de gebruikersgerichte aanvalsvectoren. Deze aanval lijkt te worden verspreid via servers. Via servers worden over het netwerk meerdere machines aangevallen. De criminelen eisen dan losgeld om die netwerken weer beschikbaar te maken voor de legitieme gebruikers in het ziekenhuis.

De meeste bedrijven en instellingen die met bovenstaande ransomware-dreigingen te maken hadden, waren natuurlijk voorzien van de voor de hand liggende oplossingen, zoals firewalls en virusdetectie. Maar met deze gerichte aanvallen is dat niet voldoende. Daarom pleit ik voor het gebruik van malware-protectie die we in het netwerk, op de servers en op werkplekken moeten installeren. 100% veiligheid is niet te garanderen, of we moeten weer terug naar een niet-digitale wereld, maar we kunnen het wel zo goed mogelijk beveiligen.


Impact security incident

De impact van een incident, hoe ga je daar mee om?

Heel veel ondernemingen realiseren zich niet wat het (op IT-gebied) voor impact kan hebben als er een incident plaatsvindt, laat staan dat ze een plan hebben om negatieve gevolgen te voorkomen. Het spreekt natuurlijk voor zich dat ik iedereen adviseer hier zo snel mogelijk mee aan de slag te gaan. In deze blog ga ik dieper in op het uitvoeren van een BIA (Business Impact Analysis), die mogelijke incidenten en gevolgen in kaart brengt.

Bij het onderzoeken van de risico’s die je loopt als onderneming, kun je onderscheid maken in oorzaken waar je vooraf over na kunt denken en oorzaken die je simpelweg niet had kunnen voorzien. Een voorbeeld van een oorzaak die je niet had kunnen voorzien, is een aardbeving (althans, in Nederland). Hoewel dit vandaag de dag iets vaker aan de hand is, had niemand in Groningen er pakweg 15 jaar geleden bij stil gestaan dat het kon gebeuren, laat staan dat men een plan van aanpak had voor de gevolgen van dit probleem.

Ontruiming
Een meer voor de hand liggend voorbeeld is wateroverlast. Nederland is een heel waterrijk land. Daarom is overstromingsgevaar een calamiteit waar zeker rekening mee gehouden dient te worden. Maar zelfs voor gebieden in de omgeving van een dijk is het lastig inschatten of er iets mis kan gaan en hoe groot het gebied is dat daar last van ondervindt. In 1995 was de situatie bijvoorbeeld zo nijpend, dat de gemeente Culemborg tot ontruiming overging, een groot bedrijf als het Centraal Boekhuis zal dat waarschijnlijk niet van te voren bedacht hebben. Hetzelfde geldt voor andere bedrijven in de regio die hun deuren tijdelijk moesten sluiten en risico liepen op waterschade aan het pand en alles dat zich daarin bevond.

Als er iets misgaat
Het voorbeeld van de evacuatie laat zien dat voorzorgsmaatregelen van belang zijn. Maar hoe te reageren als er daadwerkelijk iets misgaat? Recent nog hebben we in Amsterdam een breuk gehad van een waterleiding, wat tot een totale evacuatie van het VUmc leidde. In korte tijd is er snel opgeschaald en zijn er diverse leveranciers betrokken geweest bij de hulpverlening.

waterschade       waterschade
Het ziekenhuis moest twee weken dicht, nadat een breuk in een waterleiding voor enorme schade zorgde. Door de wateroverlast moest het VUmc op dinsdag 8 september alle (meer dan driehonderd) patiënten evacueren. Die zijn naar andere ziekenhuizen gebracht en in de twee weken dat het ziekenhuis gesloten was, werkte men met man en macht om de zaken te herstellen. Daarbij moest er aandacht zijn voor allerlei zaken, waaronder ook de IT-infrastructuur.  Alle technische voorzieningen in het ziekenhuis werden opgestart en uitvoerig getest. Toen dat proces werd afgerond gaf de raad van bestuur het groene licht om het ziekenhuis weer te openen.

Noodvoorzieningen
In een ziekenhuis is het natuurlijk van groot belang dat noodvoorzieningen werken. Het VUmc testte na de wateroverlast tussentijdse, tijdelijke voorzieningen, die er voor moeten zorgen dat de infrastructuur in het ziekenhuis optimaal werkt en blijft werken. Het gaat hier dan om onder andere de watervoorziening, behalve koud en warm stromend water is bij de behandeling van patiënten ook stoom en gezuiverd water nodig. Ook test VUmc alle elektrische apparatuur en liften, die tijdens de sluiting enkele dagen geheel uitgeschakeld zijn geweest

Business Impact Analysis
Het voorbeeld laat zien dat het inschatten van de kosten om een calamiteit te voorkomen dan wel op te lossen nooit een makkelijke taak zal zijn. Het accepteren van de risico’s of zelfs een verzekering daarvoor af te nemen is een overweging. Er bestaan hiervoor 2 erkende methodes. Eén waarbij op basis van ervaring een inschatting gemaakt wordt en een andere methode die alle assets benoemt, indexeert en op basis van statistieken een waarde koppelt. Ik vind het overigens getuigen van daadkrachtig optreden van het VUMC om zo snel te evacueren en de situatie verder op te lossen.

Ik denk dat het een goede ontwikkeling is als organisaties zich voorbereiden op dit soort business impact-gerelateerde issues, want in de toekomst gaat dit vaker voorkomen. Je kunt de keuze maken om dit in overeenkomsten met leveranciers en derden vast te leggen, verzekeringen af te nemen of zelf te zorgen dat er capaciteit is om migratie neer te zetten. De manier waarop, daarover kun je van mening verschillen. Het is in ieder noodzaak dat er een doordacht aanvalsplan wordt opgesteld.