Zo wordt de kritieke infrastructuur van het internet beveiligd
Deze week lees je op TechPulse een vijfdelig dossier over cyberdefensie. We hebben het in deel 1 over de bescherming van kritieke infrastructuur van bedrijven en de overheid. In de komende hoofdstukken bekijken we hoe die overheid censuur gebruikt om websites ontoegankelijk te maken en de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen. Verder onderzoeken we hoe oorlogsvoering in cyberspace er uit ziet. Tot slot bekijken we stap voor stap hoe cybercriminelen te werk gaan bij een echte aanval.
Veel hoef je niet te doen om veilig online te gaan met je Windows-computer. Een combinatie van een degelijk antivirusprogramma en een portie gezond verstand volstaan om het meeste onheil af te wenden. Zodra je een heleboel computers met gevoelige informatie moet beveiligen wordt het moeilijk. Overheden en grote bedrijven moeten hier het hoofd bieden aan dezelfde uitdagingen: ze hebben een uitgebreide IT-infrastructuur met servers die gevoelige informatie bevatten. Dergelijke systemen zijn voor hackers en criminelen wat een eenzame lamp in de nacht is voor een insect. De recentste versie van je favoriete gratis antivirussoftware volstaat dan ook niet om geavanceerdere infrastructuur te beveiligen.
Lekke beveiliging
Je zou van grote bedrijven en overheden verwachten dat hun beveiliging zo waterdicht is als maar kan, maar dat slaat vaak tegen. “Twee derde van de bedrijven die getroffen worden door een hack moeten van een externe bron vernemen dat ze het slachtoffer zijn van een inbraak”, illustreert Ronald Prins, medeoprichter van FoxIT. Hij zit samen met zijn bedrijf al van in het begin in de wereld van de cybersecurity. FoxIT is intussen een wereldspeler die hacks van over de hele wereld aan het licht brengt. Het bedrijf werd recent nog onder de arm genomen door de Belgische overheid na de Belgacom/Bics-hack.
Evolutie in dreiging
Sinds Prins het Delftse bedrijf in 1999 uit de grond stampte samen met Menno van der Marel, zijn de uitdagingen dan ook sterk veranderd. “In het laatste decennium zagen we een verschuiving van interne naar externe dreigingen”, aldus Prins. Vroeger was een misnoegde werknemer zowat het grootste beveiligingsrisico. Iemand met legitieme toegang misbruikte die om gegevens te stelen of schade aan te richten. Na de hack volgde dan een onderzoek om de schuldige te pakken te krijgen.
Vandaag komen bedreigingen van buitenaf. Jan en alleman, van script kiddies zonder gezonde hobby tot professionele misdaadsyndicaten en zelfs buitenlandse overheden, probeert gevoelige data te bemachtigen. De criminelen in kwestie zitten meestal veilig achten hun pc in een ander land, waar ze het gevoel hebben onaantastbaar te zijn.
Naïviteit
Landen en bedrijven zijn genoodzaakt om die nieuwe realiteit onder ogen te zien en cyberdefensie te bombarderen tot prioriteit. Helaas is de aanpak niet altijd even goed. “Er is nog steeds veel naïviteit”, vindt Prins. “Hooggeplaatste managers geven veel geld uit aan indrukwekkende beveiliging met mooie dashboards en kleurrijke grafiekjes. Ondanks die investering worden ze tot hun eigen verbazing toch gehackt.”
Het probleem schuilt in de tweeledigheid van een goede beveiliging. Een firewall en een dure securitysuite vallen onder het preventie-luik. Het is echter naïef om te denken dat de preventieve maatregelen iedereen automatisch en voor altijd zullen buiten houden. Naast preventie is ook detectie onontbeerlijk. Dat een hacker zich een weg naar binnen forceert kan altijd, maar dat hoeft met een goed detectiesysteem geen ramp te zijn.
Een goed plan
Een dure beveiligingssuite volstaat dus niet om infrastructuur te beschermen van aanvallen. Prins legt stap voor stap uit hoe een goede beveiliging er dan wel uit ziet. “Alles begint bij een gesprek. We praten met het IT-departement van een bedrijf om een beeld te krijgen van de situatie.” Vaak wenden bedrijven zich tot een beveiligingsfirma wanneer ze reeds het slachtoffer zijn van een hack. “We onderzoeken de omvang van het probleem en gaan dan aan de slag met het netwerk.” Experts tekenen de ganse te beschermen infrastructuur uit en plaatsen hun eigen hardware. “Daarmee kunnen we meekijken naar wat er op het netwerk in kwestie gebeurt.” Verder neemt Fox-IT meteen imagebestanden van kritieke systemen op het netwerk. Met die identieke kopieën van de systemen van een klant gaan onderzoekers aan de slag in het labo.
Digitaal speurwerk
Wanneer er data gestolen is, vinden de speurders van Fox-IT bijna altijd nog sporen van de hack. “Soms is de hacker zelfs nog actief”, vertelt Prins. Wanneer de experts het netwerk analyseren komt het vaak voor dat er meer beveiligingslekken zijn dan het slachtoffer in eerste instantie dacht. Het ene gekende lek zorgt er dan voor dat ook andere problemen worden gevonden.
De onderzoekers vertrouwen niet op een enkel programma. Ze schrikken er niet voor terug hun handen vuil te maken en duiken in de logs. Daarin staat alles wat er op het netwerk gebeurt, maar dergelijke logbestanden zijn lang en saai, waardoor ze al te vaak slecht in het oog worden gehouden.
Logboek
“Een IT-departement zou zijn logs toch minstens wekelijks moeten nakijken”, vindt Prins. “Slimme scriptjes kunnen IT’ers automatisch attent maken op onregelmatigheden.”
Hackers weten hoe een goed beveiligingsteam te werk gaat, en proberen detectie natuurlijk ook actief te vermijden. Willen ze een database met wachtwoorden en e-mail-adressen stelen, dan zullen ze het bestand van meerdere gigabytes niet meteen integraal uploaden naar hun thuiscomputer in een ver land. Meestal zijn de criminelen geduldig. “Met een trage datastroom proberen ze de gegevens langzaam maar zeker naar buiten te laten sijpelen”, verduidelijkt Prins. Een stroompje van 300 kilobit per seconde valt immers niet meteen op tussen het reguliere internetverkeer. Een grondige analyse van de binnen- en buitenkomende data zal de constante gegevensstroom natuurlijk wel aan het licht brengen. “Eén hack is dus vaak een inbraak die wekenlang ongemoeid kan verder gaan.”
Laten hacken
Na de ontdekking van een hack wil het slachtoffer natuurlijk zo snel mogelijk actie ondernemen. De hacker moet uit het systeem en het toegangspoortje waarlangs hij binnen kwam, moet op slot. “Zulke snelle actie is niet zonder risico”, vind Prins. Omdat hacken traag gaat, zijn hackers vaak al geruime tijd aanwezig in een systeem. “De kans is dus reëel dat ze meerdere wegen naar binnen ontdekt hebben.” De hack analyseren, in de gaten houden en het ultieme doel achterhalen is in dat opzicht een betere strategie. Pas als je weet wat de kraker wil kan je de juiste veiligheidsmaatregelen nemen.
Om meer inzicht te verwerven, maken onderzoekers gebruik van zogenaamde ‘honeypots’. Die nemen vaak de vorm aan van belangrijk uitziende maar verouderde data met een nieuw aantrekkelijk label. Onderzoekers houden het lokaas in het oog en kijken wat de hacker er mee wil. Zo verwerven ze inzicht over zijn methodes en zijn doel zonder dat er belangrijke gegevens in gevaar komen. Pas wanneer alle vragen beantwoord zijn, is het een goed idee om de hacker buiten te smijten en alle lekken te dichten.
Na een professionele interventie van een beveiligingsbedrijf als Fox-IT hebben de meeste beheerders van grote systemen hun lesje wel geleerd. Gaat het om bedrijven, dan is de kans groot dat ze steunen op een externe specialist om het netwerk permanent te monitoren. Het bedrijf blijft natuurlijk aan preventie werken door goed beleid, sterke wachtwoorden en een high tech-firewall, maar de detectie wordt meer en meer uitbesteed.
Controlecentrum
Fox-IT heeft een groot controlecentrum waar het netwerken van verschillende grote klanten in het oog houdt. Het uitbesteden heeft voordelen. Prins: “Als één bedrijf getroffen wordt door een nieuw soort aanval, kunnen we meteen maatregelen nemen om onze andere klanten te beschermen.” Bovendien is er een efficiëntievoordeel: een extern bedrijf kan experts aannemen en hen de hele dat uitdagend werk voorschotelen. Wie zijn beveiliging intern wil regelen heeft zelf een full time-expert nodig.
Overheden kiezen weinig verrassend voor die laatste optie. Zij hebben immers te maken met veel meer regeltjes en houden de controle over hun systeem liever binnenshuis. Dat is minder efficiënt, maar wanneer het goed wordt aangepakt niet noodzakelijk minder veilig.
Dit was deel 1 in onze reeks over cybersecurity. Lees ook deel 2, waarin we dieper ingaan op censuur op het internet en kom in deel 3 te weten wat de overheid allemaal over jou mag bijhouden.