Home » Technology » Security » Onze security-mindset moet van binair naar analoog

Onze security-mindset moet van binair naar analoog

Tech Page One

A

 

Tijdens de Hack in the Box (GSEC) security-conferentie in Singapore vorig jaar vond ik het opmerkelijk dat er bijzonder veel aandacht was voor de analoge kant van security. In een wereld waarin heel binair wordt gedacht, is dit volgens mij een duidelijk signaal dat er veel behoefte is aan een meer analoge benadering van beveiliging.

Een centraal thema van Hack in the Box is dat alles draait om out-of-the-box denken. Dat is namelijk precies zoals er door de aanvallende kant van security wordt gedacht. Daar tegenover staat de verdedigende kant, die vaak op een uiterst binaire manier denkt. Besluiten worden dan puur op basis van vastgestelde regels en richtlijnen genomen. Iets is goed of fout en een besluit dat eenmaal is genomen, wordt niet heroverwogen in latere beslissing. Dat geldt zowel voor machines als mensen. En dat terwijl de security-bedreigingen van tegenwoordig juist steeds minder in dit binaire plaatje passen. De oplossing is volgens mij om analoger om te gaan met security. Je ziet dit bijvoorbeeld ook in de wereld van de werktuigbouwkunde, die zich voornamelijk richt op analoge technieken en veel minder op binaire. Neem voorbeeld de snelheidsregulator van een stoomtrein. Maar hoe doe je dit in een wereld waar enen en nullen de standaard zijn?

Time-based security

Businessman Working With Confidential Data on a Dell MonitorTijd is volgens mij het beste voorbeeld van een analoog element in security. Tijd en timing zijn weliswaar digitaal te meten, maar voorzien ons van zeer veel nuttige informatie op security-gebied. Zo kun je er bijvoorbeeld mee bepalen of een netwerkverbinding vanuit Nederland of China komt. Maar ook kun je met de timing van toetsaanslagen op een keyboard bepalen of er een mens of computer aan het werk is. Door dit soort elementen mee te nemen in security, vergroot je de kans aanzienlijk om te bepalen of er sprake is van kwaadaardig gedrag. In de praktijk wordt echter veelal gewerkt met standaard oplossingen als firewalls en intrusion prevention-systemen, die dit op basis van standaard regels bepalen. Iets is goed of fout en een verbinding wordt toegelaten of tegengehouden. Zo houd je de meest gangbare bedreigingen tegen, maar intelligentere aanvallen mis je. Die zijn namelijk niet zo binair van opzet. Time-based security is daar een reactie op. De term werd al jaren geleden bedacht, maar in de praktijk wordt er helaas nog maar weinig mee gedaan. Deze security-filosofie gaat uit van het feit dat je ‘Protection time’ groter moet zijn dan je ‘Detection + Response time’. En daar is het analoge component weer terug: tijd.

Analoge processen

Een goede manier om effectief om te gaan met moderne security-bedreigingen is met analoge processen. Hiermee bedoel ik dat er bij binaire processen heel veel informatie wordt weggegooid. Een verbinding kan volgens de regels bijvoorbeeld voor 60 procent vertrouwd zijn, maar nadat deze is doorgelaten vervalt deze historie. Ik vergelijk het wel eens met een aannemer die in je huis aan het werk gaat en je gaandeweg met steeds meer aanvullende kosten confronteert. Dat accepteer je misschien paar keer, maar op het moment dat hij opeens wéér met een extra kostenpost komt, zul je die eerdere confrontaties ook meetellen. Dit gebeurt veel te weinig in security, waardoor er veel nuttige informatie verloren gaat, die de beveiliging sterk kan verbeteren. 

Binaire besluit vs. analoog proces

Waar het in security om zou moeten gaan is de resolutie van de informatie waarmee je werkt. Ofwel: de hoeveelheid detail bepaalt de kwaliteit van je beslissingen. Aanvallers werken namelijk ook zo. Die scannen netwerken bijvoorbeeld op patch-niveaus, de kwaliteit van de security en of er geld te halen valt. Dit vergroot de kans op een succesvolle aanval aanzienlijk. Het probleem is dat standaard oplossingen hier geen raad mee weten. Veel kwaadaardig verkeer kun je alleen detecteren aan de hand van een optelsom van factoren, net als het eerdere voorbeeld van de aannemer. Banken maken al gebruik van dit soort technieken, bijvoorbeeld in hun mobiele apps. Zij maken bij de mate van authenticatie onderscheid tussen grote en kleine betalingen. Ze kijken waar ter wereld de app wordt gebruikt en op welk tijdstip. Past dit in een vertrouwd profiel of is er sprake van verdacht gedrag? Dit soort beveiligingstechnieken zouden ook in het bedrijfsleven de standaard moeten worden, in plaats van standaard ingerichte firewalls of IPS te gebruiken. Je moet op verschillende niveaus in de infrastructuur analoog gedrag monitoren en het liefst op veel meer plaatsen. Deze informatie moet je vervolgens  verzamelen en op een intelligente manier analyseren, en die als feedback gebruiken in je systemen en besluiten.

 

Barry van Kampen

Barry van Kampen

Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Hij vervult hier de rol van consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.

Laatste Artikels:

 

Tags: Security, Technology