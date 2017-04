Het had niet hoeven te gebeuren. Ja, een geavanceerde hacker kan documenten bemachtigen, maar de manier waarop bestanden zijn ontvreemd bij de CIA zeggen me dat tenminste één, zo niet meerdere, dingen zijn misgegaan zodat deze bestanden in handen van WikiLeaks kwamen. Het trieste feit is dat er doeltreffende beveiliging ontbreekt in de meeste IT-systemen en het algehele gebrek aan security is bijna hetzelfde als een brief op de deur die zegt dat we niet thuis zijn en er geen alarmsysteem is.

Financiële effecten

Die situatie is eindelijk aan het veranderen, hoewel de aanpak erg langzaam wordt uitgerold. Ik denk dat het beslissende moment in deze ontwikkeling de hack bij Sony is. Die was namelijk niet alleen heel erg gênant voor de filmstudio, het kostte ze ook veel geld, wat een veel betere motivatie is dan het nare effect alleen zoals bij Target en de Amerikaanse overheidsorganisatie OPM, die de financiële bottom line niet zo raakten.

Wat de oorzaak ook mag zijn, ik zie de laatste tijd meer interesse komen voor de oplossingen die de juiste securitymiddelen bieden. Het wordt bijvoorbeeld met analytics meer data-driven, zodat we keuzes maken op daadwerkelijke impact en risico's, in plaats van ons buikgevoel. Cloudoplossingen die events detecteren beginnen aan een opmars. Er wordt hard gewerkt aan het einde van wachtwoorden. Er wordt effectiever opgetreden tegen criminelen en hun netwerken.

Tijd voor optimisme

Voor de verandering krijgen de goeieriken voet aan de grond en wordt er vooruitgang geboekt. Ik ben in de regel vrij pessimistisch over beveiliging, zoals je misschien hebt gemerkt de afgelopen jaren, dus bedenk dat ik dit optimisme niet lichtzinnig tentoonspreid. Om bij te dragen aan dat gevoel van optimisme zijn hier zes dingen die je vandaag nog kunt doen om je beveiliging sterk te verbeteren.

1. Ga uit van inbraak

Als dit nog niet je mantra is - we prediken het al jaren - is het de hoogste tijd om dit een uitgangspunt te maken. Wanneer je uitgaat van het idee dat aanvallers je netwerk kunnen betreden - het is vrijwel onmogelijk om alle gaten in je gigantische aanvalsoppervlak te richten - ga je het systeem inrichten op actieve interne beveiliging en kijk je naar wat er nu niet sterk is.

De middelen om de perimeter te beschermen blijven uiteraard essentieel, maar helpen uiteindelijk niet als je te maken krijgt met een APT. De firewalls en Intrusion Detection Systems moeten intern worden ingezet op alle hosts die van kritiek belang zijn voor de bedrijfsvoering. Wat zou je anders doen qua logging en detectie als je weet dat de slechterik in je systemen zit? Welke data zou je versleutelen? Hoe zou je een APT detecteren? Wat zou de baseline van normaal gedrag zijn?