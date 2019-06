De meeste mensen die in IT-beveiliging werken weten dat compliance - het voldoen aan wettelijke eisen - niet hetzelfde is als beveiliging. Compliance draait om audits en papierwerk, het werkt een afvink-mentaliteit in de hand. Beveiliging daarentegen is tactisch praktijkwerk dat erop is gericht om risico's te verkleinen. Compliance is een vraag als: "Gebruik je patchmanagement dat kritische patches tijdig installeert, ja of nee?" Beveiliging draait om het bepalen welke patches belangrijker zijn op welk moment, het toepassen ervan en verifiëren dat ze zijn toegepast. Het ene is erop gericht om een audit te overleven en het andere om je daadwerkelijk te beveiligen.

Beiden hebben in theorie hetzelfde doel: beveiligingsrisico's verkleinen. Maar compliance is zoveel slechter in het bereiken van dat doel dat ik me afvraag of het eigenlijk wel iets bijdraagt aan het reduceren van risico's. Hier zijn vijf redenen waarom compliance minder bereikt dan gehoopt:

1. Compliance is binair

Beveiligingsrisico's zijn niet binair, maar compliance is dat wel, het draait allemaal om wel of niet, ja of nee. Doe je dit of doe je dit niet? Het geeft geen ruimte voor nuance, creatief denken of zelfs betere beveiliging. Een voorbeeld: compliance-regels vereisen vaak dat wachtwoorden acht tekens of langer zijn met specifieke eisen. Ook al is een simpel maar lang wachtwoord van 20 tekens moeilijker te kraken, zul je hem in de meeste organisaties niet kunnen gebruiken.

Een ander voorbeeld is dat zulke regels vaak vereisen dat een account wordt vergrendeld nadat een gebruiker een wachtwoord een aantal keren incorrect heeft ingevoerd. Als je wachtwoordzinnen vereist, hoef je accountvergrendeling niet af te dwingen en heb je een lager risico.

Het verhogen van de eisen voor sterkere wachtwoorden zorgt er niet voor dat je onder de eis voor vergrendelde accounts uitkomt. In bepaalde scenario's verhoogt een vergrendelingsbeleid het risico op een denial-of-service-aanval. Wormen die wachtwoorden raden, proberen vaak 100 willekeurige wachtwoorden en dat sluit degene die op de korrel wordt genomen uit zijn of haar account. Of aanvallers proberen wachtwoorden op een online portal, waardoor legitieme gebruikers worden buitengesloten.

2. Compliance is irrelevant

Social engineering en phishing zijn debet aan 70 tot 90 procent van alle inbraken, maar je moet er moeite voor doen om meer dan een zin te vinden over social engineering in security-regelgeving. Patching is probleem nummer twee op de lijst van oorzaken, met 20 tot 40 procent van inbraken die zijn terug te voeren naar een kwetsbaarheid waar al een patch voor is en daar zijn meerdere alinea's aan gewijd. Versleutelde opslag houdt maar bitter weinig aanvallen tegen, maar hier zijn alinea's aan aanbevelingen aan gewijd.

Als je aan de hand van het aantal centimeters tekst dat in de regelgeving aan encryptie wordt gewijd zou afleiden hoe belangrijk het onderwerp is, dan zou je denken dat versleuteling je grootste zorg is. Nou is regelgeving niet bedoeld als meetinstrument voor risico, maar het lijkt een slechte balans als je 200 dingen moet doen die risico's niet daadwerkelijk verlagen in plaats van één verandering die daadwerkelijk het meeste effect zou hebben.

3. Regelgeving verandert traag

Als nieuwe inzichten ander beveiligingsadvies opleveren, beweegt regelgeving maar heel langzaam mee. In compliancedocumenten zie je veel adviezen terug over DMZ's, diskettes en 3-poorts firewalls. Je vindt bar weinig over hoe je cloudinteracties beter beveiligt, multifactor-authenticatie, ransomware, kwantumcomputing, wachtwoordrecycling, risico's van third party leveranciers, staatshackers en toeleveranciersbeheer. De wereld verandert constant en IT-beveiliging zeker, maar regelgeving verandert niet mee.

4. Compliance wint altijd van beveiliging

Een groot probleem is dat als compliance en security-verbeteringen met elkaar botsen, compliance altijd zal winnen. CEO's en leidinggevenden zijn primair verantwoordelijk voor het voldoen aan wettelijke eisen. Ze zitten niet te wachten op een uitleg waarom je niet wilde voldoen aan een audit-eis omdat jouw wachtwoord sterker is dan wat de regels voorschrijven, want het betekent dat je niet voldoet aan de bestaande regelgeving. Iedere minuut die wordt besteed aan het voldoen van een item op een checklist, is een minuut die niet wordt besteed aan daadwerkelijke computerbeveiliging.

5. Het zijn allemaal leugens

Maar dit is nog wel het allerergste: compliance is een wassen neus, er wordt heel wat afgelogen en iedereen weet het. Iedereen. Laat ik een paar voorbeelden geven. Elke regelgeving vereist namelijk dat er back-ups zijn van kritieke systemen en dat deze periodiek worden getest. Bij elke compliance-audit die ik heb gezien zegt de keurende entiteit dat er is voldaan. Maar als de succesvolle ransomware-aanvallen de afgelopen jaren iets hebben bewezen, is dat dit blijkbaar in die gevallen niet waar is.

Ja, de meeste organisaties maken back-ups van kritieke systemen, maar bijna niemand test of het terugzetten daarvan ook een succesvolle recovery oplevert. Wie heeft daar de tijd voor? Wie heeft personeel genoeg om dit daadwerkelijk te doen? Management geeft IT niet de resources om recovery te testen. Ze vragen er niet om. Ze malen er niet om - totdat het te laat is. Ik wed dat 99 procent van de IT-wereld niet meer dan één enkele recovery van back-ups in de praktijk heeft getest, maar bij vrijwel elke compliance-audit wordt het afgevinkt. Het is net als het 'regelmatig testen van controlemiddelen'. Iedereen beweert het te doen, maar slechts weinigen doen het ook.

Laat ik je nog een opvallend voorbeeld geven. Iedere wetgeving vereist dat je kritieke patches tijdig toepast (wat 'tijdig' ook precies mag betekenen). In mijn carrière van 32 jaar als beveiliger en pentester ben ik nog nóóit een organisatie tegengekomen die volledig gepatcht was. Ik heb geen enkele Cisco-router gezien die op tijd en goed was gepatcht. Ik ben geen enkele server tegengekomen die volledig was gepatcht. Terwijl iedereen vaak wel denkt dat het geregeld is. Wat ze dan bedoelen is dat alle Microsoft-patches zijn toegepast, maar zelfs dat is zelden waar. Zelfs als de OS-patches zijn toegepast is serverbeheersoftware verouderd. Of een video-codec is over de datum. Sommige servertools die zijn geïnstalleerd zijn verouderd. En met verouderd bedoel ik in dit geval dat er een bekende kwetsbaarheid is waardoor de server op afstand kan worden overgenomen.

Of ze vertellen degene die de keuring doet dat 99 procent gepatcht is en ze laten een rapport zien om het te bewijzen. Wat ze er niet bijvertellen is dat de ene procent die niet is gepatcht juist het aandeel is waarvan het het meest waarschijnlijk is dat dat stukje wordt misbruikt door een aanvaller. Laat ik het nog één keer zeggen: ik heb van de honderden bedrijven en duizenden systemen die ik heb getest nog nooit een volledig gepatcht systeem gezien. Maar iedereen zegt dat ze gepacht zijn.

Nog een leugen. Elke regel stelt dat logs regelmatig moeten worden doorgenomen. Sommige daarvan zeggen zelfs dat dit dagelijks moet. IT-afdelingen weten niet waar alle logs zijn, laat staan dat ze deze er regelmatig bijpakken en doornemen. De gemiddelde computer heeft tientallen logbestanden, en de meeste bevatten relevante informatie voor applicaties of beveiliging. Maar ik heb nooit gezien dat er meer dan een paar logs werden bekeken van de meeste systemen. De meeste logbestanden worden niet gevonden en niet doorgenomen.

Niemand kijkt regelmatig logs door. Kun je je het voorstellen? Mensen die stap voor stap de logbestanden van firewalls dagelijks doornemen? Het is te idioot om over na te denken, daar hebben we de tijd niet voor. Dus wat de meeste mensen bedoelen als ze zeggen dat ze logbestanden dagelijks doornemen is dat ze enkele logs van sommige computers pakken en ze deze laten doornemen door een automatisch systeem, op zoek naar vooraf gedefinieerde kritieke events en kijken of dit waarschuwingen oplevert. Het idee dat er geregeld handmatig logfiles worden nageplozen is praktisch gezien belachelijk, maar we accepteren het allemaal als compliance-norm.

In elke compliance-audit die ik heb gezien weet het onderzochte team dat het netwerk vol zit met gaten. Ze zien de omgeving als een kaartenhuis en als de rapporteur (of aanvaller) de juiste kaart eruit trekt, valt het hele ding uit elkaar. De groep die door de rapporteur onder de loep wordt gelegd, leidt dat vergrootglas om de gaten heen. Ze hopen dat het proces is afgerond voor de rapporteur de juiste vraag stelt of, God verhoede ons, het netwerk daadwerkelijk test.

De controleurs weten ook wel dat dit gebeurt. Die proberen hun werk te doen zonder dat de klant hun bloed wel kan drinken. Ze hebben het gevoel dat ze de strijd op een paar vlakken hebben gewonnen, hun geld hebben verdiend en ze hebben een paar cijfers om in een rapportje te gooien. Niemand heeft het gevoel dat het auditgeld goed is besteed als er niet tenminste een paar dingen zijn gevonden.

Het grootste probleem met compliance is dat het niet genoeg doet om het fundamentele issue aan te pakken dat eigenlijk wordt beoogd: het verbeteren van de beveiliging. In feite is het vooral schone schijn ophouden.

Ik kan nog meer redenen noemen waarom compliance slecht is voor beveiliging, zoals de moeite die iedereen verspilt door het voldoen aan regels die allemaal net ietsjes anders zijn. Of hoe sommige regelgeving veel te gedetailleerd is, terwijl andere helemaal niets zinnigs bevat. Maar het komt allemaal neer op hetzelfde basisissue: risico wordt niet verlaagd, terwijl dat wel het doel is. Het zou beter zijn als beveiliging wat vaker won als het in conflict komt met compliance.