Maatregelenselectie

Het gaat hier wellicht niet zozeer om de selectie van nieuwe maatregelen maar om de versterking van bestaande maatregelen. Je zou dit kunnen zien als een vernieuwing van ‘best practices’. Dat wat voorheen wellicht nog in het rijtje ‘opties’ viel, wordt nu verplichte kost om voldoende veilig te zijn.

Bronnen

Diverse instanties hebben zich bezig gehouden met de vraag wat de meest effectieve beveiligingsmaatregelen zijn in het kader van cyber security. Hiertoe behoren in ieder geval de volgende dibronnen die in de literatuur veel aandacht krijgen en in voorkomend geval tot (nationale) norm verheven zijn: • SANS met de “Twenty Critical Security Controls for Effective Cyber Defences Consensus Audit Guidelines (CAG)”; deze hebben NIST SP800-53 als basis (http://www.sans.org/critical-security-controls/) • het Australian Defence Signals Directorate / Cyber Security Centre met “35 strategies to mitigate against targeted cyber intrusions” (http://www.dsd.gov.au/infosec/top-mitigations/top35mitigationstrategies-list.htm) • OWASP: (www.owasp.org) Dichter bij huis zijn er ook nog enkele bronnen te noemen • Govcert.nl, checklist, resp. raamwerk beveiliging webapplicaties (http://www.govcert.nl/dienstverlening/Kennis+en+publicaties/factsheets/checklist- webapplicatie-beveiliging.html) • Logius, Security Assessments (http://www.logius.nl/producten/toegang/digid/ict- beveiligingsassesments/) • Nationaal Cyber Security Center (NCSC).

Te controleren maatregelen

Van de volgende maatregelen zou dan bezien moeten worden of deze bestaan en werken en daarbij tegemoet komen aan de huidige eisen:

ACT-fase

• Application Security; de hiervoor genoemde bronnen richten zich in belangrijke mate op application security; met het aanbieden van applicaties aan het internet, is het belang hiervan toegenomen; voorts blijkt dat met relatief eenvoudige maatregelen de meeste dreigingen (en aanvallen) voorkomen kunnen worden; • Computer Emergency Response Team (CERT):een CERT (ook wel CIRT of CSIRT, waarbij de (S)I staat voor (Security) Incident) help om snel te kunnen (re)ageren indien een organisatie wordt aangevallen; (inter)nationale samenwerkingsverbanden van CERTs worden gezien als waardevolle bronen over de meest actuele cyber aanvallen, -dreigingen en kwetsbaarheden; organisaties die qua aard en omvang in staat zijn om over een eigen CERT te beschikken, wordt geadviseerd dit te doen; • Patch management: aanvallers proberen altijd misbruik te maken van bestaande kwetsbaarheden, speciaal die kwetsbaarheden waarvan alleen zij op de hoogte zijn (zero day kwetsbaarheden c.q exploits); • Vulnerability management: actief vulnerability management – waaraan een CERT bijdraagt – is nodig om te weten of en waar een organisatie kwetsbaar is voor cyber aanvallen en actie moet ondernemen; organisaties als SANS en OWASP houden bij welke kwetsbaarheden het meest misbruikt worden; Voorts kan gedacht worden aan: 1. Automatiseren van controles: dit vermindert de kans op menselijke fouten en kan leiden tot grotere effectiviteit en efficiency, met name ook door de grotere verwerkingscapaciteit; hiervan bestaan concrete voorbeelden en oplossingen: o security incident and event management (SIEM):  door meer gebeurtenissen beter te loggen, kunnen incidenten beter ontdekt en onderzocht worden; o continuous monitoring and auditining: onder meer geautomatiseerde controles of assets nog de juiste, geautoriseerde parameterinstellingen hebben (SCAP) en zich op het juiste patch-level bevinden;(hoort eigenlijk onder de ‘check fase’ hierna). 2. Toevoegen van intelligentie: het toevoegen van tooling die beter in staat is afwijkingen te herkennen of (volgens principes van neurale netwerken) te ontdekken, bijvoorbeeld in gelogde gebeurtenissen of netwerkverkeer; hierdoor wordt het mogelijk transacties te blokkeren voordat ze uitgevoerd worden; een meer eenvoudig voorbeeld is het toevoegen van business intelligence aan een SIEM oplossing om logbestanden te analyseren; meer geavanceerde hulpmiddelen worden ingezet door credit card maatschappijen om frauduleuze transacties of misbruik van internetbankieren te voorkomen 3. Data loss (of ook wel  Leak) Prevention (DLP): tooling die helpt om geclassificeerde data te beschermen tijdens opslag, transport en op de eindbestemming; geeft invulling aan het beleid en de richtlijnen op het gebied van classificatie; helpt niet alleen bij cyber security maar ook bij andere ontwikkelingen zoals ‘bring your own device (BYOD)’.

Check-fase

• Intrusion Detection & Prevention Systemen (IDS/IPS) • Penetratietesten: hoewel te beschouwen als een onderdeel van de ‘best practice’ monitoring&auditing, is het een essentiële maatregel geworden in het kader van cyber security: het controleren van patch levels en applicaties op plekken waar de organisatie verbonden is met het internet; deze penetratietests moeten dan worden uitgevoerd als onderdeel van de acceptatietest voordat een applicatie operationeel wordt gemaakt en periodiek worden herhaald zodra deze operationeel is. • Vulnerability scans: uitvoeren van tests naar bekende kwetsbaarheden en controleren of deze waar mogelijk gepatched zijn Dit geldt mutatis mutandis ook voor vitale infrastructuren en bijvoorbeeld SCADA systemen. SCADA staat voor Supervisory Control and Data Acquisition. Deze systemen zijn niet alleen in gebruik in de (proces)industrie, maar ook voor bijvoorbeeld de aansturing van bruggen en sluizen. .