Niemand geeft graag toe dat hij succesvol aangevallen is, dat meent althans Expert Pieter Molen op het security-weblog van Computable. Hij bekijkt het echter positief: een geslaagde aanval kan heel leerzaam zijn. Reacties van de overige Security Experts konden niet uitblijven.
Expert Pieter Molen, security-expert bij Dimension Data, begrijpt dat mensen niet enthousiast zijn om toe te geven dat zij succesvol aangevallen zijn "Het nooit prettig is om dit toe te moeten geven. Echter, de vraag ‘Hoe weet u dat u niet succesvol bent aangevallen?' is wellicht interessanter om te beantwoorden. Weten dat een aanval succesvol is geweest kan natuurlijk nuttig zijn om van te leren en zodoende het niveau van beveiliging te verbeteren. Daarnaast creëert het extra aandacht voor informatiebeveiliging en wordt het bewustzijn van de noodzaak voor informatiebeveiliging verhoogd. Om met zekerheid te kunnen stellen dat je niet met succes bent aangevallen is het essentieel om continu te monitoren wat er in de infrastructuur gebeurt en moet je regelmatig controleren of de informatiebeveiliging op het juiste niveau is. Om dit effectief te kunnen realiseren is een gestructureerde aanpak van informatiebeveiliging een noodzaak. Alleen met een dergelijke aanpak kan een effectief beveiligingssysteem worden gecreëerd."
Rhett Oudkerk Pool
Oprichter en ceo
Kahuna
"Het is triest te merken dat sommige (met name mkb-) ondernemers op deze vraag reageren met ‘Bij mij valt toch niks te halen, dus…' Over kop in het zand steken gesproken. Overigens begrijp ik het wel waarom veel bedrijven vaak niet met zekerheid kunnen zeggen of er iets gebeurd is. IDS-systemen werkten niet altijd even goed en IPS-systemen zijn in ieder geval een betere strategie. Qua perfomance zijn daar soms ook issues. SIEM-tools zijn inmiddels ook het 1.0-tijdperk voorbij, dus logisch dat veel organisaties nog steeds niet kunnen zeggen dat ze ‘in control' zijn."
Peter Westerveld
Managing partner en security consultant
Sincerus
"Een inderdaad veel gehoorde reactie op het niet investeren in informatiebeveiliging is ‘Wij zijn de Nederlandse Bank niet!'. Toch worden ook dergelijke bedrijven slachtoffer van aanvallen en zijn ze vaker succesvol dan er toe wordt gegeven. Misschien is dat wel nodig voor bedrijven om actie te ondernemen; ‘Eerst voelen, dan pas geloven'. Naast het implementeren van een degelijk IB-beleid verdient het aanbeveling om de infrastructuur uit te rusten met een intrusion detection system (IDS) en dan nog beter is het om de analyse van de gegevens uit te besteden aan specialisten. De gegevens zijn veelal voor de systeembeheerders een wirwar waaruit maar moeilijk conclusies te trekken zijn. Managed security services zijn een goed hulpmiddel voor bedrijven die zich geen specialistische security-professionals kunnen veroorloven in de strijd tegen ongewenst bezoek op de kritische systemen en tegen ander misbruik van de infrastructuur."
Leo Willems
Chief security officer
Tunix Internet Security & Opleidingen
"De klassieke risico-inventarisatie wordt gedaan vanuit een reeds gestart informatiebeveiligingsproces. Daar zit een kip/ei-situatie: de analyse maakt duidelijk wat schade kan kosten maar het starten van het proces wordt niet gedaan omdat onduidelijk is wat het kan voorkomen. Soms is de oplossing eenvoudig: wet- en regelgeving zorgen bijvoorbeeld in de bancaire sector voor een security-drive. Die regelgeving is gemaakt om de financiële stabiliteit te waarborgen. Maar hoe motiveren we een klein accountantsbureau om aan een proces te beginnen dat overduidelijk geld kost en mogelijk niets oplevert of simpelweg te duur is? De oplossingen zitten niet in de techniek (koop een IDS, dan ziet je vanzelf wat een zooi het is…), maar in de toegevoegde waarde. Bijvoorbeeld een keurmerk waarmee potentiële klanten zich kunnen overtuigen van de kwaliteit van de accountant of waarmee de accountant korting kan krijgen bij zijn verzekeraar."
Gerrit Post
Senior consultant
Continuity Planning Associates
"Theoretisch is de aanpak van Molen prima. Iedereen zou er meteen voor kiezen. Maar…. is het ook iets wat je praktisch gaat doen, kunt doen? Is het bij een organisatie van enigerlei omvang vol te houden? Stel de vraag eens andersom: heeft u ooit een aanval succesvol gepareerd? Wie het weet mag het zeggen. En hoeveel aanvallen dan wel? Los van de korte termijn -je zult wel iets moeten doen – ligt het antwoord naar mijn mening niet in hogere hekken maar in het onaantrekkelijk maken van wat er achter ligt. Er zijn vrij weinig mensen die de moeite nemen een mestvaalt te beschermen. Toch kan wat er in ligt wel degelijk van belang zijn in de context die je aanbrengt. Met andere woorden: wanneer wij in staat zijn onze systemen zo in te richten dat ze ‘self protecting' zijn, hebben we een belangrijke stap in de goede richting gemaakt."
Bernhard van der Feen
Product solution manager security
Microsoft
"De stelling is met een uitgangspunt geschreven waar ik absoluut niet mee een ben. De vraag doet vermoeden dat je ooit met zekerheid zou kunnen vertellen of je succesvol bent aangevallen. Dat is zeker niet (meer?) het geval. De aanvallen van vroeger waren gericht op het aanrichten van schade, dat is dan nog wel redelijk vast te stellen (ook al niet waterdicht, data-integriteitschade is soms pas jaren later te constateren). Maar tegenwoordig is een aanval meer gericht op het verdienen van geld, bijvoorbeeld het gebruikmaken van data of systemen van anderen en dat kan serieus onopgemerkt blijven. En aanvalsmethoden zelf monitoren is zoals alles in beveiliging mosterd na de maaltijd want je kunt niet alles monitoren en daarnaast zijn er technieken die je nog niet kent. Dus met de indruk dat je waterdichte monitoring kan doen, is absoluut een verkeerde voorstelling van zaken."
Rein de Vries
Adviseur en partner
LBVD Informatiebeveiligers
"Wat aanvullend helpt om een grondig inzicht te krijgen in je kwetsbaarheid is het laten plaatsvinden van geregisseerde incidenten zoals ethische hacks en onaangekondigd bezoek van onbevoegde gasten (‘mystery guests'). Goed slapen doe je daarna een heel stuk minder als je je tegelijkertijd niet ook buigt over opponenten: kwaadwilligen die mogelijk iets van je willen. Pas dan is het risicoplaatje compleet en kan je besluiten tot maatregelen als je jezelf te kwetsbaar vindt (van onbewust risico lopen naar bewust risico nemen). Als je je maatregelen alleen maar afstemt op de haalbaarheid van aanvallen, schiet je door als je paranoïde ingesteld bent en blijf je wellicht te kwetsbaar als je over te weinig creativiteit en realiteitszin beschikt."
Gezocht: experts
Voor verschillende topics zijn wij nog op zoek naar experts die met elkaar in discussie willen gaan en die als vraagbaak willen dienen voor de redactie. Mocht jij jezelf expert vinden op een van de volgende gebieden, mail dan je gegevens (naam, functie, bedrijf, werkzaamheden naar bijbehorende e-mailadres:
SaaS
saas.computable@vnumedia.nl
Virtualisatie
virtualisatie.computable@vnumedia.nl
Open Source
opensource.computable@vnumedia.nl