Designers of secure systems are still on the steep part of the learning curve, and much insight and operational experience with such systems are needed.
Bovenstaande uitspraak zou zo maar afkomstig kunnen zijn uit een nieuw rapport over cybersecurity, of een verzuchting nadat een of meerdere systemen het slachtoffer zijn geworden van een succesvol uitgevoerde aanval. Gek genoeg is het al een heel oud citaat, afkomstig uit een rapport van de Amerikaanse “Defense Science Board Task Force on Computer Security” gepubliceerd op 11 februari 1970. Een rapport wat overigens zeer de moeite waard is om te lezen. Ik denk zelfs dat als we in de loop van de tijd deze bevindingen in rapport wat meer ter harte hadden genomen, dat er veel minder problemen met beveiliging zouden zijn geweest in onze huidige tijd. Maar dat terzijde.
Kennis is macht
Bij alle maatregelen die je kunt nemen om je systemen en je data te beveiligen, begint het met kennis over je omgeving, zowel wat betreft infrastructuur: netwerk, opslag, besturingssystemen en applicaties; als monitoring. Dat vraagt om basiskennis bij iedereen die ermee moet werken, en het vraagt om specialisten in het team. Een opleiding, ooit gevolgd lang geleden, of het bij elkaar Googelen of gebruikmaken van ChatGPT en andere AI-technologie is dan niet alleen een probleem, maar ook een bedrijfsrisico.
Vertaald naar bijvoorbeeld de functie van een systeembeheerder, dan is er bij iedere beheerder stevige basiskennis nodig van de besturingssystemen die gebruikt worden in de bedrijfsomgeving met bijbehorende certificering. Een aantal beheerders zullen daarbij zich moeten specialiseren, met kennis over firewalls, Discretionary en Mandatory access control, encryption, auditing, etc.
Security policies
Het eerdergenoemde rapport gebruikt al de term policy. Later is dit uitgewerkt als een reeks regels, voorschriften en richtlijnen die organisaties gebruiken om de veiligheid en beveiliging van hun systemen, netwerken en gegevens te waarborgen. Policies worden gebruikt om voor toegangscontrole, gegevensclassificatie, authenticatie, reactie op incidenten en meer.
Security Policies kunnen alleen maar succesvol geïmplementeerd worden als iedereen in de organisatie erbij betrokken wordt. Voor de systeembeheerder geldt dat deze de policies moet implementeren voor de ICT-infrastructuur. Dit begint met het vaststellen van een uitgangspunt voor alle systemen met aanvullingen voor specifieke systemen en applicaties. Het automatiseren van het beveiligingsproces is daarbij een belangrijke stap. Opnieuw: dit kan niet zonder grondige kennis van alle betrokken componenten. Het vereist samenwerking tussen Security Officers, systeembeheerders, netwerkbeheerders, applicatieontwikkelaars en beheerders en de gebruikers van de systemen.
Ansible
Orchestration met tools zoals Ansible kan hierbij een belangrijke rol spelen:
- Op een gestroomlijnde manier implementeren van de baseline en de afwijkingen hierop voor specifieke systemen en applicaties.
- Bij voorkeur dagelijks forceren van de policies, denk hierbij bijvoorbeeld aan versiebeheer op de applicatie en allerlei vormen van access control.
- Rapportage over de staat van de omgeving.
Dit alles zonder de stabiliteit van de omgeving in gevaar te brengen. Sterker nog: dankzij de standaardisaties zal meer dan waarschijnlijk de stabiliteit van de omgeving toenemen.
Bij de juiste toepassing is orchestration dus een belangrijk onderdeel van securitybeleid. Het zorgt ervoor dat dat de policies worden afgedwongen terwijl het ook nog eens het beheer eenvoudiger maakt. Wat in de praktijk neerkomt op lagere kosten en er hoeft minder tijd besteed te worden aan alle gestandaardiseerde omgevingen. Wanneer het helaas toch fout loopt en er een beveiligingsincident heeft plaatsgevonden, kunnen nieuwe benodigde maatregelen snel en doeltreffend worden doorgevoerd.
Hierbij opgemerkt dat Ansible zich niet beperkt tot Linux- en Windows-besturingssystemen. Het kan een brede waaier aan systemen beheren. Denk opnieuw aan netwerkapparaten, opslag, maar ook firewalls. En er is integratie mogelijk met platformen voor intrusion detection & prevention en security information/event management.
Investeren in kennis is belangrijk als het gaat om implementatie, stabiliteit en prestaties van de systemen. Maar het is minstens net zo belangrijk als het gaat om cybersecurity.
Mary Ann Davidson, Chief Security Officer, verantwoordelijk voor de Oracle Software Security Assurance-afdeling is iemand die er keer op keer op wijst dat de economische gevolgen van een beveiligingsincident enorm zijn:
- Verlies van gegevens.
- Verlies van naam en geloofwaardigheid.
- De tijd die het kost van het aantal mensen om het probleem op te lossen.
Voorkomen is beter dan genezen!
Naast trainingen over specifieke implementaties, of het nu gaat over besturingssystemen of applicaties, is het een uitstekend idee om na te denken over hoe iedereen in de organisatie betrokken kan worden in het denken over, implementeren en navolgen van beveiligingsrichtlijnen. Het volgen van een workshop over cybersecurity kan hierbij een uitstekend hulpmiddel zijn. Denk erom dat mensen net zulke zwakke schakels kunnen zijn als systemen, dus des te meer mensen je bewust maakt, des te minder de risico’s.
No results found.
