Dave Diependaal doet verslag van de ISC2 Secure Summit Benelux

 ISC2 Secure Summit Benelux

Blog 1: Security ABC’tjes!

Vanuit YaWorks is Security Consultant Dave Diependaal afgevaardigd om ISC2 Secure Summit te bezoeken. De summit vindt elk jaar plaats en is te bezoeken door ISC2 members en non-ISC2 member. ISC2 groeit nog steeds en heeft wereldwijd nu 123.000 Security Professionals aan zich verbonden. In EMEA zijn er 23.000 gecertificeerde leden.

Op de eerste dag opende Adrian Davis (Hoofd van ISC2 EMEA) de summit. In zijn presentatie noemde Davis dat ISC2 voor dit jaar 2 speerpunten heeft gedefinieerd: 

  • Het uitrollen van een relatief nieuwe certificering, namelijk ‘Certified Cloud Security Professional’  
  • Het uitrollen van  ‘de Garfield campagne’ gericht op kinderen en online veiligheid 

Na de opening van het evenement heb ik twee keynotes bezocht, ‘Security ABC’s’ en de ‘GDPR (General Data Protection Regulation)’. 

Security ABC

Wat wordt er nu bedoeld met ‘Security ABC’s’? De A staat voor Awareness (bewustwording), de B van Behaviour (gedrag) en de C is van Culture (cultuur). Deze drie elementen moeten deel uitmaken van elk securityprogramma en zouden de basis moeten  vormen van het securitybeleid. In veel organisaties is het security beleid gericht op de technische invulling, terwijl het menselijk handelen een  ondergeschoven kindje is. De training van personeel is vaak beperkt tot een minimum. In dit  blog behandelen we Awareness en Behaviour.

Awareness
Een belangrijk punt is het kweken van ’awareness’ binnen de organisatie en vragen te stellen zoals ‘hoe ziet mijn (IT)landschap eruit?’ en ‘wat is het niveau van het security volwassenheid waarin het bedrijf zich bevindt? Voor meer informatie lees het artikel geschreven door Dr Jessica Barker - http://cyber.uk/dr-jessica-barker/  Er zijn een aantal factoren die awareness kunnen beïnvloeden, en in de keynote werden twee redenen genoemd; ten eerste  angst voor aanvallen en ten tweede individuele verzadiging voor waarschuwingen voor security issues. 

Angst voor aanvallen
Met angst wordt bedoeld dat media, (hardware) leveranciers, maar ook wetgeving, de angst voor aanvallen kunnen verergeren. Bijvoorbeeld de media kunnen het gevaar van het internet uitvergroten. In de keynote werd ook het  voorbeeld aangehaald de angst voor bijvoorbeeld Anonymous. Vaak wordt een incident gelinked aan deze groep, terwijl er sprake is van een systeemfout of een regulier incident. 

Door 2 stappen  kunnen security professionals een belangrijke bijdrage  leveren aan het wegnemen van angst:

  1. Maak een inschatting van een mogelijk risico of angst die er heerst bij (eind)gebruikers, management en bestuur.
  2. Zoek een geschikte tegenmaatregel om het gevaar of angst weg te nemen en maak een inschatting hoe doeltreffend deze maatregel gaat zijn.

Bijvoorbeeld gebruikers zijn bang voor phishing e-mails. Als tegenmaatregel creëer je  een mailbox waar gebruikers verdachte e-mails heen kunnen sturen zodat ze door een getrainde medewerker kunnen worden onderzocht. De individuele beleving van gevaar hangt af van de rol van een persoon binnen een organisatie. Een eindgebruiker zal wellicht minder gevaar zien bij het openen van een bijlage in een e-mail dan een security professional.

Individuele verzadiging voor security waarschuwingen 
Individuele verzadiging ten opzichte van security is de tweede factor die awareness kan beïnvloeden. Een voorbeeld hiervan zijn medewerkers die voortdurend worden blootgesteld aan waarschuwingen over mogelijke exploits, hack pogingen, virusuitbraken en DDoS aanvallen. Waarschuwingen en instructies blijven hierdoor steeds slechter hangen.

Een mogelijke oplossing om deze verzadiging tegen te gaan is het organiseren van workshops. Bijvoorbeeld een demonstratie in social engineering. De mensen die zich inschrijven voor zo’n workshop ga je een aantal dagen researchen op internet (social media) en aan de hand van wat je vind ga je deze mensen tijdens de workshop bewust maken van hun online gedrag.

Behaviour 

In de keynote werd na bewustwording het individuele gedrag van medewerkers ten aanzien van security onder de loep genomen. Er zijn verschillende gedragingen gedefinieerd die het kwaliteitsniveau van security in een organisatie kan beïnvloeden:

  • Het delen van wachtwoorden
  • Een geslaagde Phishing aanval door een individuele actie van een medewerker
  • Het klikken op URL’s of het openen van bijlagen in e-mail of via een USB-stick

Wachtwoord gedrag 
Als we inzoomen op individueel gedrag op het gebied van wachtwoorden dan worden de volgende gedragingen regelmatig gezien:
Het onthouden van meer  dan 5 verschillende wachtwoorden is lastig. Wil je voorkomen dat mensen wachtwoorden gaan hergebruiken introduceer dan  een password manager.
Jonge mensen delen vaker wachtwoorden met collega’s.

Gedrag ten aanzien van phishing e-mails
Als we kijken naar phishing e-mails is er een  schokkende conclusie; mensen met een it/security achtergrond zijn eerder geneigd om een phishing e-mailaan te klikken. Een andere conclusie is dat bij dat een hogere e-mail ’load’, medewerkers eerder geneigd zijn om phishing e-mails te openen. Ook is een phishing campagne vaker succesvol als medemerkers vermoeid zijn, zoals op een maandagochtend of vrijdagmiddag.

Verspreiding door achterlaten USB-stick
Recente geslaagde hack pogingen hebben laten zien dat machines die niet verbonden waren met internet toch besmet raakten. De truc die hier werd toegepast was het achterlaten van een USB-stick. Deze USB-stick werd vervolgens door een niets vermoedende gebruiker in de machine gestoken en de besmetting was een feit.

In een experiment uitgevoerd door pen-testers op een universiteit werden USB sticks  bewust achter gelaten werden. Na interviews kon het volgende worden geconcludeerd:

  • 68% van de mensen die de USB stick vonden en vervolgens in een systeem staken gaven aan dat ze dit deden om de eigenaar te vinden.
  • 16% van de mensen die de USB stick in plugden voerde eerst een virusscan uit.
  • 8% plugde de USB stick in een systeem en gingen er vanuit dat het besturingssysteem voldoende bescherming zou geven.

Belangrijke lessen uit het phishing onderzoek en het USB experiment is dat een organisatie klaar moet zijn om het gedrag versus  het gevaar te beïnvloeden. Idealiter ligt er een proces klaar . Een voorbeeld van een goede maatregel die is vastgelegd in een proces is dat als medewerkers  een e-mail niet vertrouwen, ze  deze kunnen doorsturen naar een security officer. 

Voor meer informatie lees het arttikel door Dr Ciarán Mc Mahon - http://ciaranmcmahon.ie/

Cultuur
Een belangrijke conclusie is dat een goed collectief security bewustzijn en een cultuur waarin collega’s elkaar aanspreken op gedrag, bijvoorbeeld bij het niet-vergrendelen van werkstation, de veiligheid in een organisatie vergroot en het aantal succesvolle aanvallen terugdringt. 

Expertises

Nieuws

Quantum is everything

Quantum Computing | 14 April, 2017

 Dave Diependaal is aanwezig op de ISC2 secure Summit en vertelt over Quantum Computing    Op de tweede dag van de Secure Summit startte ik met een boeiende presentatie van Jaya Baloo. Zij is de CISO van KPN Telecom en heeft in 2015 de ‘Cyber Security Executive of the year award’ gewonnen. Jaya Baloo begon haar...

 ISC2 Secure Summit Benelux

Security | 10 April, 2017

Blog 1: Security ABC’tjes! Vanuit YaWorks is Security Consultant Dave Diependaal afgevaardigd om ISC2 Secure Summit te bezoeken. De summit vindt elk jaar plaats en is te bezoeken door ISC2 members en non-ISC2 member. ISC2 groeit nog steeds en heeft wereldwijd nu 123.000 Security Professionals aan zich verbonden. In...

Cyber Security | 15 June, 2016

Op InfoSecurity 2016 werd ook aandacht besteed aan BCM (Business Continuity Management), de daarbij behorende processen en procedures en werd dieper ingegaan op de rol van Chief Security Officer (CSO). YaWorkers Dave van der Zee en Dave Diependaal gingen op zoek naar de vraagstukken die een CSO zoal bezighoudt en hoe...