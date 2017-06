Steve Martino nadert zijn 10-jarige jubileum als chief information security officer (CISO) bij Cisco Systems en in die jaren is security veranderd van een noodzakelijk kwaad in een strategisch wapen. Hij is flink getest in de laatste maanden - meest recent nog met de WannaCrypt-aanval die wereldwijd voor onrust zorgde en dus ook bij Cisco. We spraken met hem over hoe Cisco zich voorbereid op de steeds zwaarder wordende strijd tegen de snelgroeiende cybercrime-netwerken.

CSO: |Hoe is Cisco getroffen door de aanval van WannaCrypt?

Het was wel even een dingetje, maar onze teams wisten wat ze moesten doen. We hadden processen om daarmee af te rekenen - en om op te schalen en te communiceren. Uiteindelijk was het een hoop werk in het dubbel-checken en ervoor te zorgen dat alles weer op orde kwam. We hebben zeker heel wat moeten regelen en moesten met actieve aanvallen en mogelijke incidenten afrekenen, maar we waren erop voorbereid.

CSO: Heeft de WannaCrypt-aanval Cisco wat geleerd over de eigen cyberverdediging?

Eén ding dat we zeker hebben geleerd van dit voorval is dat we ons realiseren dat dit soort zaken vaker zullen gebeuren met minder tijd tussen een beschikbare patch en de aanval op de kwetsbaarheid waarvoor die patch is bedoeld. Dus we kijken naar die snelheid en timing en zoeken naar een manier om de reactietijd nog korter te maken.

Een ander leermoment is dat deze aanvalstechniek niet beperkt zal blijven bij dit incident. We zullen zien dat anderen deze techniek overnemen en aanpassen, waardoor nieuwe dreigingen ontstaan. Dat is een van die dingen die mijn werk heeft veranderd. Vijf tot tien jaar geleden hadden we mensen die een statement wilden maken en vooral de dienstverlening via websites verstoorden. We hadden hobbyisten die keken hoe ver ze konden gaan, en we hadden staatshackers. Tegenwoordig, denk ik dat de meeste bedrijven zich wel kunnen verdedigen tegen die hobbyisten en activisten, maar het is erg moeilijk om jezelf te beschermen tegen een staat.

Het netwerk van cybercriminelen heeft zich snel tot volwassenheid ontwikkeld. Net zoals veel gewone bedrijven die bezig zijn met het op grote schaal kunnen leveren van hun diensten via webtechnologieën zijn ook de cybercriminelen over heel de wereld hiermee bezig, en ze hebben een supply chain opgebouwd die zeer effectief is. Het begint met individuele mensen die mogelijk in een uitdagende economische omgeving zitten, maar ze hebben internettoegang en dus kansen.

Ze hebben geen werk, dus ze kunnen zich de hele dag uitleven op social engineering. Ze gebruiken waarschijnlijk een simpele tool om het internet af te struinen naar ongepatchte hardware en/of systemen die een bepaalde versie van software draaien, verzamelen die en verkopen dat aan iemand anders. Ze proberen zo 50 tot 100 dollar per dag te verdienen, maar in totaal geeft dat een crimineel netwerk duizenden mensen die voor hen werken en meedoen in een veel grotere supply chain.

CSO: Hoe blijft een groot bedrijf als Cisco wendbaar en snel genoeg in het ontdekken van bedreigingen en het voorkomen van incidenten?

Mijn team kan niet overal zijn en alles zien, dus je zal het moeten onderbrengen in de bedrijfsprocessen. We hebben securitymeesters en -voorvechters gecreëerd in de organisatie. We noemen ze op verschillende wijze in de diverse onderdelen van het bedrijf, maar we nemen mensen aan, creëren een rol voor hem in hun eigen organisatie waarvan de focus ligt op security. We trainen ze in securityprincipes en helpen ze te begrijpen hoe ze security kunnen inpassen in hun rol.

Dat maakt security een prioriteit in dat team, ze denken er sneller en vaker aan. Hoe meer ik dat kan doen en werkelijk in de organisatie kan inbrengen, hoe kleiner de kerngroep van securityprofessionals hoeft te zijn die dat hele proces moet overzien. Het zit echt ingebakken in de dagelijkse processen.

Het tweede was we deden is te beseffen dat slechte dingen zich altijd zullen voordoen. Ik heb goede security nodig die zorgt dat 95 procent van die slechte dingen worden voorkomen. Maar je zal effectief moeten omgaan met die overige 5 procent - en dat is niet 5 procent van je securitybudget. Het is eerder 50 procent van je securitybudget dat in je actieve verdediging wordt gestoken.

Ik geef mijn team die speurt naar kwaadaardige zaken in onze omgeving twee opdrachten mee: ze hebben 24 uur om het te vinden en 36 uur om het onder controle te krijgen. Bij securityincidenten in het algemeen duurt het gemiddeld 160 dagen voordat iemand uitgevonden heeft dat ze een actieve slechterik in hun omgeving hebben. Als je het kan vinden en onder controle kan brengen kan je de schade enorm beperken, maar je moet wel actief investeren in dat proces.

CSO: Wat kunnen bedrijven doen om zichzelf tegen deze toenemende bedreigingen te beschermen?

Het is niet allemaal rampspoed en ellende. Ik denk dat de volgende drie zaken voor ieder bedrijf belangrijk zijn.

Ten eerste: begrijp en bepaal hoe belangrijk security is in je strategie. Als je een digitale onderneming bent en je biedt je klanten producten en diensten digitaal aan, zal je security in je strategie moeten implementeren.

Ten tweede: Je zal een verdediging moeten hebben zoals ik die al eerder heb beschreven. Heb ik de juiste slotgracht en vestingmuren rond mijn kasteel, en kan ik actief reageren op bedreigingen op het moment dat ze gebeuren, of ik dat nu zelf doe of assistentie heb van een leverancier of partner.

Het derde element waarvan ik denk dat die belangrijk is, is het hebben van situationele informatie om je te helpen in het identificeren van de aanvaller en welke manieren hij daarvoor gebruikt, en dan de juiste verdediging in te zetten om daartegen in te zetten.