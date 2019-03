Wonder op wielen: IBM's C-TOC mobiele cyber range is er om organisaties te trainen in het omgaan met een cyberaanval.

Het is een veelgehoord mantra de afgelopen jaren: ga er maar vanuit dat je ooit het slachtoffer wordt van een cyberaanval, je kunt hackers en andere kwaadwillenden toch niet buiten de deur houden. Dat klinkt wellicht enigszins defaitistisch, maar kun je ook zien als een signaal om de aandacht niet alleen op de perimeter te vestigen als het gaat om security.

De perimeter is uiteraard nog altijd belangrijk, maar er moet ook een plan komen dat in werking treedt als iemand toch door de firewall is gekomen. Deels bestaat dit uit het installeren van extra software en hardware in je infrastructuur. Denk aan microsegmentatie en netwerkbeveiliging zoals Cisco ISE of Aruba ClearPass en dergelijke.

Incident response plan

De combinatie van bewaking van de perimeter en het nauwkeurig in de gaten houden van wat er binnen die perimeter gebeurt zal ongetwijfeld veel ongerechtigheid opsporen en neutraliseren. Ook dat zal niet genoeg zijn om volledige bescherming te bieden. Vandaar dat er momenteel steeds meer nadruk wordt gelegd op het opstellen van een incident response (IR) plan. Een dergelijk plan gaat ervan uit dat het misgaat en richt zich puur op wat je moet doen als het eenmaal zover is.

Een IR-plan is weliswaar een goede en broodnodige stap die gezet moet worden, maar volgens IBM ben je er dan nog niet. Want hoe weet je als organisatie zeker dat een dergelijk plan ook goed werkt in de praktijk en of iedereen zijn of haar rol goed kan vervullen? Om het in de woorden van Erno Doorenspleet, IBM Security Global Security Advisor, te zeggen: "De respons op een dreiging kan meer schade veroorzaken dan de 'boom' zelf", waarbij 'boom' hier slaat op een succesvolle cyberaanval.

Erno Doorenspleet, IBM Security Global Security Advisor

Realistische training

Organisaties doen er op basis van dit gegeven goed aan om regelmatig te trainen, om te inventariseren of het IR-plan goed werkt. Een dergelijke training dient echter onder de nodige druk plaats te vinden, om zo dicht mogelijk bij de werkelijkheid te komen. Het is dus meer dan bijvoorbeeld een periodieke brandoefening, waarbij alle medewerkers nonchalant naar het verzamelpunt slenteren.

Op dit punt komt de X-Force Cyber Tactical Operations Center van IBM het toneel oprijden. Deze vrachtwagen moet dergelijke trainingen naar organisaties toe brengen. Deze op maat gemaakte combinatie van truck en oplegger is een fraai staaltje techniek. Aan boord zit bijvoorbeeld een volwaardig gevirtualiseerd flash-gebaseerd datacenter met 100 TB aan opslag. Er zijn daarnaast twintig werkstations en talloze 4K-schermen om echt te kunnen opgaan in de ervaring. Het geheel weegt 23 ton en kan het volledig zelfstandig een tijdje volhouden dankzij een energievoorraad waarmee volgens IBM ook een groot huis of een bedrijf aan de praat gehouden kan worden.

Vooralsnog een, bij succes wellicht meer

Wereldwijd is er op dit maar een truck zoals deze. Het voornaamste doel is volgens Doorenspleet zonder twijfel het trainen van het IR-plan van bedrijven, of het overtuigen van bedrijven dat het hebben van een dergelijk plan noodzakelijk is natuurlijk. Daarnaast kan hij ingezet worden als on-demand SOC, bij evenementen bijvoorbeeld, en wordt hij gebruikt voor educatieve doeleinden.

We hebben Doorenspleet gevraagd wat de visie op de lange termijn is van de X-Force C-TOC. Kunnen we er bijvoorbeeld nog meer verwachten? Dat hangt volgens hem voor een deel af van het succes ervan. Op basis van de huidige vraag zou het hem niet verbazen als er nog meer worden gemaakt. Er wordt enthousiast gereageerd vanuit de markt in ieder geval. Over de kosten van de vrachtwagen doet Doorenspleet uiteraard geen uitspraken, maar die zullen niet mals zijn, zelfs niet voor een bedrijf als IBM. Je gaat er niet zomaar nog eentje laten bouwen, daar moet wel een erg goede reden voor zijn.

Uiteindelijk lijkt het ons echter niet de bedoeling dat er continu vrachtwagens door Europa rijden om dit soort trainingen te geven. Doorenspleet heeft het namelijk over een sessie per kwartaal als een wenselijke update-cyclus in sommige gevallen. Dan is het wellicht een beter idee om in-house een permanente oplossing in te richten. Die vraag krijgt IBM inderdaad ook vanuit de markt, zo geeft Doorenspleet aan. Dat is ook zeker iets waar IBM een rol in zou kunnen en willen spelen. Onder de streep liggen de opties volgens hem nog grotendeels open over hoe dit op de lange termijn vormgegeven kan worden.

In de praktijk

Tijdens ons bezoek aan de X-Force C-TOC werd er voor ons als journaille ook een verkorte training gegeven, om een beeld te geven van hoe het eraan toe gaat. Daarbij draait het voor een groot gedeelte om leiderschap. Iemand moet de verantwoordelijkheid nemen, maar anderen moeten ook in kunnen springen als die persoon er niet is, bijvoorbeeld omdat hij in een vliegtuig zit. Dat soort zaken wordt tijdens echte trainingen ook allemaal nagebootst, uiteraard afhankelijk van het algehele niveau van de groep.

Het is overigens in eerste instantie niet de bedoeling dat de exacte infrastructuur en dergelijke van een organisatie worden nagebootst in deze cyber-variant op een flight simulator. Dat kan op zich wel, als dit nodig is, maar het gaat toch vooral om hoe er onder druk wordt gepresteerd, om zo samen tot een zo goed mogelijke afhandeling van de gevolgen van een cyberaanval te komen.

Verschillende routes

Uiteraard kun je allerlei richtingen opgaan, er is niet zoiets als het ultieme IR-plan. Het verschilt per situatie. Je kunt in de communicatie naar buiten toe doen zoals Maersk deed na de grote ransomware-aanval van enkele jaren terug. Dat bedrijf was nagenoeg volledig transparant naar de buitenwereld en gaf in behoorlijk wat detail aan wat er aan de hand was en wat de impact was van de gebeurtenissen. In andere gevallen is het wellicht beter om wat minder kwistig te zijn met details.

Welke route je ook kiest, het is zeer belangrijk dat iedereen binnen de organisatie dezelfde instructies volgt. Dit aan de hand van een zogeheten Commander's Intent, een stelling die duidelijk maakt wat er wel en niet moet en mag. In het geval van Maersk was dat bijvoorbeeld de volgende richting de werknemers: "Do what you think is right to serve the customer - don't wait fort he HQ, we'll accept the cost."

Er zijn natuurlijk wel enkele vaste stelregels te bedenken, die gelden ongeacht de gekozen route en de gekozen Commander's Intent. Een daarvan is dat je menselijke levens te allen tijde prioriteit geeft bijvoorbeeld. Je wilt natuurlijk niet bekendstaan als het bedrijf dat het veiligstellen van een paar miljoen euro belangrijker vond dan de levens van 8 mensen die vast zaten in een lift, om een zijstraat te noemen.

Volledige beveiliging?

Onder de streep moeten trainingen zoals je die kunt doen in het X-Force C-TOC zorgen voor een betere weerbaarheid, zowel van de organisatie als geheel als van de werknemers die om moeten gaan met de gevolgen van een cyberaanval. Je blijft natuurlijk wel gewoon een menselijke component houden. Er is dus nog altijd een risico dat iemand iets verkeerd doet en per ongeluk belangrijke informatie lekt bijvoorbeeld. Daar ontkom je simpelweg niet aan. 100 procent beveiliging ga je nooit halen. Met een gedegen IR-plan en getrainde mensen kun je dat risico wel zo klein mogelijk maken.