Vroeger, toen we nog op kantoor werkten, doolde ik regelmatig door de
gebouwen en zag dan talloze collega’s
min of meer ijverig aan het werk. Ik kwam ook wel eens langs een kamertje
waarin op een van de beeldschermen soms iets te zien was wat je in deze
omgeving niet zo snel verwacht: Candy Crush.
Voor wie Candy Crush niet kent: het is een computerspelletje, waarin je
verschillende soorten snoepjes moet verschuiven om rijtjes van dezelfde
snoepjes te maken om ze weg te spelen. Waarschijnlijk schiet ik tekort in deze
omschrijving, maar ik heb er zelf geen ervaring mee en moest even spieken op
Wikipedia.
Het gaf me een geruststellend gevoel als ik Candy Crush op dat scherm
zag. De bijbehorende collega is namelijk een systeembeheerder. En als een
beheerder tijd heeft om een spelletje te spelen, dan kan het niet anders dan
dat op zijn systeem alle metertjes in het groen staan. Ook de
beveiligingsmetertjes – vandaar mijn tevredenheid.
Uiteraard is dat gevoel gebaseerd op aannames. Bijvoorbeeld de aanname
dat die beheerder een rol heeft in het monitoren van de metertjes. En dat hij,
als zo’n metertje afwijkt van de gewenste stand, de hele zak snoepjes aan de
kant gooit en in actie komt om dat metertje zo snel mogelijk weer in het groen
te krijgen.
Waarschijnlijk schets ik een veel te romantisch – ouderwets? – beeld van
hoe monitoring in z’n werk gaat. Daar hebben we namelijk al jarenlang event management voor, nietwaar? Een
verregaand geautomatiseerd proces dat alles in de gaten houdt en vanzelf piept
als een metertje in het rood staat. En zelfs dat is soms geautomatiseerd op te
lossen. Mensen komen er alleen nog aan te pas als er écht iets aan de hand is
wat alleen door mensen kan worden opgelost. En met die steeds slimmer wordende
computers zal dat ook wel steeds minder worden.
Soms wordt er ook wat te gemakkelijk over monitoring gedacht. Dat merk
je als je met beheerteams praat over eisen die aan logging worden gesteld. Dat
gaat er dan over welke gegevens allemaal worden vastgelegd over een handeling:
wie heeft waar en wanneer wat waarmee gedaan, en wat was daar het resultaat van
– en vaak nog heel wat meer dingen. Dat hebben ze meestal wel goed voor mekaar.
Het wordt al wat spannender als je vraagt hoe lang die gegevens worden bewaard.
Meestal wordt dan verwezen naar de standaard bewaartermijn die in de SIEM-tool
(Security Information and Event Management) is ingesteld.
Maar als je dan vraagt wat er met al die logging gedaan wordt, dan blijft het vaak stil. Vaak wordt logging gezien
als iets wat je bewaart voor het geval dat je het misschien een keertje nodig
hebt, bijvoorbeeld voor forensisch onderzoek. Daarbij wordt over het hoofd
gezien dat zo’n SIEM geen domme vergaarbak is waar je zomaar alles in dumpt,
maar een best wel intelligent systeem dat chocola kan maken van die brij aan
gegevens.
Laat ik een eenvoudig voorbeeld geven. Als een login mislukt omdat de
gebruiker een verkeerd wachtwoord invoert, dan wordt dat gelogd. Dat is verder
niet spannend, we vergissen ons allemaal wel een keer. Maar wat als dit tien,
honderd of vele malen meer achter elkaar gebeurt? Niet erg, zul je zeggen, dan
wordt dat account in veel systemen geblokkeerd, omdat er sprake zou kunnen zijn
van een hackpoging. Ja, dat klopt. Maar zou het niet ook handig zijn om te
signaleren dat dit is gebeurd, zodat kan worden onderzocht wat er aan de hand
is? Ik ken een geval waarin een gebruiker er daadwerkelijk in slaagde om
tientallen keren een foutief wachtwoord te proberen, maar dat is toch echt de
uitzondering. Doorgaans is er meer aan de hand als zoiets gebeurt. En dat wil
je weten.
Maar dat gaat niet vanzelf. Je moet je SIEM vertellen wat je eruit wilt
krijgen. Dat kan je mooie rapportages en dashboards opleveren die het
gemakkelijker maken om in control te zijn. Relevante gebeurtenissen definiëren,
daar draait het om. En natuurlijk moet je organisatie er dan ook op zijn
ingericht om de output van de SIEM-tool aan te nemen en erop te acteren. Dat
lijkt in eerste instantie meer werk op te leveren, maar uiteindelijk kan het je
werk – en ellende – besparen doordat je proactief werkt. En dan is er misschien
tijd over voor een potje Candy Crush.
En in de grote boze buitenwereld …
... hebben de AIVD en de MIVD in het afgelopen jaar ruim honderd keer
onrechtmatig toestemming gekregen om bijzondere bevoegdheden in het kader van
Wet op de inlichtingen- en veiligheidsdiensten in te zetten.
... is er ontzettend veel corona-gerelateerde phishing in omloop.
... melden Nederlandse banken een verdubbeling van de schade door
phishing in het afgelopen jaar.
... zitten vier personen achter slot en grendel op verdenking van
smishing.
... biedt de Autoriteit Persoonsgegevens hulp bij het kiezen van een
videobel-app, uiteraard vanuit het oogpunt van privacy.
... krijgen zowel iPhones als Android-toestellen ingebouwde
corona-tracking.
... keren tientallen Nederlandse wetenschappers zich tegen een
corona-app.
... publiceert de overheid dit weekend de broncode van een aantal
corona-apps, zodat iedereen er onderzoek naar kan doen.
... worstelen ze aan de overkant van de Noordzee ook nog met hun
corona-app.
... geeft deze Britse professor zijn mening over corona-apps.
... heeft de politie vijftien DDoS-‘dienstverleners’ ontmanteld.
... willen de Amerikanen erg graag weten wat Noord-Korea uitspookt op
cybergebied.
Geen opmerkingen:
Een reactie posten