Wat van mij is blijft van mij!
Computerbeveiliging is zowel een hobby als een passie voor me geweest in de afgelopen twintig jaar. Ik heb de evolutie van het Internet gezien, van de speelse scriptkids tot de gemene cyberschurken, van simpele, niet beveiligde protocollen op niet beveiligde servers tot zwaarbeveiligde omgevingen met meerdere beveiligingslagen bestaande uit verschillende methoden van toegang, authenticatie en autorisatie. En alles wat ik gezien heb was erop gericht de schurken buiten te houden.
Meer dan 90% van alle hacks komt van binnenuit
Een paar jaar terug begon ik daar wat dieper over na te denken, met de statistieken in het achterhoofd van de hacks die de afgelopen jaren over de hele wereld waren uitgevoerd: meer dan 90% van alle hacks komt van binnenuit. Dus iemand die al toegang heeft, gebruikt of hackt een systeem binnen de muren van een bedrijf of organisatie, verbindt met de buitenwereld en pompt dan grote hoeveelheden gegevens of zelfs geheime data naar buiten. En als het een keer weg is, dan is het definitief kwijt.
Waar ik aan dacht was dat hoezeer we ook proberen de schurken buiten te houden, er zal altijd wel een manier blijven bestaan die deze gasten (m/v) in staat stelt een gaatje ergens te openen. Of dat nu technisch of sociaal is, toegang te krijgen en kostbare bedrijfs- en klantgegevens te stelen, of exfiltreren met een duur woord. Hierdoor is de nadruk komen te liggen op het bouwen van steeds hogere en dikkere muren rond de bedrijven en instellingen en, tegenwoordig, ook aan de binnenkant. Het probleem blijft: als ze al binnen zitten, wordt het verdraaid moeilijk dataverlies tegen te gaan, of dat nu gebeurt door malware installatie of exfiltreren (zeg maar stelen.)
Met dat in het achterhoofd begon ik te zoeken naar de verschillende oplossingen die er in de markt beschikbaar waren. De meeste daarvan maken gebruik van een soort lokaas (honeypot server) binnen het bedrijf, waarmee men hoopt de criminelen op heterdaad te betrappen en tenminste opmerkzaam te worden gemaakt van pogingen om binnen te komen. Op het Internet zelf zie ik wel heil in dit soort tactieken, maar binnen de muren van je bedrijf waar de schurken al kunnen zijn, is dat veel moeilijker. Dat waren dus geen oplossingen voor mijn probleem.
Hop count
Eind 2019 las ik over een techniek die me aanstond, elegant en eenvoudig. Hop count. De basis ligt erin dat je het aantal stappen dat een pakket (met daarin je data) naar buiten het Internet op mag, als dat al wordt toegestaan. Heeft je database echt 64 stappen of meer nodig om een pakket af te leveren? Da’s namelijk tegenwoordig al twee keer de wereld rond. Je hebt geen idee waar je data naartoe kan. Toen ik dat artikel volgde kwam ik uit bij een redelijk jong bedrijf genaamd HopZero, dat beweerde precies dat te doen: de hop count, het aantal stappen verlagen. Die techniek, onderdeel van het standaard TCP/IP protocol, hebben ze verpakt in een monitoring, alerting en mitigation oplossing die, een keer goed opgezet, in real time pogingen data te ontvreemden kan opmerken middels speciale filters en die pogingen actief kan blokkeren door de firewall aan te passen of zelfs actief de hop count van een exfiltratiepoging omlaag te zetten.
Het implementeren van hun oplossing is redelijk rechttoe-rechtaan en geeft je een overzicht van landen en locaties waarmee je IT in de breedste zin van het woord aan het ‘praten’ is. Met die kennis kun je je blootstelling aan de buitenwereld aanpassen en je ervan verzekeren dat wat binnen moet blijven ook daadwerkelijk binnen blijft.
Qua oplossing is dit het eerste bedrijf dat ik ben tegengekomen dat deze techniek toepast. Voor PurpleCloud reden om met HopZero een partnership aan te gaan en aan onze security portfolio toe te voegen om de kroonjuwelen van onze relaties te kunnen beveiligen.
Meer informatie over Hopzero op de website www.hopzero.com of neem contact met ons op voor een kennismaking / demonstratie van HopZero.
Mike Jansen – Chief Information Security Officer