Je zal maar de chief information security officer, alias ciso, in een bedrijf zijn. "De moeilijkste job ter wereld," meent Andrzej Kawalec, cto enterprise security services bij HP, "zeker in grote bedrijven. Die willen allemaal naar nieuwe markten en activiteiten, maar hoe kan je dat alles beveiligen?" En je zou al om minder door schrik worden verlamd, als je beseft dat in de komende jaren er makkelijk een miljoen hackers kunnen bijkomen, als "nog maar een kwart procentje van de nieuwe online gebruikers tegen 2020 op het verkeerde pad zou gaan."
...

Je zal maar de chief information security officer, alias ciso, in een bedrijf zijn. "De moeilijkste job ter wereld," meent Andrzej Kawalec, cto enterprise security services bij HP, "zeker in grote bedrijven. Die willen allemaal naar nieuwe markten en activiteiten, maar hoe kan je dat alles beveiligen?" En je zou al om minder door schrik worden verlamd, als je beseft dat in de komende jaren er makkelijk een miljoen hackers kunnen bijkomen, als "nog maar een kwart procentje van de nieuwe online gebruikers tegen 2020 op het verkeerde pad zou gaan." Die nieuwkomers zullen daarbij hun aanvallen vaak meer verdoken en uitgesmeerd in de tijd uitvoeren. Voor de verdedigers is het dan een kwestie om dat aanvalsproces ergens te onderbreken, al dan niet door een beroep te doen op externe securityservices. In toenemende mate zal de rol van de ciso er dan in bestaan de 'information security leader' te zijn, die een kijk heeft op het business-verhaal en de risico's kan toelichten, processen kan beheren en weet wanneer hij een beroep op derden moet doen. Dat zal onder meer allicht het geval zijn bij nieuwe uitdagingen, zoals de opkomst van 'software defined networks' (die andere dan de klassieke netwerkgerichte securityproducten zullen vereisen). Door een rist nieuwe bedreigingen en kwetsbaarheden zal de verdediging ook steeds hoger in de 'stack' moeten worden georganiseerd, zoals op applicatieniveau. Zo ziet Gartner dat 84 procent van de datalekken zich op applicatieniveau voordoen, en dat het aantal ontdekkingen van zwakheden in mobiele toepassingen met 68 procent stijgt. Zelf brengt HP hiervoor nieuwe producten uit in de ArcSight-familie (ArcSight Application View - een combinatie van ArcSight en Fortify techologieën). Algemeen moeten security-producten en -diensten meer gebruiker- en datagericht worden. Een bedrijf moet uitgaan van de verdediging van 'assets', en hoe die worden aangewend. Dat zal onder meer inzicht vereisen betreffende de context waarin die 'assets' worden aangewend, onderstreept Jacob West, cto enterprise security products bij HP. Welke gebruiker maakt gebruik van welke data, van waar, onder welke omstandigheden, in welk kader en dies meer. Dat vereist een ommezwaai in het security-denken, dat vaak nog klassiek netwerk- of systeemgericht is (zoals nu ook weer bij heel wat byod-security oplossingen: vaak meer toestel- dan datagericht). Gelukkig zien West en collega's wel een groeiend besef rond dit alles op het niveau van de raad van bestuur in bedrijven. Cruciaal is en blijft een beter gebruik van informatie over security - zowel wat betreft de normale werking van een omgeving, als inzake anomalieën. De grote datasets over de gebeurtenissen in netwerken, systemen, toepassingen, databases en security-producten moeten beter en sneller met elkaar worden gecorreleerd en aangewend. Ook de uitwisseling van securityinformatie tussen onderzoekers moet nog meer worden uitgebouwd, zoals met 'zero day initiatieven' (zdi). Zo vergoedt het zero day initiatief van HP www.zerodayinitiative.com), ontstaan bij TippingPoint in 2005, onderzoekers voor hun informatie over zero day kwetsbaarheden (problemen die nog niet in de praktijk door malafiden worden aangewend, nvdr), zodat de producenten van de betrokken producten en technologieën de nodige patches kunnen ontwikkelen. Sinds de start van het initiatief van HP/TippingPoint werd zo al ongeveer 8 miljoen dollar uitgekeerd. En dat de nood hieraan nog groot is, werd aangetoond door Brian Gorenc, 'vulnerability researcher' bij HP security research en manager van HP's zdi, wanneer hij in reële tijd een zdi-kwetsbaarheid uit de doeken doet... Guy Kindermans