Terugblik HitB 2017 – deel 1

Zoals bekend heeft afgelopen week in Amsterdam de achtste editie van Hack in the Box plaatsgevonden. Er zijn dit jaar de nodige records verbroken en de meest in het oog springende daarvan was de opkomst. Inmiddels weet dit event bijna 1.000 bezoekers te trekken. Nog steeds onder de radar, passend bij een deel van het programma, is het een conferentie geworden waar een groot deel van de internationale scene bijeenkomt om kennis te delen en te netwerken.

Wie puur afgaat op de titel van de conferentie zal de indruk krijgen dat er weinig is dat voor de doorsnee hoster van belang is omdat het wel weer een hoog academisch of nerd gehalte zal hebben. Om die reden is de aandacht voor het event vanuit de tech pers lange tijd minimaal geweest. Dat is jammer, want wat er wordt gedemonstreerd en besproken raakt echt alle geledingen van de samenleving. Het is dus goed en vooral niet meer dan logisch dat door zowel Tweakers als de NOS redactioneel aandacht aan een aantal items is besteed.

Wat deze twee uiteraard niet hebben gedaan is een onderwerp behandelen dat de doorsnee IT beheerder, hoster en provider raakt. Die onderwerpen waren er wel en het beste voorbeeld daarvan was de keynote van Saumil Shah, CEO van Net Square. Met als titel “Redefining Defense” gaf hij – daarbij ondersteunt door slides (link) – een uitstekend betoog over de structurele fouten die gemaakt worden bij security defense. Het zal niet verbazen dat zijn eerste advies luidde: Defense moet anders. Hij zei nog net niet dat alles wat we tot op heden hebben gedaan inmiddels waardeloos is en overboord kan. Shah hintte wel heel duidelijk op de overbodigheid van een groot aantal aannames. Het verhaal dat daar bij hoort staat aan het eind van de presentatie in 7 bullets opgesomd.

Het tweede advies van Shah betreft de huidige rollen. Daar is eveneens iets grondig mee mis. In het kort – zie de presentatie – komt het er wat hem betreft op neer dat de CIO (“the infotech business enabler”) en vooral de CISO (“infosec risk reduction”) te vaak worden geconfronteerd met iets waar ze heeft veel tijd aan kwijt zijn: compliance. Compliance is in de bewoordingen van Shah veelal een schijnveiligheid. Alle grote hacks die hij opsomde (Walmart & Co) waren bij bedrijven die trots waren compliant te zijn. De stap van die mening naar de daily business van een hoster is eenvoudig te maken. Als je weet dat compliant (oneerbiedig gezegd “het zetten van vinkjes”) belangrijk is, maar niet alles zegt, pas daar dan ook je eigen gedrag en communicatie op aan. Als klanten vragen om een audit, als ze willen weten of je compliant bent geeft je daarop antwoord. Vervolgens leg je ze ook uit wat er nog meer bij komt kijken om een applicatie, website, platform en zelfs een hele business echt veilig te krijgen. De bullets van Shah (“the seven Axioms of Security”) zijn daarvoor een perfecte leidraad.

in de tweede terugblik staan we stil bij de presentatie van Don Mulders en Paulus Meessen over cryptoware “a passive listing ransomware detector” en van Antonios Atlasis over een eigenaardige vondst bij mdns.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.