InfoSec 2014, deel twee: de technologie!

In mijn vorige artikel ben ik ingegaan op externe en interne trends en maatschappelijke ontwikkelingen voor 2014 in de InfoSec. In dit artikel wil ik graag toelichten wat dit vervolgens betekent op informatiebeveiligingsgebied. We gaan ook volgens mijn idee het volgende gaan zien in 2014.

Een heropleving van de privacy-discussie. Gedreven door de nieuwe Europese richtlijn en over de BYOD/Mobile-as, zullen vele organisaties de nadruk op processen verminderen en meer focussen op de data die door de processen stroomt. Waarbij de beveiliging opnieuw wordt bekeken: Niet meer least-privilege dichttimmeren (maar niet heus), maar met inzicht en beleid vrijlaten van datatoegang en de daadwerkelijke gebruikers toestaan met de data om te gaan zoals zij zelf willen.

Ook voor zover consumentendata in het geding is, zullen mechanismen voor ad hoc selectieve toegangsverlening door de consumenten aan bedrijven (en overheden…) ontstaan.  Dus zodat de consument niet voor iedere app bij installatie alles-ineens data access moet toestaan vanaf de phablet, maar iedere keer als het te pas komt kan kiezen welke data wel en niet is vrij te geven. Aan u de taak om een en ander te implementeren en te managen…

Een van de middelen waarmee dat mogelijk zal zijn, is een vernieuwde methodologie. De vertrouwde CIA loopt tegen z’n grenzen aan en is aan revisie toe; in 2014 zullen we, ja wij met z’n allen, forse stappen zetten op dit terrein. Bijvoorbeeld door OSSTMM verder te ontwikkelen. Maar er zal meer nodig zijn.

Ook zullen we veel meer dan voorheen met Advanced Persistent Threats te maken krijgen. APTs, de blended threats van gisteren, hebben zich ontwikkeld tot blijvertje. Niet alleen voor overheden- en  B2B-gedreven en overige georganiseerde spionnage maar ook voor de huis-tuin-en-keuken-crackers zal het onzichtbaar binnendringen en rondsluipen met de lange adem, de standaard worden. De onzichtbaarheid, al of niet hiding in plain sight, wordt de norm en ons probleem.
Hierbij zal ook het probleem van certificaatbeheer, zeker waar het machine-to-machine identificaties betreft, dit jaar sterk naar voren komen. De onbeschermde printer-wifi van gisteren is het certificaatmisbruik van nu. Allerlei soorten ID-diefstal zal ongemerkt plaatsvinden; zogenaamd ingebouwde zekerheid zal worden doorgeprikt. De inspanning om hier wat aan te doen zal flink zijn, de inspanning om uit te leggen waar het om gaat (om budget te krijgen) nog groter.

Falende cryptografie komt dit jaar pas echt in het nieuws. Dan bedoel ik niet die enkel keren dat in een proefopstelling een sleutellengte onvoldoende wordt bevonden of een class break van een hash-algoritme plaatsvindt (laat staan een geluid-gebaseerde side channel attack mogelijk blijkt). Dan bedoel ik veeleer dat duidelijk wordt dat al die zelf in elkaar gesleutelde en halfslachtig geïmplementeerde toepassingen gewoon zand in de ogen blijken te zijn. Niks ‘beveiliging’ dus, maar bijna-zero-day kraakbaarheid. En procedurefouten, zeker bij installatie en het om een of andere reden oh zo moeilijk geachte key management, zullen blijken te leiden tot niet-beschikbaarheid van informatie. Tijdelijk, of voor eeuwig – leve sterke crypto!

Ook quantum computing zal dit jaar nog in het nieuws komen. Met ‘doorbraken’ van echt werkende proofs of concept, maar ook met alle fouten als bij cryptografie genoemd, zeker de procedurele waar de eerste toepassingen bij overheden zullen plaatsvinden door te veel (niet alle) betrokkenen die niet voldoende begrijpen waarmee ze bezig zijn. En we zullen de eerste fundamenteel onverhelpbare ‘class breaks’ zien opduiken. Interessant! Van fouten kunnen we leren, toch?

Verder zullen we uiteraard regelmatig worden geconfronteerd met reeksen incidenten in de oude bekende categorieën: trojans en andere malware, DDoS, onvoldoende beveiligde toegang (open WiFi en zo, en de bekende OWASP-kwetsbaarheden), zorgen om cloud security, vingerafdrukscanners waar je niks aan hebt, ransomware (misschien wel met een Nederlandse multinational als slachtoffer; smullen?), stuntelende ‘bestuurders’; u kent ze wel.

En waar was u, toen (niet als) het in 2014 misging? Laten we dus nu met z’n allen aan de gang gaan om meer bescherming te realiseren dan alleen fingers crossed, tegen de oude bekende én alvast tegen de nieuwe bedreigingen.


Jurgen van der Vlugt is IT security consultant en IS auditor bij Maverisk.

Dit artikel verscheen op 9 januari 2014 op het Kennisplatform van Cqure en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Jurgen van der Vlugt