Wat leren we van het hacken van Sony en Apple?
Binnen korte tijd kwamen twee grote namen in het nieuws vanwege security-issues rondom hun gebruikersnetwerken: Sony en Apple. Hoewel de achtergrond sterk verschilt, is er wel een aantal lessen te leren. Zowel voor bedrijven die vergelijkbare netwerken bieden, als voor de gebruikers ervan.
Sony’s PlayStation Network (PSN) werd platgelegd door een DDoS-aanval. Dat hebben we in 2011 al eens eerder gezien; toen lag de data van 77 miljoen gebruikers voor het grijpen. Nu ging het om een groepering genaamd Lizard Squad die zich specifiek op Sony richtte. Vervelend voor het bedrijf, lastig voor de gebruikers, maar erg grote (persoonlijke) schade bleef gelukkig uit.
Persoonlijk reputatieverlies
Dat is anders bij Apple. De iCloud-accounts van enkele bekende acteurs en zangeressen zijn gekraakt, wat mede leidde tot het rondstrooien van wat naaktfoto's van enkele van die personen. Hier speelt dus reputatieverlies een rol, zowel voor Apple als de personen. Apple claimde al snel dat het niet ging om een hack van hun netwerk, maar dat de bekendheden slachtoffer zijn geworden van goed giswerk, malware en social engineering. Kortom, het zou vooral aan de slachtoffers zelf liggen. Cru, maar mogelijk wel waar.
Wat leren we hiervan? Ten eerste dat bedrijven met grote netwerken en databestanden een meerlaagse beveiliging moeten hebben. Dit helpt tegen de grootschalige en veelzijdige aanvallen en on-premise kwetsbaarheden om de rand van het netwerk te beschermen. Denk hierbij aan firewalls en intrusion prevention systemen. Ten tweede dat mensen voorzichtiger moeten zijn met wat ze in de cloud zetten, en dat two-factor verificatie de beveiliging een stuk sterker maakt.
De praktijk is echter weerbarstig. Veel bedrijven gebruiken verschillende autonome systemen die matig op elkaar zijn afgestemd en altijd wel ergens beperkingen hebben. Cloud-gebaseerde toepassingen kunnen bijvoorbeeld versleuteld verkeer niet verwerken, tenzij het bedrijf de cloud-provider toegang geeft tot de private certificatiesleutels (wat meestal niet het geval is). Daarom wordt het vaak gewoon maar versleuteld doorgestuurd, inclusief versleutelde aanvallen. De meeste on-premise firewalls kampen met hetzelfde euvel: verkeer wordt doorgelaten en er is geen manier om het verkeer op applicatieniveau te controleren. Dit wordt nog erger als het volume van de aanval toeneemt.
Context-aware beveiliging
Een van de sterkste beveiligingen is een context-aware bescherming. Een bescherming die weet welke applicaties in een netwerk draaien, hoe ze functioneren en welk verkeer ze verwerken inclusief versleutelde data. Daarnaast wordt rekening gehouden met het soort (mobiele) apparatuur, de locatie van de gebruiker, het tijdstip op de dag, kortom, de hele context die van invloed kan zijn op de beveiligingsstatus. Idealiter doe je dit zowel in de cloud als on-premise, zodat er betere integratie is en de kans op kwetsbaarheden tussen oplossingen verkleind wordt. Op die manier ben je pro-actief; bedrijven kunnen zich niet langer een reactieve houding permitteren.
En dan nog de gebruikerszijde. Mensen moeten blijven begrijpen dat data in een cloud zetten geen vrijwaring is om er onzorgvuldig mee om te gaan, of te gemakzuchtig te denken over de beveiliging ervan. Uiteraard ligt er een gedeelde verantwoordelijkheid en bedrijven zullen er veel aan doen de opgeslagen gegevens te beschermen, maar het blijft eigendom van de gebruiker. Daarnaast moet beveiliging, en zeker cloud-beveiliging, worden benaderd met de 'ui-tactiek'. Hoe meer lagen hoe beter het midden wordt beschermd. Two-factor authenticatie is dus aan te raden. Apple en Google bieden dit dan ook aan. Het is aan de gebruiker daarvan te profiteren.
