NSA-topman: zo bescherm je je tegen ons
Het bezoek en de voordracht van Rob Joyce op de Usenix Enigma conferentie waren op zijn zachtst gezegd opmerkelijk. De NSA is een van de meest gesloten organisaties van de Amerikaanse overheid. Lange tijd werden zelfs de vergaande spionagepraktijken van de NSA ontkent en nu komt de baas van het spul uitleggen hoe het team te werk gaan en hoe je dit ongewenste bezoek buiten de deur kan houden. The Register deed verslag van de bijeenkomst.
Tik op de vingers
Joyce gaf IT-beheerders een forse tik op de vingers. De essentie van zijn verhaal was dat zij beter moeten weten hoe hun systemen in elkaar zitten en welke componenten daar onderdeel van uitmaken. "Vaak kennen wij de netwerken beter dan degenen die ze hebben ontworpen en runnen". Hij schetste een zesstaps strategie die de NSA hanteert: ontdekken, eerste penetratie, aanwezigheid verzekeren, installeren van softwaregereedschap, uitbreiding naar brede aanwezigheid, en dan als laatste fase het verzamelen, exporteren en gebruik van de gegevens.
De cruciale fase is de eerste. Daar gaat het om het vinden van de zwakke plek. "We prikken en prikken en wachten en wachten, tot we binnen zijn." Zijn team richt zich vooral op fouten in de netwerkarchitectuur, en op sleutelfiguren in de organisatie die slordig omgaan met het beveiligingsbeleid. Maar het team zoekt ook naar plekken in het doelnetwerk waar het verbindingen heeft met andere computersystemen zoals de verwarming of de ventilatie. Die bieden soms een goed handvat voor een aanval.
Joyce raadde ook aan een grondig evaluatie van cloudproviders te doen voordat een contract wordt gesloten. Zodra je data plaatst in een cloudopslag, vertrouw je volledig op de beveiliging van de aanbieder.
Zero day niet gebruikelijk
Hij bestreedt overigens de veelgebruikte aanname dat overheidsgestuurde hackers doorgaans gebruik maken van nog niet gemelde kwetsbaarheden (zero day vulnerabilities). "Dat is niet zo gebruikelijk. Bij grote bedrijven is volharding en doelgericht zoeken voldoende om binnen te komen zonder zero day: er zijn zo veel meer manieren die veel makkelijker zijn, minder riskant en veel productiever."
Leer het volledige verslag van het advies van Joyce op The Register.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee