logo Denhack 5 juni 2018 | Den Haag

Hét security-event van Nederland

D3NH4CK 2018: dit waren de hoogtepunten (2)

Zet een paar honderd securityprofessionals bij elkaar, trakteer hen op inspirerende sessies, een CTF-challenge, een boardroomgame en natuurlijk liters Club-Mate. Dat kan alleen maar veel goeds opleveren. Wat ons betreft was de tweede editie van D3NH4CK een meer dan geslaagde dag. Wij doen in een tweeluik een willekeurige greep uit de vele hoogtepunten.

[Lees hier deel 1]

4. De Boardroomgame

In welke beveiligingsmaatregelen moet de directie dit jaar investeren? En volgend jaar? En daarna? Het is iedere keer weer een afweging tussen de kosten en de baten. “Je kunt als bedrijf wel alle maatregelen treffen die beschikbaar zijn, maar dan heb je wel een failliet bedrijf”, aldus Robin van Sambeek.

Van Sambeek nam tijdens D3NH4CK deel aan de ‘Boardroomgame’. In samenspraak met vijf collega-directieleden moest hij in meerdere rondes beveiligingsmaatregelen aanschaffen voor fietsenfabriek Antilopen. Aan het einde van iedere ronde kregen de deelnemers te horen aan welke dreigingen het bedrijf daadwerkelijk bloot had gestaan. Waren de juiste maatregelen getroffen om die dreigingen te mitigeren? Dan had dit een positief effect op het resultaat van de onderneming.

Volgens de deelnemers aan de Boardroomgame, die door Cyber Central wordt aangeboden aan bedrijven, bootst het spel de werkelijkheid goed na. “Wij investeerden bijvoorbeeld pas in de derde ronde in een beveiligingsbeleid en in incident-response, terwijl je daar eigenlijk mee hoort te beginnen”, aldus Sambeeks ‘collega’ Sander van Blitterswijk. “Maar ook in de praktijk zie je dat beleid en incident-response ondergeschoven kindjes zijn.”

5. D3NH4CK: de hemel voor hackers

D3NH4CK was niet alleen een feest voor IT- en C-level managers, maar natuurlijk ook een walhalla voor hackers. Zo lagen op een Make & Break-tafel allerlei slimme apparaten die bezoekers naar hartenlust uit elkaar konden halen. Natuurlijk trok ook de Capture the Flag (CTF)-challenge veel bekijks. Tijdens deze hackwedstrijd speurden elf teams naar kwetsbaarheden in een realistisch netwerk met meerdere systemen en gebruikers. Doel was om die systemen te hacken en vlaggen te veroveren.

DearBytes organiseerde de CTF-wedstrijd samen met Secured by Design. ‘Onze eigen’ Rik van Duijn en Wesley Neelen moesten dit keer helaas verstek laten gaan. Zij gaven een keynote over respectievelijk fileless malware (hoe werkt dit precies en wat kun je ertegen doen?) en het recent ontdekte lek in de cloudomgeving van kindersmartwatches.

Zo’n CTF-wedstrijd is voor de neutrale toeschouwer minder spectaculair dan bijvoorbeeld een formule 1-race, voetbalwedstrijd of skispringen. De deelnemers waren vrijwel constant geconcentreerd op hun laptop bezig. Toch was de spanning in de zaal wel degelijk om te snijden. Geslaagde hacks werden gevierd met gebalde vuisten en juichkreten. Eén team in het bijzonder reeg de punten aaneen: team d0pp3r. Met een score van ruim 2000 punten liet d0pp3r de overige teams ruim achter zich. Gefeliciteerd!

6. Threat Intelligence en de Cyber Fusion Cell

Kennis is macht, en dat geldt zeker voor security. “Hadden de slachtoffers van WannaCry vorig jaar de ernstige consequenties van niet tijdig patchen op voorhand geweten, dan hadden ze andere keuzes gemaakt”, aldus Matthijs van der Wel van PwC. De securitydiscipline Threat Intelligence (TI) moet die kennis bieden.

Dat is allesbehalve eenvoudig, want security is een rekbaar begrip en organisaties zijn ingewikkelde entiteiten. Matthijs definieerde tijdens zijn presentatie 3 soorten relevante ‘security intelligence’:

1) Strategisch: Kennis rondom de markt en bedrijfsrisico’s, maar ook het ‘umfeld’, zoals geopolitieke verhoudingen.

2) Operationeel: Kennis rondom de staat van de security. Waar liggen zwakke plekken, hoe strak is het patchbeleid, welke technische veiligheidsmaatregelen zijn genomen, waar is de verdediging kwetsbaar?

3) Tactisch: Welke dreigingen zijn er? Welke info geven de threat intel-feeds, hoe zien de aanvalskaarten eruit, welke malware steekt de kop op?

Dan is er nog de informatie over concrete security-incidenten. Volgens Matthijs is hier The Diamond Model erg bruikbaar. Dat plot de informatie over de aanval op vier punten van een diamant:

1) Adversary: Informatie over de dreiging of groep die de aanval uitvoert.

2) Capability: De technische mogelijkheden en het ‘finesseniveau’ van de aanval.

3) Victim: Het slachtoffer in kwestie. Dat kan een hele organisatie zijn, maar ook een individuele medewerker of een enkel apparaat.

4) Infrastructure: Dit beschrijft de infrastructuur die de aanvallende partij gebruikt, zoals de gebruikte servers en apparaten en/of het domein vanuit waar de aanval is opgezet.

Al met al veel informatie, verspreid over allerlei bronnen. Matthijs pleitte dan ook voor wat hij noemt een ‘Cyber Fusion Cell’, een plaats waar alle informatie samenkomt en die heterogene teams verbindt. Een grote uitdaging, zo meende hij, want dat vergt mensen die beschikken over zowel businesstrategie-, security- als operationale kennis. En die mensen zijn, helaas, uiterst schaars.

7. Borrelpraat

D3NH4CK werd luchtig afgesloten met bier, hapjes en discussie. De aanwezigen konden tijdens ‘Borrelpraat’ online aangeven het wel of niet eens te zijn met enkele stellingen. Moet er bijvoorbeeld een keurmerk komen voor veilige IoT-apparaten? 75 procent vond van wel. Toch werd het nut van zo’n keurmerk direct ter discussie gesteld. “Waarom moet er weer een keurmerk komen?”, vroeg iemand zich af. Als het initiatief van de overheid moet komen, is het bovendien een proces van de lange adem.

Volgens Edwin van Andel, CEO van Zerocopter, lost een keurmerk niets op, zeker niet als er onveilige producten uit China blijven komen. En hebben consumenten zelf ook niet een verantwoordelijkheid? Consumenten moeten zelf een afweging maken, zo vonden meerdere aanwezigen. “Als ik de keuze heb tussen een veilige en onveilige trapleuning, kies ik voor de veilige trapleuning en betaal 5 euro meer.” Schrijver Chris van ’t Hof suggereerde dat er bij IoT-producten een ‘bijsluiter’ moet zitten waarin precies staat wat de gevaren zijn van het gebruik.

Over andere stellingen waren de meningen op z’n minst verdeeld. Ongeveer de helft beaamde dat de focus moet komen te liggen op detectie en response, en minder op preventie. Ook Erik Remmelzwaal van DearBytes was het hiermee eens, al benadrukte hij wel dat er sprake moet zijn van een continu proces. De response moet worden gevolgd door verbeteringen op het gebied van preventie.

Even verdeeld waren de reacties op de stelling dat bedrijven die openstaan voor ethical hackers veiliger zijn. “Ik denk dat de stelling andersom moet zijn: bedrijven die met security bezig zijn, staan open voor ethical hackers”, merkte iemand op die eerder al een flesje Club-Mate kreeg als beloning voor een rake opmerking.

Tot volgend jaar, tot D3NH4CK!