Verslag: cloudbeveiling in het FERM Port Cyber Café

Cloud security beschermt gebruikers tegen bedreigingen, ongeacht waar je bent als je verbinding maakt met het internet. Ook beveiligt het de data en toepassingen die in de cloud zijn opgeslagen. Althans, dat is het doel. Hoe dat er in de praktijk aan toegaat? Daar hebben we tijdens het Port Cyber Café op donderdag 23 februari jl. een antwoord op gezocht, met Jelle Niemantsverdriet (National Security Officer bij Microsoft, een soort ambassadeur in vertrouwen in de techniek), Rik van Duijn (co-founder van Zolder) en Godfried Boshuizen (CICO bij FERM-participant Mourik, en ervaringsdeskundige vanuit een recente datamigratie).

Cloud Security: wie is verantwoordelijk?

Applicaties en IT-infrastructuur op afstand bieden organisaties grote voordelen, zowel wat kosten als schaalbaarheid en efficiency betreft. Een goede cloud security strategie is dan essentieel om veilig te kunnen werken. Maar waar ben je als organisatie zelf verantwoordelijk voor? En welk deel ligt bij de dienstverlener? Om die -en andere- vragen te beantwoorden, is Chris aan tafel gegaan met bovengenoemde gasten, maar had hij ook een CloudQuiz in petto – waarover verderop deze pagina meer!

Introductie

Welkom bij PCC nummertje 28! Zoals inmiddels gebruikelijk startten we met het cybernieuws, de relevante actualiteiten sinds de laatste keer. Vanuit onze fraaie nieuwe website deelde Chris onder meer de publicatie van het FERM cyberbeeld, onze samenvatting van de NIS2, en het recente persbericht naar aanleiding van de Cyber Kracht Meting in samenwerking met Security Delta & ThreadStone. En natuurlijk stond Chris even stil bij de ransomwareaanval op de maritieme software van DNV. Ook was er aandacht voor het FERM Incident Responsplan, maar daarover later deze sessie meer!

Voor nu door naar cloudsecurity!

Cloudsecurity

Wat is cloudbeveiliging nou eigenlijk, vraagt Jelle in de eerste slide van zijn presentatie. “Je merkt in de gesprekken die we hebben met klanten dat iedereen daar eigenlijk een ander beeld bij heeft.” Dat is heel gevarieerd, van mensen die denken ‘dat is iets met grote Amerikaanse techbedrijven’ en ‘iets met Facebook’ tot diensten die gericht zijn op consumenten en misschien wel gratis zijn, maar ook veel advertenties hebben. Met andere woorden, er wordt veel op één hoop gegooid. “Daarom is het altijd toch goed om dat even goed te definiëren.”

“In deze context hebben we het natuurlijk vooral over de zakelijke diensten voor bedrijven en organisaties, maar ook dan heb je weer verschillende smaken, van clouddiensten en van de infrastructuur en service tot aan SaaS of software-as-a-service. Er zijn daarbij allerlei vergelijkingen te maken, waarbij een van de bekendste is ‘pizza-as-a-service’, want je kan een pizza helemaal zelf maken, maar je kan ‘m ook bestellen en bij je thuis laten bezorgen.” En daar zit dan ook een soort schuifmodel van verantwoordelijkheden achter; sta je wel of niet in de keuken, heb je zelf een oven nodig, dat soort vragen.

“Een collega maakt de vergelijking tussen verschillende manieren om op vakantie te gaan. Je kan zelf gaan backpacken, dan doe je echt alles zelf. Maar je kunt ook een stapje verder gaan en een camper huren, dan heb je een bed, en een dak boven je hoofd, maar je moet nog steeds van alles zelf regelen, van de lakens tot het eten. Bij een hotel vervolgens is er weer veel meer geregeld, want dan krijg je ook een ontbijtje en lakens en handdoeken, et cetera. En dan tot aan het helemaal verzorgde cruiseschip waar je an boord gaat en alles tot aan het entertainment en het diner geregeld worden. Het is misschien een beetje flauw, die vergelijkingen, maar dat is eigenlijk wel precies waar je het over hebt bij die verschillende modellen, van volledig zelf doen tot IaaS, PaaS en SaaS.”

FERM CloudQuiz

Zoals we in de aankondiging al schreven, heeft Chris een aantal vragen voorbereid die gedurende de bijeenkomst zowel aan tafel als via de chat (voor onze deelnemers online) de revue passeerden. Met andere woorden, een interactief element rond vulnerability management: waar ben je nu wel of juist niet zelf verantwoordelijk voor in de cloud? “Doe mee met de cloud-quiz en win gratis heldere inzichten!”, zo luidde de slogan. Bij dezen enkele vragen beantwoord;

1. Wie is verantwoordelijk voor de toegang tot de cloud?
Is dat de cloudprovider, de eigen organisatie of iemand anders?

De unanieme reactie in de chat: unaniem ‘de eigen organisatie’. Jelle: “Ja, daar kan ik me wel in vinden. In de meeste vormen van cloudopslag is de data en wie daar dan bij kan de verantwoordelijkheid van degene van wie de data is. Tenzij je daar andere afspraken over gemaakt hebt.:

Rik: “Eens. Al moet het technisch nog steeds ingericht worden door de provider, maar jij [als organisatie] bent verantwoordelijk voor die inrichting.”

“Je kan het vergelijken met wie je de sleutel van jouw huis geeft”, vult Godfried aan. “Maar, je hebt lang niet altijd in de hand aan wie jouw buurvrouw de sleutel doorgeeft, of wie ze eventueel mee naar binnen nemen. Trek je die vergelijking door naar gedeelde gegevens online, dan is het lang niet altijd inzichtelijk naar wie er toegang heeft, en eventueel een wijziging in die data aanbrengt.” De integriteit van de data raakt met andere woorden in het geding. “Toegangsbeheer is evident, maar wie er uiteindelijk iets met die data doet, of wijzigingen aanbrengt, dan ga je al een stap verder in toegangsbeheer.”

2. Wie is verantwoordelijk voor de backups?
De cloudprovider, de eigen organisatie of iemand anders?

De publiekspoll: 21 procent provider, 71 procent eigen organisatie.

Reactie uit de zaal: “Een gezamenlijke verantwoordelijkheid van de gebruikers en de cloudprovider”, denk ik hier. “De provider kijkt naar de techniek, maar de eigen organisatie moet de frequentie aangeven, en ook hoe je die data terug wil krijgen.”

Jelle: “Ja, ik denk dat dat wel een goede omschrijving is. En dan misschien met de vraag ervóór dat je ook goed moet nadenken voor welke scenario’s je de backup maakt, en dat daar ook weer verschillende smaken en praktische oplossingen voor zijn.”

Godfried tipt nog wel: let er ook op wat er in je SLA (service-level agreement, de overeenkomst met je leverancier, red.) staat. Het plaatje met IaaS, PaaS en SaaS is een bekende, en in het geval van SaaS zie je dat de provider verantwoordelijk is voor alles, dus ook voor de data, maar in de SLA kan toch iets anders staan.

3. Wie is verantwoordelijk voor de juiste settings nadat een cloudprovider wijzingen heeft doorgevoerd?
De cloudprovider, de eigen organisatie of iemand anders?

Rik: “Deze vraag heb ik toegevoegd omdat we al jaren bezig zijn met Office 365 en SHDB en je ziet dan dat er regelmatig nieuwe settings bijkomen, die iets mogelijk maken of jou in staat stellen om iets anders te doen. Je kunt ervoor kiezen daar niet naar te kijken, maar je cloudprovider werkt gewoon door en die kiest soms wel voor een update of een aanpassing. Dat betekent dat je op een andere manier moet gaan kijken naar je configuraties.”

Vanuit het onderwerp maakt Chris een bruggetje naar ‘bucket hunten’, waar we graag ook even bij stil staan. Dankzij een nieuwe open-source ‘S3crets Scanner’ kunnen onderzoekers en red-teamers (red teaming is overigens het onderwerp van ons Port Cyber Café op 20 april aanstaande, red.) zoeken naar ‘geheimen’ die ten onrechte zijn opgeslagen in publiekelijk toegankelijke of bedrijfsmatige Amazon AWS S3 storage buckets, opslag in de cloud.

Amazon S3 (Simple Storage Service) is een cloudopslagdienst die vaak door bedrijven wordt gebruikt om software, diensten en gegevens op te slaan in containers die buckets worden genoemd. Helaas verzuimen bedrijven soms om hun S3-buckets goed te beveiligen, waardoor opgeslagen gegevens publiekelijk aan het internet worden blootgesteld. Dit soort misconfiguratie heeft in het verleden gegevensschendingen veroorzaakt, waarbij bedreigers toegang kregen tot gegevens van werknemers of klanten, back-ups en andere soorten gegevens. Naast toepassingsgegevens kunnen broncode of configuratiebestanden in de S3-emmers ook ‘geheimen’ bevatten, zoals authenticatiesleutels, toegangstokens en API-sleutels. Als deze geheimen op onjuiste wijze worden blootgelegd en toegankelijk zijn voor bedreigingsactoren, kunnen zij veel meer toegang krijgen tot andere diensten of zelfs het bedrijfsnetwerk van het bedrijf.

Kijk voor meer informatie op buckets.grayhatwarfare.com/.

4. Wie is verantwoordelijk voor vulnerability management?
De cloudprovider, de eigen organisatie of iemand anders?

Rik: “Deze is denk ik tweeledig. Als je alles zelf doet zoals in het voorbeeld van de backpacker (IaaS), dan is dat jouw ding, maar als je een service zoals SharePoint afneeemt, dan wordt dat voor je gedaan en heeft dat alles voordeel dat je niet zelf hoeft te updaten.” Zie dat als het voorbeeld met een hotel, waarbij gezorgd wordt voor de juiste beveiliging, sloten op de kamerdeuren, een nachtbewaker, et cetera. 

Je vindt onderstaand de volledige video van onze bijeenkomst om wat dieper in de vragen te duiken, de presentatie van Microsoft na te lezen of natuurlijk het gehele gesprek met onze tafelgasten te beluisteren.

FERM havenbreed Incident Responsplan

Zoals in de inleiding al aangegeven, hadden we aan het einde van deze bijeenkomst een paar minuten vrijgehouden voor een stukje zendtijd voor FERM zelf, namelijk de introductie van ons Incident Responsplan. Daarom is in de slotfase van de bijeenkomst Geraldine Beckers, FERM Incident Respons Manager, bij Chris aangeschoven.

“Je hoopt natuurlijk dat er niets gebeurt, maar als je organisatie wordt getroffen door een digitaal incident, wat doe je dan en hoe bereid je hierop voor? Wat moet je zelf doen en wie kun je bellen? Welke lijnen gaan er lopen naast je eigen organisatie? En welke publieke partners zijn hierbij betrokken?”

FERM heeft het op zich genomen om die en andere vragen voor jouw organisatie te beantwoorden in een Incident Responsplan: een document wat helpt om je inzicht te geven in incident respons en de opschalingsstructuur van de publieke partners, en je tevens handvatten biedt om je eigen incident respons verder voor te bereiden. Een incident responsplan kan worden omschreven als een set instructies om medewerkers te helpen om incidenten te detecteren, hierop te reageren en mogelijke schade te herstellen.
Je leest hier meer over het FERM Incident Responsplan.

Het volgende FERM Port Cyber Café vindt plaats op donderdag 20 april en heeft als thema Red Teaming, het testen van de beveiliging van systemen van een organisatie door ‘preventief’ in te breken, om zo eventuele kwetsbaarheden op te kunnen lossen. Meer informatie volgt!