Door Michelle Burrows, CMO, Splashtop
Jerry Hseih loopt al meer dan twintig jaar voorop bij IT-risicobeoordeling en beveiliging, meest recentelijk als Senior Director of Security and Compliance bij Splashtop, waar hij verschillende IT- en beveiligingsfuncties heeft vervuld in de afgelopen tien jaar. Onlangs sprak hij met Splashtop CMO Michelle Burrows over hoe hij geïnteresseerd raakte in security en hoe hij denkt over het beveiligen van systemen, vooral met de toename in beveiligingsinbreuken in de afgelopen paar maanden, waarover veel is gepubliceerd.
Michelle Burrows: Jerry, fijn dat je bij ons bent gekomen. Tegenwoordig is security bijna altijd in het nieuws, terwijl het in het verleden vaak slechts een bijzaak was. Hoe raakte je voor het eerst geïnteresseerd in beveiliging?
Jerry Hseih: Je hebt helemaal gelijk – ik ben al heel lang gefocust op beveiliging. Vroeger hadden bedrijven de neiging om niet veel over beveiliging na te denken. Een alarmerende ervaring in 2003 heeft mijn interesse in beveiliging en risicobeoordeling uiteindelijk gewekt.
Michelle Burrows: Dat klinkt onheilspellend, vertel meer.
Jerry Hseih: Het bedrijf waar ik voor werkte, was een van de slachtoffers van een SMTP DDoS-aanval, waardoor zakelijke e-maildiensten werden uitgeschakeld van grote bedrijven en het bedrijf waar ik op dat moment werkte. Ik herinner me zo goed wanneer het was, omdat het samenviel met mijn bruiloft en ik me door wat er op kantoor aan de hand was, niet echt kon amuseren.
Het liet me ook direct de impact van zoiets zien. We werkten samen met een bedrijf dat e-mailfilters maakte om bedrijven zoals waar ik werkte en anderen te beschermen tegen aanvallen als deze. Ze zijn moesten uiteindelijk stoppen vanwege deze aanval.
Ik zag ook een ander incident van dichtbij, dat plaatsvond toen een productfile werd gecategoriseerd als een virus, nadat de AV-leverancier de definitie had bijgewerkt. IT en het technische team werkten vele nachten door om te proberen het incident op te lossen. Alle systemen waren getroffen en we hadden veel werk om alle bestanden op te ruimen, samen te werken met onze antivirusleverancier en de definities van wat een aanval is vast te leggen.
Michelle Burrows: Wauw, ik denk dat een onderbreking van je bruiloft een gedenkwaardige manier is om erachter te komen wat je allemaal niet moet doen op het gebied van security. Heb je nog andere ervaringen van vroeger met security?
Jerry Hseih: Ik heb bij een bedrijf in de halfgeleiderindustrie gewerkt als security engineer. In die tijd werkten we vooral aan beveiliging om inbreuk op octrooien te voorkomen. Het bedrijf nam veel beveiligingsmensen aan, omdat we goedkoper waren dan advocaten. Door deze ervaring zag ik beveiliging als een manier om het intellectuele eigendom van een bedrijf te beschermen.
Michelle Burrows: Op dit moment lijkt het alsof we bijna dagelijks horen over een beveiligingslek of een ransomware-aanval. Wat kunnen bedrijven doen om zich te beschermen?
Jerry Hseih: Ik krijg deze vraag vaker en denk er veel over na. Naar mijn mening is de zwakste schakel meestal de eindgebruiker. De meeste inbreuken worden veroorzaakt door simpele fouten: een werknemer die op een schadelijke link klikt, een schadelijk bestand opslaat, een zwak wachtwoord gebruikt of iets doorstuurt. Eén enkele gebruiker kan dan het hele systeem in gevaar brengen.
Michelle Burrows: Het is best interessant dat één medewerker per ongeluk veel schade kan aanrichten. Ik denk dat veel mensen denken dat ze niet kwetsbaar zullen zijn voor een incident als dit, omdat ze een firewall hebben. Kun je daar iets over zeggen?
Jerry Hseih: Een firewall geeft mensen vaak een vals gevoel van veiligheid. Ik hoor iemand zeggen: "Ik zal geen slachtoffer worden van een aanval, omdat ik een firewall heb." Wat ze niet in overweging nemen, is dat hoewel je allerlei soorten beveiliging rond je netwerk kunt aanbrengen, een van je grootste bedreigingen eigenlijk intern kan zijn. Een firewall lost je beveiligingsproblemen niet op, vooral niet nu hackers steeds creatiever worden om werknemers te verleiden ergens op te klikken en zodoende in uw systeem te komen.
Michelle Burrows: Als een firewall niet het enige antwoord is op beveiligingslekken, wat raadt u dan aan?
Jerry Hseih: Ik raad aan om op drie gebieden te letten:
Training / bewustwording van eindgebruikers - Voor mij is dit een van de belangrijkste punten om me op te concentreren en sinds ik bij Splashtop werk, stuur ik voortdurend herinneringen over beveiligingsrisico's. Ik zorg ervoor dat iedereen de boodschap ziet en dat alle medewerkers weten hoe belangrijk het is om waakzaam te zijn. Het helpt dat onze CEO, Mark Lee, ons bedrijf volgt met boodschappen die het belang van beveiliging benadrukken en dat het ieders verantwoordelijkheid is. Als mensen weten dat het iets is dat belangrijk is voor de CEO, zijn ze geneigd er meer aandacht aan te besteden.
Beveiligingsbeleid - Veel bedrijven hebben een beveiligingsbeleid, maar ze zouden praktijken moeten hebben om het voortdurend te controleren en te testen. Het hebben van een beleid is een goede eerste stap, maar het handhaven ervan is nog belangrijker.
Continuous Penetration Testing - Continue integratie en continuous delivery/deployment (CI/CD) is door veel bedrijven ingevoerd. Het is belangrijk om voortdurend je netwerk, applicaties te "testen" om te zien of er kwetsbaarheden ontstaan tijdens de Software Development Lifecycle (SDLC).
Michelle Burrows: Ik kan me voorstellen dat als jij mensen vertelt wat je voor de kost doet, sommigen het gevoel kunnen krijgen dat ze hun eigen slechte praktijken moeten 'opbiechten'. Over welke twijfelachtige praktijk heb je de meeste zorg?
Jerry Hseih: Normaal gesproken vertelt niemand me wat ze doen of wat al dan niet een best practice is. Ik heb gemerkt dat de meeste mensen niet weten wat cybersecurity in de praktijk inhoudt. Men ziet op tv of in een film hoe een 'slechterik' met één enkel commando een heel systeem uitschakelt. En dan kunnen ze ook nog denken dat ze hiertegen beschermd zijn vanwege hun firewall. Wat ze niet begrijpen, is dat de 'slechterik' één enkele gebruiker in uw bedrijf kan zijn. Er zijn maar weinig incidenten met datalekken die worden veroorzaakt door werknemers die iets fout doen. Wat bedrijven echt moeten toepassen, is een filosofie van 'niemand vertrouwen'. "Niemand vertrouwen" is een van de belangrijkste principes van Zero Trust Access (ZTA) die ik steeds vaker zie worden toegepast.
De andere misvatting die sommige mensen hebben over cyberbeveiliging is dat het iets is dat je kunt "afmaken". Cyberbeveiliging is iets dat nooit "af" is en er is altijd ruimte voor verbetering.
Michelle Burrows: Op dit moment is er veel aandacht voor beveiliging - van de CEO tot investeerders en besturen. Waarover moeten bedrijven zich de meeste zorgen maken?
Jerry Hseih: Bedrijven moeten zich zorgen maken over een aantal zaken.
Ze moeten een grondige en eerlijke risicobeoordeling uitvoeren. Wanneer uw bedrijf wordt aangevallen, schaadt dit uw merk en het vertrouwen van uw klanten, medewerkers en zelfs uw bestuur. U moet uw risico regelmatig beoordelen.
Monitor elk stukje software, iedere serviceprovider en alle hardware op uw netwerk. Veel afdelingen strijden vaak om de tijd van IT en willen de 'nieuwste en beste' tools inzetten voor alles, van klantonderzoeken tot marketing en van agile ontwikkeling tot het bijhouden van onkosten. Maar elke leverancier, elk stukje software of hardware kan kwetsbaar zijn voor een aanval. U moet uw kwetsbaarheden voortdurend in de gaten houden en ervoor zorgen dat medewerkers hun software updaten en/of het IT-team proactief patches laten maken door proactief updates te verzenden.
Doe goed onderzoek. Er zijn nu miljoenen producten op de markt en het blijft altijd zaak om deze bij te houden en te weten welke bugs ze in uw systeem kunnen brengen. Uw beveiligingsteam moet die kwetsbaarheden voortdurend in de gaten houden en onderzoeken.
Realiseer je dat de manieren van aanvallen zijn veranderd. Hackers zijn in de loop der jaren een stuk slimmer geworden en hebben hun manier van aanvallen veranderd. Een gevaarlijke e-mail was een paar jaar geleden nog overduidelijk, maar nu zijn die e-mails gepersonaliseerd om de kans te vergroten dat iemand erop klikt. Je moet je medewerkers continu testen zodat security altijd voorop staat.
Michelle Burrows: Onlangs was er een bericht dat VPN's een toegangspoort zijn voor een aanval. Waarom zijn VPN's (Virtual Private Networks) volgens jou bijzonder kwetsbaar?
Jerry Hsieh: Ja, VPN's zijn de laatste tijd veel meer een toegangspoort voor systeemaanvallen.
Naar mijn mening worden VPN's om een paar redenen vaker gebruikt voor ransomware-aanvallen:
VPN is een oude technologie die eind jaren negentig werd geïntroduceerd. Als een technologie al zo lang bestaat, is de kans groter dat er een ontwerpfout in zit, omdat we toen nog niet konden weten waar we nu mee te maken hebben. Ik heb bijvoorbeeld mijn eerste VPN in 1999 opgezet, waarbij ik puur op commando's vertrouwde en enigszins gebruiksvriendelijke interfaces (UI's) gebruikte. Als ik denk terugdenk aan die tijd is er niet veel veranderd en is een verkeerde configuratie zeer waarschijnlijk.
Een VPN hangt af van de juiste configuratie door de IT-afdeling. Ik zie vaak dat VPNs worden uitgebuit omdat er geen standaard manier is om toegang in te stellen, te bedienen en te distribueren. Elke IT-afdeling zal het configureren op een manier die voor hen logisch is en dat brengt risico's met zich mee.
Thuiscomputers worden gebruikt op een VPN. Als een werknemer vanuit huis werkt en toegang tot bestanden op het werk nodig heeft, is er geen eenvoudige manier om te voorkomen dat die werknemer een niet door het bedrijf uitgegeven VPN-systeem gebruikt om toegang te krijgen. Er zijn hulpmiddelen om hierbij te helpen, maar deze zijn meestal erg duur en omvangrijk.
U kunt het bovenstaande punt proberen te voorkomen door uw werknemers te instrueren dat ze alleen hun werkcomputer mogen gebruiken voor toegang tot de VPN. Dat brengt dan weer een ander risico met zich mee: openbare netwerken. Als iemand op reis is en verbinding maakt via een VPN via een openbaar netwerk, zijn ze daardoor kwetsbaar voor aanvallen.
Michelle Burrows: Welke alternatieven kunnen bedrijven inzetten in plaats van een VPN? En is er een nadeel aan dat alternatief?
Jerry Hseih: Ik weet dat dit als ontzettende zelfpromotie klinkt, maar het beste alternatief is om gebruik te maken van een remote access-oplossing. En ja, dat is Splashtop. Splashtop helpt de risico's die inherent zijn aan VPNs te verminderen, omdat u hiermee alleen uw desktop kunt streamen. Dit betekent dat de data in uw bedrijfsnetwerk zijn beschermd, omdat u alleen die gegevens kunt bekijken. Alle data bevindt zich nog steeds binnen uw bedrijfsnetwerk.
Als ik daarentegen een VPN gebruik, kan ik downloaden wat ik wil, wat betekent dat hackers hetzelfde kunnen doen. Als ik een tool zoals Splashtop gebruik, kan ik het bestand bekijken en gebruiken, maar ik kan het niet downloaden. Ik kan het zo configureren dat alleen lokale computers er toegang toe hebben.
Daarnaast, nu we het over security hebben, biedt Splashtop bovendien vele andere securityfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), single sign-on (SSO) en meer. Al deze extra beveiligingsfuncties kan een VPN niet bieden.
Je vroeg naar de nadelen van remote access-technologie. Het enige nadeel is dat er een kleine leercurve is wanneer mensen remote access-oplossingen gaan gebruiken. Maar aangezien Splashtop oorspronkelijk is ontworpen voor de consumentenmarkt, is de tijd die nodig is om het te leren minimaal. En met minimaal bedoel ik binnen een paar minuten voor de gemiddelde gebruiker.
Michelle Burrows: Vertel me meer over een VPN vs. Splashtop ?
Jerry Hseih: Soms hoor ik dat het een verschil kan maken of je een vaste investering doet in vergelijking met het abonnementsmodel van Splashtop als je de prijzen van een VPN en Splashtop vergelijkt. Een VPN is een langetermijninvestering die sommige mensen misschien één keer doen. Maar ze vergeten dat VPN-gateways vaak kapot gaan en investeren in een back-upgateway is duur. Bovendien vereist een VPN onderhoud – voor kwetsbaarheids- en patch-upgrades. Splashtop neemt het onderhouds- en beveiligingswerk over. Splashtop is onderhoudsvrij en vierentwintig uur per dag, zeven dagen per week beschikbaar.
Michelle Burrows: Als je niet geobsedeerd bent door veiligheid, wat doe je dan voor je plezier?
Jerry Hseih: Zoals je waarschijnlijk wel hebt gemerkt, heb ik niet veel vrije tijd. Als ik wel vrij ben, ga ik graag golfen. Mijn vrouw is misschien niet gek op mijn werk, maar ik blijf graag op de hoogte van beveiligingstrends en het werk dat ik elke dag doe.