Inmiddels een terugkerende meet-up, en dit jaar hybride: de Tweakers meet-up Privacy & Security. Ook engineers van True waren aanwezig bij de keynotes en diverse sessies. In deze blog inzichten, tips en tools die ons opvielen: een heads-up voor start-ups in cyber security als het om data governance gaat, hardware hacking en Confidential Cloud Computing.
Data governance voor cyber security start-ups
De keynote van het event kwam van Melanie Rieback, oprichter en CEO van Radically Open Security (een not-for-profit computer security organisatie) en Post Growth, een start-up incubator voor non-profit en not-for-profit organisaties. Haar betoog: de veelgebruikte manier waarop start-ups worden gevoed met investeringen, werkt niet altijd het beste voor cyber security en data governance.
Die ‘reguliere’ manier van start-ups om te groeien, is om venture capital aan te trekken. Alleen voor investeerders geldt: voor elke start-up die slaagt, mislukken er 9 anderen. De druk op die ene start-up om een zogenaamde unicorn te worden (een bedrijfswaardering van meer dan 1 miljard Amerikaanse dollar), is vanuit de investeerders enorm hoog. Met de investeringen wordt echter de waarde van het bedrijf kunstmatig verhoogd; 90% van alle unicorns schrijft rode cijfers, ook bedrijven die al lang bestaan. ‘Plofkippen’ omschrijft Melanie deze bedrijven: bedrijven waar de waarde kunstmatig hoog is door het kapitaal van investeerders, in plaats van gebaseerd op daadwerkelijke inkomsten.
In de cyber security branche is dat niet anders. Alleen: als het puur om de waarde van het bedrijf gaat, gaat het niet meer om het product zelf, namelijk verhogen van de veiligheid. Door de focus op de waarde, ontstaan bedrijven die in silo’s werken. In tegenstelling tot cybercriminelen die samenwerken, gespecialiseerd zijn en gebruik maken van elkaars krachten. Cyber security start-ups zouden volgens Melanie veel meer moeten samenwerken, open en transparant, en werk en informatie delen. Alles om cybercriminelen voor te blijven!
Daarvoor is het wel belangrijk om verder te kijken dan het bekende model van investeringen. Melanie gaf mee dat er nu nog te weinig plekken zijn voor start-ups om het op een andere manier te leren. Om je bedrijf te bootstrappen zónder investeerder. Niet je bedrijf bouwen om te verkopen, maar juist bouwen voor lineaire, gestage groei en geoptimaliseerd voor sociale waarde. De blik verbreden en verder durven kijken dan het Sillicon Valley model.
Het inzicht dat Melanie meegaf: wees je als start-up bewust van businessmodellen. Het hoeft niet altijd met venture capital van investeerders te gaan. Ook het model van steward ownership is een mogelijkheid. Daarbij is het voor eigenaren onmogelijk om het bedrijf te verkopen en voor investeerders onmogelijk om het bedrijf te kopen. De foundation van het bedrijf is eigenaar van 100% van de aandelen en de board blokkeert, volgens akte, de verkoop van het bedrijf. Dat om de missie van het bedrijf en data governance te beschermen.
Bij testen van software of apps, test je dan ook hardware?
“Als de kast dicht is, is de hardware veilig” … het klinkt als hacking uit de jaren ’80. Terwijl de uitspraak met zoveel meer Internet of Things (IoT) devices al lang niet meer klopt. De hoeveelheid aanvallen op IoT apparaten, software én hardware, neemt toe, tot 1,5 miljard aanvallen wereldwijd in de eerste zes maanden van 2021 volgens Kaspersky. Een verdubbeling ten opzichte van het halfjaar ervoor.
Dit geeft Jilles Groenendijk, hardware hacker, in de sessie mee. Hij controleert de hardware van apparaten (zoals smart tv’s en slimme lampen) of ze veilig zijn en geeft trainingen voor veiligheids-bewustzijn.
Met zoekmachines als Shodan is te zoeken naar andere poorten dan gebruikelijke waar websites mee toegangelijk zijn. Denk aan toegang tot routers, webcams, babyfoons, slimme keukenapparaten, maar ook medische apparaten en kerncentrales. In het verleden heeft bijvoorbeeld een DDoS-aanval de verwarming in een deel van Finland platgelegd. Op diezelfde manier zijn hoteldeuren te vergrendelen of ontgrendelen, kunnen babyfoons worden overgenomen en kunnen webcams ineens tegen argeloze gebruikers in een andere taal praten.
De grootste tip van Jilles is dan ook: laat ook je hardware testen/hacken!
En vraag je bij de aanschaf van apparatuur af: is het echt nodig dat dit apparaat aan het internet hangt? Welke data is nodig en waarom zou het apparaat dat opslaan? Hoe staan data opgeslagen, hoe worden data verstuurd en verwerkt?
Security van gegevens in verwerking: confidential computing
De toekomst is (nog meer) de cloud. Alleen: de complexe infrastructuur zorgt wel voor veiligheidsproblemen, stelt Jethro Beekman, Technical Director van Fortanix, data-first multicloud security bedrijf.
De mogelijkheden om in te breken, worden bij de standaard infrastructuur voor een webapplicatie steeds groter: van load balancer tot applicatie server tot communicatie met database servers. Op elke plek in het traject kunnen gegevens van gebruikers toegankelijk zijn. Voor databeveiliging zijn al standaarden als TLS en harde-schrijf-encryptie beschikbaar. Dat beslaat echter maar een deel van het traject. Data-opslag is beveiligd, communicatie van data is versleuteld, maar hoe zit het dan met gegevens in verwerking? Gegevens in gebruik zijn vaak nog niet (goed) beveiligd.
Een oplossing daarvoor is Confidential Computing. Dit beschermt gegevens in gebruik, dekt overblijvende risico’s van de cloud af en biedt tegelijk bewijs van de bescherming, in de vorm van een attestation.
Hoe werkt Confidential Computing?
Het eerste deel vormt bescherming. In een standaard situatie bevindt zich op de hardware een hypervisor met meerdere VM’s en processen die op die VM’s draaien. Vanuit de VM kun je niet bij de hypervisor komen, maar andersom wel: vanuit de hypervisor kun je wel bij de VM en de app komen. Als daar gegevens worden verwerkt, zijn ze niet goed beveiligd.
Met Intel SGX maak je een veilige enclave binnen de VM, waar zowel de hardware, hypervisor als VM zelf niet bij kunnen komen. Geheugen en gegevens in verwerking zijn niet toegankelijk voor de rest van het systeem.
Daarna volgt bewijs. Op dit moment moet het apparaat van de gebruiker de cloud maar geloven dat het echt die specifieke app is die wordt gedraaid. Om te verifiëren dat het écht die app is, kan een remote attestation gebruikt worden, een getuigschrift waarmee de identiteit van de app wordt bevestigd. Het is, net als bij een check op een TLS certificaat, verifieerbaar dat het deze specifiek app is die draait, en geen andere.
Een remote attestation is ook te gebruiken voor authenticatie tussen de app en de database. Voor elke database geldt dat er ergens een wachtwoord in een configuratie is opgeslagen. Zodra je bij dat wachtwoord kunt komen, heb je toegang tot de hele database, met dezelfde rechten die de app heeft. Met een remote attestation is het voor de database server zeker dat het de app is die gegevens opvraagt, en geen losse gebruiker, gewijzigde app of vraag voor database dump.
Een voorbeeld dat Jethro gaf: klinisch onderzoek in de gezondheidszorg. Bij een dergelijk onderzoek worden gevoelige gegevens verzameld over hoe het onderzoek werkt, verloopt, en medische gegevens van deelnemers. Al die gegevens staan op het systeem van het onderzoekslab opgeslagen en vaak ook op een centraal systeem, om de gegevens te kunnen analyseren. Met Confidential Computing komen de gegevens nooit buiten de enclaves.
Aan de slag met Confidential Computing
Zelf aan de slag met Confidential Computing heeft nog wat haken en ogen 😉 Door het proces in een enclave af te schermen van de rest van het systeem wordt communicatie naar buiten ook lastiger. Een VM en hardware zijn nodig om met de buitenwereld verbinding te maken. Daar is een helper app voor nodig, die de communicatie beveiligd kan regelen tussen de enclave en de VM. Dat maakt het uitdagender om een app beveiligd in de enclave te draaien.
