Niet alleen Olafs kennis ván het vak maar ook de passie vóór het vak, is groot. En hij groeit met de dag. Of eigenlijk: met elke hack, met elke challenge. ‘’Zoals denk ik voor veel cyber security-experts geldt, is het bij mij begonnen op de middelbare school. Een beetje klooien met computers, een keer zelf een kast of website bouwen en jezelf steeds een beetje beter maken. Het programmeren lag me en daarmee lag informatica als studiekeuze voor de hand. Wist ik wat ik ermee wilde doen? Zeker niet. Maar daar groei je in. Tegen het einde van mijn studie kwam ik echt in aanraking met cyber security. Door een uitnodiging voor Capture The Flag (CTF) werd die affiniteit een focus. Hier wilde ik meer van.’’ ‘’CFT, voor wie het niet kent, zijn challenges waarbij je met een team de aanval opent op een systeem om er in door te dringen. Hacken in spelvorm, zeg maar. ‘Ik startte in het universiteitsteam van Universiteit Twente. De allereerste keer dat we meededen was het nog geen denderend succes, maar cyber security is in de eerste plaats learning by doing. Tegenwoordig speel ik met mensen van Challenge the Cyber. Challenges zijn ontzettend belangrijk voor mijn werk en andersom. Hoe vaker ik speel, hoe groter mijn mentale bibliotheek wordt. Wat kan ik waarvoor inzetten? Welke shortcuts zijn er en welke risico’s? Wat ik tijdens een challenge probeer en leer, neem ik mee naar cases voor klanten. Wat ik op de vloer leer tijdens een opdracht voor een klant, zet ik in om die vlag te veroveren.’’

Twitter bij je ochtendkoffie ‘’Het teamgevoel binnen de community is ook los van die challenges heel groot. We strijden allemaal voor hetzelfde doel, tegen dezelfde criminelen. De kennis die we opdoen in ons vakgebied, delen we. Elke dag struin ik Twitter af op zoek naar belangrijke informatie. Nieuwe hacks, nieuwe trucs. Bij Deloitte werken wij voor onze analyses en oplossingen met open source tooling. En heb ik iets gemaakt, dan bied ik dat ook actief aan. Dat is om anderen weer te helpen, maar ook omdat ik trots ben op mijn werk.’’

Blue team, red team, één team Olaf werkt binnen Deloitte in het zogenaamde ‘blue team’, team vigilant. Het is het verdedigende team, naast het ‘red team’ dat verantwoordelijk is voor de aanval. De termen komen uit het leger: tijdens Red Team testing testen militaire eenheden elkaar op hun zwakheden en kwetsbaarheden. Daarbij valt een Red Team een Blue Team aan. ‘’Wij werken met vijf teams: strategie (hoe kunnen bedrijven weerbaarder worden?), offense (ethische hackers die de kwetsbaarheden blootleggen), digital ethics and privacy (wat is de impact van digitale technologie zoals machine learning), identity and access management (hoe stellen we het login proces zo veilig mogelijk) en team vigilant: het team waarin ik werk. Wij houden ons bezig met monitoring, security engineering en instant response: het ingrijpen bij een incident. De ene keer is het een incident op kleine schaal waarbij op één laptop een virus alert is afgegaan en we het risico op meer schade moeten beperken. Maar het kan ook op grote schaal zijn, een hack waarbij ransomware is geplaatst.’’

Terug naar de bron ‘’Stel: we hebben te maken met een ransomware attack. Dan willen we zo snel mogelijk alle logininformatie. Dat werkt het lekkerst als een klant gebruikt maakt van SIEM (Security Information and Event Management). Zo hebben we alle cruciale logs op één centrale plek en vinden we daar hopelijk de infectiebron. Is er geen sprake van centrale opslag, dan vallen we terug op het maken van forensische kopieën van zoveel mogelijk servers en laptops. Of als er meer haast geboden is, maken we gebruik van triagescripts; we pakken dan alleen de logs en artifacts van servers en laptops die nodig zijn voor het onderzoek. Doel is om terug te halen waar aanvallers wel of niet zijn geweest en tot welke systemen ze wel of geen toegang hadden.’’ Containment, eradication, recovery ‘’Het oplossen van de security breach kent drie fases: fase één is containment: waarin we verdere verspreiding voorkomen. Fase twee is eradication: het lossnijden van de toegang van aanvaller zodat zij niet opnieuw controle kunnen nemen. En ja, soms is dat gewoon letterlijk de internetstekker eruit. Wat uiteindelijk het meest praktisch en duurzaam is, is volledig afhankelijk van de situatie. Fase drie is recovery: de operatie ‘schoonmaken’ en weer op gang brengen. Is er malware geïnstalleerd, dan is het verwijderen daarvan de eerste stap, waarna alle wachtwoorden gewijzigd moeten worden. Indien nodig kunnen we ook een strengere firewall instellen. Hoe sneller hoe beter, zodra er een infectie is ontdekt in één onderdeel van het bedrijf, is het een kwestie van uren waarin de aanvallers ook andere delen kunnen besmetten. Het is dan ook zaak om daarvoor die onderdelen te isoleren. Als alles al op slot staat en het is een groot bedrijf, dan kan het een kwestie van weken zijn voor je weer up and running bent. Bij een grote besmetting kijken we daarom altijd naar welke onderdelen kunnen worden vrijgegeven voor een reinfection zich kan voordoen.’’

Serieuze, geprofessionaliseerde criminaliteit ‘’Het gaat hier om grootschalige cyber crime. Bedrijven worden afgeperst voor miljoenen. Het zijn serieuze operaties. Net zoals dat wij een red, blue en strategisch team hebben, hebben zij een servicedesk, bouwers, strategen. Het is een geprofessionaliseerde business en de impact is gigantisch. Een algemene trend is dat er op grote schaal wordt geprobeerd toegang te krijgen, door middel van een phishingmail. Er hoeft maar één medewerker te klikken en ze hebben een voet tussen de deur. Dan wordt er gekeken met welk bedrijf ze te maken hebben en wat de waarde is. Deze informatie en toegang is een verdienmodel op zich: hackers verzamelen de informatie om door te verkopen aan andere partijen, die de vervolgens hun foothold binnen het bedrijf zover uitbreiden dat ze uiteindelijk het bedrijf op slot zetten; zogenaamde ransomware operators. Ten slotte komt er dan weer een andere partij de onderhandelingen doen. Rond de kerst vreesden we bijvoorbeeld voor de kwetsbaarheid in Log4J: via deze loggingmodule in softwarepakketten kon er met een relatief eenvoudige hack remote code execution worden verkregen op het systeem waarop de kwetsbare software draait. Als deze toegang vervolgens wordt gekocht en gebruikt door ransomware operators had de kerstvakantie er heel anders uitgezien. Het viel gelukkig mee, maar we weten niet wat er nog gaat komen. Alle risico’s, incidenten en succesvol toegepaste oplossingen rondom Log4J vond ik ook via Twitter. Zo bereid ik me voor op wat mogelijk komen gaat voor klanten.’’

De gouden driehoek van effectieve security Die passie heeft bijna elke cyber crime-expert, maar het is lang niet altijd technisch, legt Olaf uit. ‘’Cyber security bestaat uit drie componenten: Human, Technology en Process. Je technologie is zo goed als de mensen die er mee werken. Heb je een geweldige veiligheidstool ontwikkeld, maar vinden medewerkers het gebruik ervan te veel moeite? Dan zullen ze het niet gebruiken en is je werk voor niets, met alle gevolgen van dien. Om mensen mee te nemen in het hoe en waarom, richt je je processen goed in. Het één kan niet zonder het ander, en daarom zijn er zoveel verschillenden mensen, interesses en passies nodig. Alleen al bij ons werken meer dan 250 personen, ieder met een andere discipline waar hij of zij zich met ziel en zaligheid inzet. Alleen door die diversiteit te combineren, kunnen we dat kat-en-muisspel winnen.’’

CHOOSE YOUR IMPACT Jouw talent deel je met de 900 collega’s van de verschillende Strategy, Risk & Transactions Advisory afdelingen van Deloitte. Binnen onze teams staan samenwerken en persoonlijke ontwikkeling centraal. Bekijk alle Strategy, Risk & Transactions Advisory vacatures [https://werkenbijdeloitte.nl/vacatures/strategy-risk-transactions-advisory] en koppel jouw toekomst aan Deloitte. Bekijk alle Strategy, Risk & Transactions Advisory vacatures [/vacatures/strategy-risk-transactions-advisory]