Tell it to the Marines: Leadership Principles and Network Security
Het is na sluitingstijd op een vrijdag. Je praat met een externe medewerker over het installeren van een next-generation firewall. Er komt geen verkeer door het netwerk en nu zit u vast aan het project totdat het is opgelost. Weekendonderhoud buiten kantooruren in naam van het verbeteren van de cyberbeveiligingspositie kan een van de meest stressvolle, risicovolle en weinig moraliserende projecten zijn die een organisatie onderneemt. Risico en stress kunnen echter worden verminderd door de planningsmethode toe te passen die door reservisten van het USMC (United States Marine Corps) wordt gebruikt. USMC-planningsconcepten kunnen gemakkelijk worden aangepast aan cyberbeveiligingsprojecten, waardoor de kans op succes toeneemt.
De tactische planning van het USMC richt zich op het toepassen van zes troepenleidende stappen. Dit is de fundamentele aanpak die mariniers gebruiken voor alle operaties. Mariniers gebruiken deze stappen (bekend onder het acroniem BAMCIS) voor het plannen van alles van het jaarlijkse Marine Corps Verjaardagsbal op 10 november tot een aanval op een vijandelijk sluipschuttersnest. BAMCIS is een acroniem voor: Begin met plannen, Regel een verkenning, Doe een verkenning, Voltooi het plan, Geef het bevel en Hou toezicht, en het is een kernbeginsel van de leiding van het Korps Mariniers. Het doel van BAMCIS is om informatie te verzamelen, een plan te maken, uit te voeren en het succes van de missie te verzekeren.1
Gebruik makend van de installatie van een next-generation firewall als illustratief scenario, lopen we door deze troepenleidende stappen en identificeren we hoe ze de kans kunnen vergroten dat apparatuur out-of-the-box werkt en de kans kunnen verkleinen dat je een heel weekend kwijt bent aan het oplossen van problemen.
Stap 1: Begin de planning
Missieanalyse (of projectplanning) begint hier. De dag dat het groene licht wordt gegeven, is de dag dat de planning moet beginnen: Bepaal hoe lang de parallelle infrastructuur zal moeten blijven bestaan. Identificeer welke middelen nodig zullen zijn tijdens eventuele hot-cut migraties. Kwantificeer de impact die de nieuwe netwerkbeveiligingsinfrastructuur zal hebben op de gebruikers van de organisatie. Bereid veel vragen voor tijdens deze stap. U zult een aantal veronderstellingen over het project moeten maken om met de planning te kunnen beginnen. Als het externe kantoor zich buiten de VS bevindt, moeten taalbarrières, exportbeperkingen voor cryptografie en douanekwesties zo vroeg mogelijk worden aangepakt. Het is moeilijk om met succes netwerkbeveiligingsinfrastructuur in te zetten als de infrastructuur of ingenieur vastzit bij de douane!
Stap 2: Zorg voor verkenning
In conventionele oorlogsvoering is deze stap waar je informatie zou verzamelen over de omvang, mogelijkheden en zwakke punten van de vijand. Wat deze stap echter werkelijk beantwoordt, is de vraag “Welke informatie mis ik om succes te behalen? “2 Gebruik alle beschikbare samenwerkingsmethoden om ervoor te zorgen dat alle informatie die nodig is voor een succesvolle uitrol van de netwerkbeveiligingsinfrastructuur lang voor go-live wordt ontdekt. Fysieke vereisten zoals stroom en koeling, veiligheidsbeleid dat de toegang tot de infrastructuur controleert, en foto’s van de locatie moeten worden verkregen. Afhankelijk van de organisatie kan het verkrijgen van de nodige opheldering een project op zich worden, maar het verkrijgen van deze informatie is essentieel voor succes.
Ook informatie die nodig is van de leverancier van de apparatuur moet in aanmerking worden genomen. Of u de next-gen firewall nu rechtstreeks van de leverancier betrekt en het zelf installeert of vertrouwt op een uitbestede leverancier van oplossingen, het hebben van deze informatie voorafgaand aan de daadwerkelijke inzet van de infrastructuur is van cruciaal belang voor succes.
Stap 3: Maak Verkenning
Dit is waar het leiderschap alle beschikbare middelen gebruikt om eventuele informatielacunes te vullen nadat de verkenning is geregeld. In het geval van de next-gen firewall is dit waar we specificaties zouden analyseren om te zorgen voor voldoende ruimte, stroom en beveiliging. Cybersecurity-infrastructuur die zich in een gewone kamer met een verlaagd plafond bevindt, en achter een deur zonder achterklepbeveiliging, en niet in een afgesloten kast, is een probleem dat zich kan voordoen.3 Als uit uw verkenning blijkt dat de locatie niet aan de vereiste fysieke beveiligingsnormen voldoet, moet dit worden opgelost voordat u verdergaat. Het benaderen van de teams die te maken hebben met de beveiligingsinfrastructuur is de sleutel tot het vullen van de informatielacunes die nodig zijn om een pijnlijk weekend lang troubleshooting te voorkomen.
Stap 4: Voltooi het plan
In stap één zijn veel vragen en aannames geformuleerd om het plan van de grond te krijgen. Nu is het tijd om die vragen te beantwoorden en al die veronderstellingen te onderzoeken. Word niet verliefd op uw plan. Peer review is van cruciaal belang. Bij het schrijven van installatieprocedures kan het bijvoorbeeld vijf minuten duren om een tikfout te vinden in verband met het aansluiten van de next-gen firewall. Als die typefout niet wordt gevonden, kan het vele uren duren om te troubleshooten waarom er geen verkeer doorstroomt. Begin na te denken over alle mogelijke faalwijzen met betrekking tot de implementatie.4 Het laatste wat gewenst is, is minder veilig te zijn of dat het onderhoudsvenster de verwachtingen overschrijdt, met een onmetelijk negatieve impact op de organisatie. Het voltooide plan moet rekening houden met het wijzigen van de standaard administratieve accountgegevens, het uitschakelen van ongebruikte poorten en diensten, en de door de leverancier aanbevolen beste praktijken. Maar al te vaak worden deze zaken over het hoofd gezien wanneer wordt geprobeerd de oplossing voor de deadline te implementeren, dus zorg ervoor dat ze in het plan worden opgenomen.
Stap 5: Geef de order
De meeste militaire operaties omvatten de uitgifte van een “Five Paragraph Operations Order.” Dit is een duidelijke en beknopte samenvatting van de essentiële informatie die nodig is om de operatie uit te voeren. Wij streven naar eenzelfde soort duidelijke en beknopte instructies.5 Alle informatie voor een succesvolle invoering van een netwerkbeveiligingsinfrastructuur moet worden overgebracht aan degenen die het werk doen. Dit omvat schriftelijke instructies, het gebruik van conferentiegesprekken, virtuele whiteboards en screen captures. Een breed communicatieplan kan veel problemen oplossen voordat ze de kans krijgen om problemen te worden. Hoewel niemand de hele dag in vergaderingen wil doorbrengen nadat de definitieve instructies zijn verzonden, moet de tijd worden genomen om te zorgen voor gemeenschappelijk begrip lang voordat de verandering van de netwerkbeveiligingsinfrastructuur begint. Ga ervan uit dat niemand uw e-mails leest of naar uw ideeën luistert in de vergaderzaal, stel teamleden vragen over het plan en zorg ervoor dat ze antwoorden met de juiste antwoorden!
Stap 6: Toezicht houden
Zonder toezicht neemt de kans toe dat mariniers slechte beslissingen nemen, zoals niet genoeg water drinken voor een hete woestijnloop van drie mijl tot dronken een brandalarm laten afgaan dat meerdere vliegtuigen in schuim bedekt.6 Goed toezicht daarentegen kan ertoe leiden dat mariniers wijze beslissingen nemen die de loop van de geschiedenis veranderen. Netwerkbeveiligingsinfrastructuurprojecten zijn niet anders. Supervisie is van cruciaal belang om ervoor te zorgen dat de klus wordt geklaard volgens plan en in overeenstemming met de gestelde normen. Het USMC beschouwt supervisie als het belangrijkste element in het leiden van troepen. Supervisie is niet alleen de verantwoordelijkheid van de leiding. Alle projectdeelnemers zijn verantwoordelijk voor het uitspreken van hun mening wanneer zij iets onbevredigends waarnemen, zoals een gebrek aan documentatie of een slechte uitvoering van de regels voor het filteren van verkeer van een firewall – zoals zij het zien gebeuren. Het is gemakkelijk om documentatie onmiddellijk na de implementatie te corrigeren wanneer een supervisor inzicht eist in hoe de firewall verkeer filtert. Hoe meer teamleden in staat zijn om wijzigingen in netwerkbeveiliging te oefenen, hoe kleiner de kans op productieonderbrekingen als gevolg van de wijzigingen.
Gezien de opkomst van virtualisatie en cloudtechnologieën wordt het steeds eenvoudiger om projecten voor netwerkbeveiligingsinfrastructuur in een gecontroleerde omgeving te oefenen voordat ze worden vrijgegeven voor productie. Net zoals een commandant van een infanteriebataljon de troepen de waarden bijbrengt van “train hoe je vecht, vecht hoe je traint” wanneer ze zich voorbereiden op de strijd, moet de leiding van een organisatie de waarden bijbrengen die betrekking hebben op het juiste testen en trainen voordat oplossingen in productie worden genomen. Hoe meer teamleden in staat zijn om wijzigingen in netwerkbeveiliging te oefenen, des te kleiner is de kans op productie-uitval als gevolg van de wijzigingen. De meesten zullen het ermee eens zijn dat een nieuwe marinier de grondbeginselen van landnavigatie in een gecontroleerde trainingsomgeving moet leren voordat van hem wordt verwacht dat hij een patrouille navigeert die wordt ingezet in een oorlogsgebied. Op dezelfde manier moet cyberbeveiligingspersoneel de kans krijgen om te leren hoe hun netwerkbeveiligingsinfrastructuurconfiguratie van invloed zal zijn op de data-in-motion van de organisatie in een labomgeving voordat deze wordt ingezet in cyberspace.
Hoewel elke organisatie uniek is, zijn deze zes troepenleidende stappen, afkomstig van het Korps Mariniers, toepasbaar op andere organisaties. Zelfs de meest civiele organisaties kunnen een paar lessen toepassen die zijn geleerd van het leger en die kunnen leiden tot minder pijnlijke ervaringen met het oplossen van problemen buiten kantooruren.
Disclaimer: De standpunten in dit artikel zijn die van de auteurs en vertegenwoordigen niet noodzakelijkerwijs de standpunten van organisaties waaraan zij zijn verbonden.
Bronnen
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., en William L. Simon. Spook in de draden: Mijn avonturen als ’s werelds meest gezochte hacker. Little, Brown & Co., 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940