Blog

Het werk van een SecOps engineer – interview

Hoe houdt een SecOps engineer de stroom aan (nood)patches en updates bij? Hoe zorgt hij dat systemen veilig blijven en welke tips heeft hij voor SecOps engineers? Een kijkje in het werk van Ron, SecOps engineer van Cyso.

Wie ben jij en wat doe je bij Cyso?

‘Ik ben Ron, ik ben de Senior Microsoft Engineer bij Cyso en SecOps Engineer. Dit doe ik al ruim 25 jaar, deze hele eeuw ben ik al bezig met hosting.’

Wat was het meest opmerkelijke in deze afgelopen eeuw van je werkzaamheden?

‘Qua security werkzaamheden is het een stuk makkelijker geworden. In het begin hadden wij geen Google dus zoeken was wat lastiger. Het ging allemaal mond op mond, dus als de ene provider een lek had, dan werd dat doorgebeld naar de volgende en zo verder. Nu krijg je het allemaal aangeleverd. Er is ook veel meer informatie beschikbaar. Hoewel ik niet denk dat er meer lekken zijn, is er nu wel meer bekend. Deze informatie vinden en misbruiken gaat nu gemakkelijker.’

Hoe hou je als SecOps Engineer alle nood updates, patches en lekken bij?

‘Ik heb een hele lijst met RSS feeds gemaakt van verschillende leveranciers die we gebruiken. Zoals Ubuntu, CentOS, Microsoft, Fortinet, A10 Networks enzovoort. Die houden wij in de gaten of zij met patches komen en of zij melden dat iets kritiek is. Want de input van de leverancier is belangrijk. Iemand op het internet kan natuurlijk roepen dat iets kritiek is, maar als de leverancier dan zegt dat je daarvoor eerst aan bepaalde voorwaarden moet voldoen, dan ga ik kijken of er ook echt aan die voorwaarden wordt voldaan. Heel vaak is dat niet zo, omdat wij vanuit Cyso al veel extra maatregelen nemen om de servers van onze klanten zo veilig mogelijk in te richten.’

Hoe doe jij dat?

‘Dat is heel verschillend. In veel gevallen overleggen wij onderling omdat er in het verleden bepaalde beslissingen zijn genomen hoe je een server inricht met security als uitgangspunt. (Lees ook: Security by Design). Zo hebben wij bijvoorbeeld wijzigingen gedaan in de standaardconfiguraties van SSH en die van websites. Van bepaalde functionaliteiten hadden wij al bedacht dat ze niet gebruikt zullen worden. Dan zetten we deze uit, want dan loop je ook geen risico dat het misbruikt kan worden. Als er dan een lek uitkomt in een bepaalde functionaliteit die wij nergens gebruiken op een enkele server na, dan is die impact ook beperkt.’

Hoe maak je een afweging wat prioriteit heeft als er meerdere updates, patches en lekken gelijktijdig zijn?

‘Een lek is pas echt serieus als er publieke kennis is over hoe het is te misbruiken. Vaak worden patches al uitgebracht voordat een exploit publiekelijk beschikbaar is gemaakt. Bijvoorbeeld dat een onderzoeker een melding heeft gemaakt bij een leverancier. “Er is een probleem met je software, dit heb ik ondervonden, hier is een proof of concept, fix het.” Meestal gebeurt dat dan ook en komt er vanuit de leverancier een melding dat er een probleem is gevonden en dat er een patch is uitgebracht. De exploit is in dat geval niet beschikbaar gemaakt voor het publiek.’

Hoe komt het dat zo’n exploit niet beschikbaar is voor het publiek?

‘Een onderzoeker houdt dit voor zich en vertelt dit alleen aan de leverancier. Vaak zegt de onderzoeker dan “je hebt drie maanden om het op te lossen, anders maak ik het openbaar want ik vind het belangrijk.” Daar houdt men zich ook aan. Natuurlijk bestaat de kans dat die onderzoeker niet de enige was die het lek heeft gevonden. Dan is het de afweging hoe ingewikkeld het is om misbruik te maken van het lek. In veel gevallen is dat best ingewikkeld en kan je ervan uitgaan dat het niet gedaan wordt door een scriptkiddie op school. Je moet dan best wel veel verstand hebben van de software of het OS en veel achtergrondinformatie hebben. Onderzoekers werken meestal voor bedrijven zoals Eset en Symantec, dat is hun werk. Die nemen daar ook tijd voor om het te onderzoeken.’

Hoe zorg jij er binnen Cyso voor dat systemen en platformen van onze klanten veilig blijven?

‘Sowieso hebben wij bij Cyso een goed ingericht updateproces waarbij we systemen op tijd patchen. Als er tussentijds een kritiek lek uitkomt, dan kijken we of het risico voor specifieke klanten zo hoog is dat contact met de klant daarover nodig is. Onze klanten hebben daarin ook wat te vertellen. Als wij het risico heel hoog achten voor hun omgeving dan stellen we een nood ronde in voor die klant. Wij geven altijd aan hoe hoog wij het risico inschatten en als de klant daar anders over denkt dan willen wij daar in mee gaan. Dan patchen wij soms individuele platformen.

Als het risico te hoog is, dan gaan we gelijk patchen en wachten we niet op de klant. De downtime tijdens het patchen is dan minimaal, want anders doen wij het niet tijdens de drukke tijden van een klant.’

Wil je het bijhouden van patches en updates eventueel automatiseren in de toekomst?

‘Dat zou ik heel graag willen, want het is zeker wel een uurtje werk per dag. Maar bij veel meldingen is het toch de menselijke interpretatie die belangrijk is. Je kan natuurlijk zeggen dat je voor sommige platformen alles belangrijk vindt en dat je automatisch updates doet. Maar dan loop je risico dat je downtime krijgt, doordat een systeem door een update of patch gaat herstarten. Dat wil je voorkomen. Ja, het zou mooi zijn als alles automatisch gaat, maar nee dat gaat gewoon niet.’

Denk je dat dit in de toekomst beter gaat door bijvoorbeeld ML en AI?

‘Het verandert natuurlijk constant. Denk bijvoorbeeld aan dat bij Windows van oudsher een reboot nodig is, maar dat is tegenwoordig niet meer zo. Bij Windows updates mag een omgeving van ons maar een aantal keer herstarten, anders duurt een update gewoon te lang. Er is wel heel veel te automatiseren, maar dan verlies je ook wel een beetje controle. Daarnaast heb je te maken met klanten, en klanten hebben ook recht op hun eigen systemen met wijzigingen. Een update ronde kan invloed hebben op de wijzigingen die een klant gemaakt heeft. Of een wijziging kan invloed hebben op de manier waarop wij dingen doen. Helemaal weg automatiseren zie ik nog heel lang niet gebeuren. Wat wel kan is dat wij gevolgschade van een update beter kunnen analyseren (automatisch) dan dat we nu doen. Doordat er veel maatwerk is blijft dit gewoon moeilijk. De verschillen tussen onze klanten zijn enorm door al het maatwerk en hierdoor kan je het moeilijk geautomatiseerd wegwerken.’

Heb je nog tips voor SecOps engineers en developers van onze klanten?

‘Developers gaan natuurlijk voor functionaliteit. Een developer bouwt bijvoorbeeld een functie voor een website en maakt daarvoor gebruik van de componenten waar hij bekend mee is. Alleen zo’n developer heeft ook een learning curve. Toekomstige projecten krijgen andere componenten die hij later leert kennen. Hij moet hierbij de oude componenten niet uit het oog verliezen en deze aanpassen naar zijn nieuwe standaard. Anders vergeet je dat die oude componenten ook problemen kunnen veroorzaken.’

Lees ook: De vele varianten van DevOps

‘Voor SecOps engineers telt dat natuurlijk ook. Blijf die componenten in de gaten houden. Vandaag is het een mooi product, maar over een jaar is het het ergste wat bestaat. Denk aan Flash, toen moesten alle websites het hebben, en nu is het onveilig. Blijf dus op de hoogte van al die ontwikkelingen. ‘

Heb je nog een favoriete site om het in de gaten te houden?

‘We hebben de NCSC, het National Cyber Security Centrum. Zij zijn vaak niet de eerste met meldingen, maar maken wel een goede afweging van het probleem op basis van onze wetten, bijvoorbeeld de AVG. De websites van de leveranciers en andere security advisories moet je ook in de gaten houden. Gebruik je componenten, dan moet je die websites in de gaten houden.

Vergeet ook de achterdeuren niet. Bijvoorbeeld een remote access control om hardware te managen waarbij je inlogt op een console. Update je firmware en zorg ervoor dat het niet openstaat voor het internet. Zorg dat alleen mensen erbij kunnen die daar ook horen te zijn.’

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

Cyso
04/10/2023

Meetup IT=Alkmaar 12 oktober

Op 12 oktober vindt de derde meetup van IT=Alkmaar plaats. En deze meetup vindt plaats op ons kantoor. Kom langs en mis niets. 
16/11/2021

Pentesting moet beter. Maar hoe?

Pentesting moet beter. Maar hoe? Wat maakt regelmatig pentesten een moeilijke opgave en welke kwetsbaarheden vindt men vooral?
30/06/2021

Veilige toegang in jouw hybride cloud landschap

De veiligheid van de verschillende cloud platformen is in de loop der jaren sterk verbeterd en ook rondom privacy en wet- en regelgeving is de situatie nu veel beter geregeld.

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact