top of page
Foto van schrijverGump

Transformer Talks - Tibo Claesens

Bijgewerkt op: 19 mei

Tibo Claesens is founder van Zerobit, een bedrijf actief in cybersecurity!





Tijdens zijn carrière als Senior Cyber Security consultant bij een ‘Big Four’ bedrijf heeft hij gedetailleerde beveiligingstesten uitgevoerd bij zowel grote als kleine bedrijven. Deze bedrijven variëren van multinationals en fabrieken tot overheidsinstellingen en MKB-bedrijven. Alle kennis die hij uit deze opdrachten heeft opgedaan, wil hij delen en op een persoonlijke manier implementeren, volgens zijn eigen methodologie.


Hij wil end-to-end beveiliging bieden voor alle soorten bedrijven en hen helpen zichzelf te beschermen tegen allerlei soorten cyberdreigingen. (Ransomware, Phishing, Denial of Service, ...)


ZeroBit is HET aanspreekpunt voor KMO's als het over Cyber Security gaat. We bieden een ecosysteem van producten en diensten, welke elk individueel kunnen afgenomen worden, en elk hun eigen waarde geven aan uw organisatie.


Ja/nee vragen


Bieden antivirusprogramma's een volledige bescherming tegen malware?

Nee, zou ik zeggen. Je betaalt wat je krijgt.

 

Als je veel betaalt voor iets die continu op de date is, is de kans groter, maar er zal altijd iets extra zijn dat nog niet gekend is. Dat zal er wel doorglippen. Dus het gaat veel doen, maar niet alles, nee.

 

Is het mogelijk om volledig anoniem te zijn op het internet?

In theorie, ja.


Kunnen cyberattacks voorkomen worden door sterke wachtwoorden te gebruiken?

Ja, maar... Ja, dat is een onderdeel. Je hebt nog veel meer nodig dan alleen maar dat.

 Maar het zal wel helpen, ja.


Zijn openbare wifi-netwerken veilig om te gebruiken?

Nee, nee.


Kunnen kleine bedrijven zich veroorloven om minder te investeren in cybersecurity dan grote?

Nee, allemaal hetzelfde.

 

Zijn menselijke fouten het grootste probleem bij cybersecurity-incidenten?

Ja.


Biedt een VPN-toegang altijd een veilige internetverbinding?

Altijd is een zwaar woord.

Ja, maar als het van een reputabele soort komt, dan is het toch redelijk veilig.


Kan je volledig voorkomen dat een organisatie slachtoffer wordt van ransomware?

Nee, nee.


De podcast

Waarom ben je gestart met Zerobit?

Eigenlijk... Ik werkte voor één van the Big Four. Vroeger was ik senior consultant of senior cybersecurity consultant, wat een duur woord is voor een hacker te zijn.

 

Dat was heel leuk. Je komt op veel plaatsen terecht, grote bedrijven en je komt heel veel mensen tegen. 

Ik heb op locaties gezeten waar ik nooit meer van mijn leven zou binnenraken. Maar ik miste een beetje het persoonlijk contact. Als consultant leer je veel op korte tijd, maar ik miste een beetje mijn eigen ding te doen. Ik kom uit een ondernemersfamilie. Het zijn allemaal ondernemers.

 

En ja, dat menselijk contact miste ik wel. Op een gegeven moment, toen ik bij die Big Four zat, kreeg ik de vraag van... Kijk, we zitten hier met een vriend van de manager. Die heeft hier een app. Wil jij een pentest doen? Geen probleem!


Samen met een consultant van ons team doen we een ethical hack tot op het einde, zoals normaal.

We leveren een rapport op. Maar ik begin me vragen te stellen over wat een app doet. We testen het dan en leveren het op.

 

Je legt uit wat we gevonden hebben. Die reactie op hun gezicht te lezen, was gewoon de max. Hoe ze reageren op wat je brengt, dat gevoel zal ik nooit vergeten. Ik heb dat toen ook aangegeven. Dit is wat ik echt wil doen.

 

Uiteindelijk heb ik niet meer de opportuniteit gehad. Ik dacht, dan doe ik het gewoon zelf. En zo is Zerobit ontstaan.


Om gericht die kleinere bedrijven te helpen. Ze hebben recht op security. Ze moeten zichzelf verbeteren, zichzelf beveiligen. Ze zijn even erg een target als die grotere. Maar die relatie met die bedrijven vind ik gewoon de max. Dat is wat mij dag in dag uit drijft.


In de ja - nee vragen gaf je aan dat er geen verschil is tussen grote en kleine bedrijven op vlak van security. Is het niet zo dat kleinere bedrijven minder kapitaalkrachtig zijn om de investeringen aan te kunnen?

Ja, zeker en vast. Nu moet je ook weten, de investering is wel gelinkt aan de grootte.

 

Als wij bijvoorbeeld een infrastructuur gaan testen. Een computernetwerk of een netwerk van systemen. In het geval van een KMO zullen dat kleinere systemen zijn.

 Ja, onze test is snel rond. Gaan we bij een ander bedrijf waar er 100 servers in de kast staan? Ja, daar gaan we langer mee bezig zijn.


Dus je gaat meer tijd nodig hebben. Dat is het groot probleem met onze cybersecurity-ethical-hack-testen. We zijn gelimiteerd in onze tijd.

We kunnen maanden aan een stuk testen, maar niemand gaat dat betalen. Terwijl een echte hacker... Die heeft tijd genoeg. Die werkt dag in, dag uit als hij wil, totdat hij iets vindt.

 

We moeten diezelfde resultaten vinden in een bepaalde timeframe.


En merk je dan dat er bij kleinere bedrijven grotere misvattingen zijn over cybersecurity?

Nee, niet altijd. We werken soms ook echt met starters.

 

En wat we daar vaak zien, of wat ik al heb gezien, is dat als die van begin af aan, bij de origine van hun bedrijf, bezig zijn met security, dat zegt zich meteen door naar later. We hebben één van onze vrienden of bedrijven die we helpen. Die zijn van dag één bezig geweest met security.

 

Daar vinden we bijna niks van issues. We hebben dan een test gedaan, een greybox-test heet dat dan. Dus je krijgt een account waarmee je kunt inloggen in een applicatie om te testen.

 

Daar is bijna niks uitgekomen. Dat was een van de kleinste rapporten ooit. Toen hebben we gezegd, misschien moet je doorstappen naar een whitebox.

 

Zijnde, hier is de login en hier is de code. Dat we ze naast elkaar kunnen leggen. En dan vonden we wel een aantal zaken. Maar voor de rest was dat echt goed in orde. Die waren bezig met, we steken alles in de cloud bij AWS, we gebruiken dit voor die security, dat voor die security. Die waren daar snel mee bezig.

 

Gaan we naar grotere, dan is het soms... Het werkt, oogklappen op. Het werkt en het is goed. Die gaan niet zo innovatief met ons springen met die zaken.


Zijn er volgens jou grote verschillen tussen het OT, Operation Technology, de vloer, en het klassieke IT-omgeving qua security? Moet je dat ook anders aanpakken? Of is er een andere checklist bij jullie hackers? Of is dat dezelfde manier van aanpakken?

Voor een hacker... Dat zullen we parkeren tot straks.

 

Maar zeker voor de verdedigende kant, of de kant die het gaat bekijken om te verdedigen, dat is een andere filosofie. In IT-security gebruiken we de CIA. De confidentiality, integrity, availability.

 

Dat zijn de bedrijven. Dat is echt hetgeen dat we opvolgen in orde van belang. Maar in OT is het volledig andersom.

 

Is je availability veel belangrijker dan je confidentiality? Als iemand kan meelezen als je een PLC één of nul uitstuurt, ja, dat is iets minder belangrijk dan een machine die stilvalt. De availability is er niet meer. Dus daar moet je rekening mee houden met hoe je dat opvolgt.

 

En ja, als hackers zijn, daar gaan wij niet direct rekening mee aan. Wij zoeken voornamelijk de zwaktes. Als je OT-machines op je IT-netwerk zitten, dan is zwakte nummer één snel gemaakt.

 

Daar moet je een mooie grens tussen zetten.

Maar er is wel een andere manier van denken. We vragen altijd mooi. Als er OT, operational technology, in het netwerk bevindt, vragen we altijd zeker of het gescheiden is.

 

Ze zeggen altijd ja, maar we vinden toch een manier om erin te geraken. Dus dat is niet zo moeilijk.

 

En wat is voor jou gescheiden? Want dat kun je er ook laten zijn. Velen gaan dat dan zien als gescheiden. Het zit apart, het zit niet op het internet.
Of het gaat via firewalls of andere... Het is gescheiden, maar toch niet fysiek gescheiden. Dus wat begrijp je daaronder dan?

Ja, dan kijk ik altijd naar één model waar je verschillende lagen hebt die je niet mag skippen. En dan zeker je DMZ, je Demilitarized Zone, waar je niet zomaar een jump kunt maken van dit toestel naar het andere, zonder bepaalde checks te doorlopen.

 

Is er ergens een omgeving waar je moet doorloggen, dat je bijvoorbeeld een jumphost hebt, dat is wel gescheiden. Aparte VLANs, aparte fysieke netwerken, aparte sites enzovoort. Dat is wel gescheiden.

 

We hebben een klant gehad en die zei tegen ons dat je van het OT-netwerk geen schrik moet hebben. Ja, wat bleek, één van de Windows-settings stond niet goed, waardoor we alle paswoorden zagen van de machines in het OT-netwerk en daarbuiten, dus andere service accounts van bepaalde systemen. Eén daarvan was het, ja... Allee, ik heb het niet meer... Ja, de Video Surveillance User.

 

Dat is een user in het IT-netwerk. Goed, we kijken naar die user, waar kan die overal op inloggen? We vonden een machine die in beide netwerken zat. Dus daar zat een brug van het ene naar het andere netwerk, waardoor we met die user alle camera's konden bekijken.

 

Dan zagen we mee in de fabriek wat er allemaal aan het gebeuren was. Maar wat bleek dus ook, dat die van die machine wel aan die PLC's kon, of wel aan die CNC's kon, of wel aan die ovens kon. Ja, is dat gescheiden? Ja, maar het was dan gescheiden met een bug in, zal ik zeggen.


Je kunt niet alles gaan toetimmeren, alle poorten toetimmeren of wat dan ook. En anderzijds moet dat wel veilig kunnen werken. Dat bedoel ik met cyberveilig.


Heb je daar een aanbeveling toe of...

Dat vind ik een hele moeilijke. Het is een hele moeilijke, zeker en vast. Want zeker in de cybersecurityspace alleen is er altijd een balans te wegen.

Dat zijn de usability versus security. Je kunt je site bij wijze van spreken afsluiten met biometrics en een druppeltje bloed. En wat is dat allemaal? Om een beetje zot te doen.

 

Ja, user-friendly is dat niet. Maar ja, het is daar de balans te maken. En dat is waar wij ook wel altijd tussenkomen.

 

We kijken het eerst van een hackerspoint. Oké, we hebben dit allemaal gevonden. En voordat we een rapport opleveren, gaan we eens luisteren.

 

We hebben dat gevonden. Wat is jullie counterargument daarvan? We gaan nooit zeggen dat dat niet mag. Want wij zien maar van één ooghoek.

 

Zij komen af met dat ze dat zo doen, want... En dan is het een discussie, maar dan bekijken we of we een gulden middenweg kunnen vinden.


Wat is Zero-feed?

Onze eerste insteek was, toen we Zerobit pas starten, kreeg ik de vraag van een van onze klanten. We hadden het rapport opgeleverd en dan stond er: , verouderde software.

 

Dan zegt de klant, hoe gaan we dat opvolgen? We willen weten dat er nieuwe kwetsbaarheden zijn, maar hoe moeten we dat opvolgen? Dus ik begon met een scriptje te schrijven dat je een softwareversie moest meegeven en dat gaf de kwetsbaarheden terug. Ondertussen is dat gegroeid en is dat een verkoopbaar product waarin we een dashboard gaan maken voor de KMO. Waarin we bepaalde scans kunnen doen, passief, actief, web-gerelateerd of infrastructuur-gerelateerd.

 

En dat gaat al die assets gaan verzamelen, software, hardware, IP-adressen, domeinnamen, en die gaat daar kwetsbaarheden op detecteren. Die gaat u daaraan linken en die maakt voor u een dashboard. En dat is zowel voor de zaakvoerder als de technische.

 

De zaakvoerder ziet een grote meter, een cirkel met erin een percentage. Hoe meer groen, hoe voller, en hoe leger, hoe meer rood. De zaakvoerder ziet dat en zegt oei, we zijn gezakt.

 

Dat is een mooi histogram. We zijn gezakt, wat moeten we doen? De IT'er doet dat open, scrollt naar beneden en ziet meteen dit zijn mijn meest kwetsbare assets, dit zijn de exploitable vulnerabilities. Maar heel licht te gebruiken.

 

We hebben een aantal klanten die dat gebruiken. Die zeggen ja, we zijn met twee, drie IT'ers in ons gebouw hier. We willen gewoon in één keer weten op wat moeten we nu focussen, wat moeten we nu gaan updaten? Zijn er nieuwe kwetsbaarheden voor ons?

En dat was onze insteek.

 

Zo gebruiksvriendelijk mogelijk voor alle lagen binnen een bedrijf. Voor een KMO-prijs. We proberen laag te prijzen.

Want we merken soms dat voor KMO's, ze weten niet waar te beginnen. Terwijl als we aan onze toer gaan zetten, we doen een passieve scan, dus dat is niet eens iets actief, een passieve scan.

 

We vinden alle subdomainen, identificeren zoveel mogelijk software dat daarop draait en gaan meteen de kwetsbaarheden bevinden, dumpen dat in heel de dashboard en ze kunnen meteen van start gaan. Ja, bij wijze van spreken voor bijna niks. En dat is hoe we dat zien, maar er worden ook tools ondersteund die al effectief in de markt zijn, die daaraan gekoppeld worden met een API of rapporten uploaden.

 

Dus we vinden het warm water niet uit, we verbinden gewoon zaken die al bestaan. Ja, dat is bijna quasi-secure.


Is jullie tool wel beveiligd?

Er wordt gepentest, veilig zijn we zeker.

 

Niet door ons. Nee, ex-collega's. Ik vraag hen, heb je zin om een pentestje te doen? En dan testen ze dat.

 

Dat is wel het voordeel, want we hebben een pentester in dienst en we hebben een developer in dienst. We zitten tegenover elkaar, face-to-face, met scherm tussen. En de developer is aan het programmeren, dat is een echte pentester.

 

Dan probeert hij binnen te geraken of iets te mispeuteren. Dus het is een continue challenge om in te breken.


Een kat en muis spel

Jammer genoeg is dat het altijd een kat- en muisspel blijft.

 

Defensive side, blueteaming, bij wijze van spreken. Die kunnen maar gebaseerd worden of kunnen maar verdergaan op zaken die gekend zijn of toch gekend zijn binnen een bepaalde limiet. Iedereen in een bedrijf heeft een takenlijst en vaak wordt security daarop gelegd.

 

Dat moet ook gedaan worden. Kom daar maar boven om de stapel te liggen. Terwijl de echte hackers, state-sponsor-hackers of wat dan ook, die gaan dingen vinden, niet vertellen aan de rest.

 

Ze gebruiken dat zelf voor hun eigen profijt totdat iemand het een keer ontdekt en dan wordt dat gekend. Oké, er zijn mensen die dag in dag uit op zoek zijn naar kwetsbaarheden om dat te gaan rapporteren, maar ja... We moeten altijd verdergaan op nieuwe zaken die gekend of door iemand anders ontdekt zijn om daar nieuwe dingen op te creëren, om te verdedigen.

 

En als je dan kijkt naar jullie klanten, heb je een voorbeeld van wat het gevolg of de impact is geweest van een bepaalde cyberattack bij een klant?

Bij onze klanten nog niet. Bij mijn vorige werkgever hebben we wel een instant response moeten nemen. Zijnde, telefoontje, komt binnen, "help, we zijn gehackt."

 

"Alles ligt plat, kom helpen." Dus dan gaan we naar daar en moeten we gaan identificeren wat er hier eigenlijk gebeurt. Tuurlijk, we hebben een heel plan dat je moet kunnen detecteren, je moet een bepaald plan volgen dat je hebt opgemaakt, een instant response plan.

 

We zien dat dat niet overal het geval is. Bij sommige bedrijven is het heel duidelijk dat het er wel is. Er gebeurt iets, wie moeten we contacten? De pers? Oké. Wie gaat de pers doen? Wie gaat die mensen bellen? Andere mensen... Andere stappen zijn... Oké, we gaan het isoleren, het geval waar we het hebben gevonden. We gaan het isoleren, we gaan het verwijderen.

 

En we gaan recoveren, we gaan terug naar de vorige. Hebben we backups? Ja, nee, enzovoort. Dus er zijn verschillende stappen die daarbij horen.

 

En het ergste dat we tot nu toe hebben gezien is gewoon echt heel het gebouw dat leeg is. Niemand kon komen werken. Alle systemen lagen plat, alle files geëncrypteerd.

 

Ja, als grote productielijn of wat dan ook, dan kost het geld, hè. Dan kost het geld één, omdat je plat ligt. Twee, omdat iemand je moet komen helpen.

 

En drie, als je een ransom betaalt, is het drie keer wat het geld kost. Vier, reputatie. Ook belangrijk.


Komen jullie meestal te laat of meestal te vroeg bij jullie klanten? Wat is de tendens? Is cybersecurity hotter aan het worden?

Dus eigenlijk, voor ons, voor Zerobit, is dat een beetje 50-50. We hebben klanten die naar ons komen en zeggen van... We hebben in het verleden iets voor gehad, IT heeft dat goed opgevat, maar we willen toch een extra check. En het andere is van, we willen echt niets voor hebben, kom maar eens langs.

 

Dat is echt mooi in balans. Degenen die iets voor hebben gehad... Ik zal niet zeggen dat die zwaar afgezien hebben, maar dat die redelijk snel terug op de poten waren. In ons geval.


 Het CCB

CCB, het Center for Cyber Security in België, die hebben een heel mooi framework gemaakt, Cyber Fundamentals, die echt voor KMO's gemaakt zijn, maar wel gebaseerd op bestaande. Eigenlijk gebaseerd op de twee grootste, ISO 27-001, Information Security. Dat is een hele goeie.


Meer weten? Bekijk of beluister de podcast!


Vergeet ons zeker niet te volgen?

En heb je zelf een topic waarover je meer wil weten? Of je wil zelf eens op de podcast komen? Contacteer ons



Comments


bottom of page