Sinds februari 2017 loopt Maliek stage bij SecureLink. Maliek is bachelor ICT student aan de Odisee hogeschool in Gent. Gedurende 14 weken houdt Maliek ons op de hoogte over zijn email security onderzoek (van conceptfase tot uitvoering), inclusief technische doelstellingen. Lees zijn ervaringen bij SecureLink.

De kop is er af! De eerste week stage bij SecureLink zit erop. Maandagochtend bestond uit een rondleiding en uiteenzetting van de stageperiode. In de middag heb ik ter voorbereiding op de training over Proofpoint het PAA curriculum afgelegd. Het PAA curriculum is eigenlijk bedoeld voor klanten van Proofpoint. Het behalen van de examens was voor mij dus geen grote moeite.

De rest van de week bestond uit het volgen van het PCA (Proofpoint Certified Administrator) curriculum. Het curriculum werd gegeven door Ted Brown, waarbij de verschillende modules van Proofpoint werden uitgelegd. Deze zijn in drie delen op te splitsen: Email Protection, Targeted Attack Protection en Information Protection. Email Protection bevat dynamic reputation, anti-spam, imposter email en anti-virus. TAP bevat attachment defense, URL defence en threat insight. En Information Protection bevat email encryption, secure share, email DLP en data discover.

Door deze 4 dagen training heb ik een beter idee waarop verschillende email security vendors zich kunnen onderscheiden tegenover andere. Mijn ‘picture’ rond email security is hiermee verscherpt.

Week 2 begon met een vergadering met de interne IT-leider. Door hem heb ik mijn boot kunnen bijsturen naar een betere/haalbare/’veilige’ koers. Mijn aanpak is specifieker en gedetailleerder geworden. Wat prima uitkomt, aangezien ik een actieplan moet opstellen voor de komende weken.

De rest van de week ben ik druk bezig geweest om de nodige documentatie op te zoeken. Een flink deel van mijn voorstudie is hiermee afgewerkt. Volgende week is mijn mentor van SecureLink, Peter Mesker terug in het land. Dan kan ik hem updaten over mijn actieplan en wat ik deze week gedaan heb. Zodat hij, om in het verhaal van de boot te blijven, ervoor kan zorgen dat ik op koers blijf. Hij kan als het kompas beschouwt worden in dit hele verhaal.

Om dieper in te gaan op de reeds afgewerkte topics van de voorstudie, heb ik de volgende topics besproken: email architectuur, SPF, DKIM, DMARC, dreigingen en gedragingen m.b.t. email security en een klein deel van on-premise vs cloud.

Vooral het laatste topic is moeilijk te behandelen. Voor bijvoorbeeld een degelijke vergelijking van de prijs te kunnen maken heb je heel wat bedrijfsinformatie nodig.

Week nummer drie is afgerond. Deze week stond in het teken van het afwerken van de voorstudie. Deze week heb ik ook kennis gemaakt met Alex. Alex is een stagiair bij SecureLabs en zijn opdracht gaat over de aanvallende kant van mijn opdracht. Mijn onderzoek zal verschillende vendors testen die een oplossing bieden tegen spam, phishing en malware via email. Alex heeft de opdracht gekregen om te achterhalen hoe je zo’n email security gateway omzeilt. Men kan dus stellen dat onze samenwerking voor beide partijen zeer gunstig is. Samen hebben wij kort besproken hoe wij onze onderzoeken gaan aanpakken. Door Alex zijn expertise op vlak van de aanvallende kant krijgt mijn opdracht een kwaliteit boost. Daarom hebben wij besloten om de praktische kant van het onderzoek samen uit te voeren, zodat wij van elkaar kunnen leren.

Mijn voorstudie is voor ongeveer 85% afgewerkt, en bevat 33 geschreven pagina’s. Omdat ik vanuit de hogeschool een richtlijn voor 50 geschreven pagina’s heb meegekregen, heb ik beslist om het on-premise vs cloud deel weg te laten. Mede doordat dit een ‘geloofsdiscussie’ betreft. Hiermee bedoel ik dat de kwestie geen exacte wetenschap is en eigenlijk niet thuis hoort in mijn bacheloronderzoek. Door dit deel weg te laten kan ik een nieuw topic toevoegen dat relevanter is voor mijn onderzoek, namelijk nieuwe technologieën, zoals DANE en SMTP STS.

Met de vierde week achter de rug blik ik even terug op wat ik gerealiseerd heb. Tot nu toe heb ik mij vooral bezig gehouden in het verduidelijken van de opdracht en de aanpak. Mijn voorstudie is voor 98% afgewerkt. De 2% bevat voornamelijk spelfouten die er nog uitgehaald moeten worden. Ook ben ik nog niet zeker wat ik nu ga doen met het on-premise vs cloud gedeelte. Het volledig eruit smijten of gewoon inkorten naar enkele regels. Hierin wacht ik ook op advies van mijn mentor van school.

Wat betreft het praktijkgedeelte van mijn onderzoek. Door samenloop van omstandigheden zal de testomgeving over 2 weken worden opgezet. Hierin zal gebruik gemaakt worden van een bestaande emailomgeving. Deze moet wel nog enkele aanpassingen ondergaan om gebruikt te kunnen worden als testomgeving. Samen met Alex hebben wij ook al enkele afspraken gemaakt om elke vendor op een gelijke manier te testen. Alex vertegenwoordigt het red-team en ik het blue-team in dit verhaal over email security. Alex is momenteel druk bezig met zijn scriptie, maar werkt ook aan zijn plan om de aanvallende kant te vertegenwoordigen. Ook beginnen we op dezelfde golflengte te denken op vlak van afbakening van de opdracht. Bijvoorbeeld is het interessanter om de top tien meest voorkomende bestandsextensie in malafide emails te testen, dan een bestandextensie die niet in de echte wereld voorkomt.

Om het kort samen te vatten kan de voorstudie als afgewerkt beschouwd worden, mits enkele aanpassingen, en is het tijd om de praktische kant aan te pakken.

Mijn thesis over email security begint meer en meer vorm te krijgen. Deze week was ik maar twee dagen op kantoor bij SecureLink. Tijdens deze twee dagen heb ik vooral mijn voorstudie nagelezen en aangepast. Ook heb ik samen met Peter Mesker contact opgenomen met de verschillende vendoren die ik wil testen. Op het eerste zicht moet het allemaal wel in orde komen.

Het gesprek, woensdagochtend, met mijn interne mentor van Hogeschool Odisee betekende ook veel voor mij. Hij heeft mij op enkele schoonheidsfoutjes gewezen en feedback gegeven. Door het gesprek weet ik nu ook wat er van school uit verwacht wordt van mijn onderzoek. Inhoudelijk zit het allemaal goed, enkel de schrijfstijl moet meer verhalen en samenhangend worden.

Op woensdag en donderdag deed ik samen met Timon, Frederik en Umut mee aan de Cyber Security Challenge. De wedstrijd was een Capture The Flag (CTF), waarbij men verschillende opdrachten kreeg en naar gelang de moeilijkheid er punten voor kreeg. Wij stonden de eerste dag op de 11de plaats (van de 137). Aangezien enkel de top 10 door gaat naar de finale zaten wij nog volop in de race. Helaas waren onze tegenspelers de tweede dag te sterk. Uiteindelijk zijn wij als 21ste geëindigd. Een zeer mooi resultaat is voor ons team, aangezien dit onze eerste CTF betrof. De opdrachten stonden allemaal in het teken van cybersecurity; van buffer overflows tot XSS. Het is een understatement als ik zeg dat ik veel bijgeleerd heb tijdens die twee dagen. Het was zeker de moeite waard om deel te nemen! En wij hebben als team afgesproken dat wij nog maar eens aan soortgelijke wedstrijden moeten deelnemen.

Maandag bestond uit het verwerken van de feedback van mijn mentor in mijn voorstudie. Buiten de grammaticale fouten, sprong ik ook teveel van de hak op de tak.

Dinsdag en woensdag bestond uit het schrijven van het eerste deel van de praktische uitwerking. In dit deel bespreek ik de praktische uitwerking, zoals een uitleg van de testomgeving en de fasen die elke email security gateway ondergaan.

Donderdag was ik getuige van een groot spektakel! Ik mocht naar de laatste dag van de Security BootCamp, georganiseerd door SecureLink. Het event begon met een indrukwekkende lightshow gevolgd door een inleidende speech van Peter Mesker en Marco Barkmeijer. Na deze speech van beide heren was Greg Day aan de beurt, Chief Security Officer van Palo Alto Networks. Hij vertelde over hoe belangrijk cybersecurity momenteel is en dat het in de nabije toekomst onmisbaar wordt. Na deze keynote ben ik de algemene ruimte verder gaan bestuderen waar de vendoren van SecureLink zich bevinden. Na een beetje rondsnuffelen en vooral veel informatie opgeslagen te hebben was het tijd voor de netwerklunch. Rond 12u30 ben ik naar de BOOTx ruimte gegaan waar op TEDx-achtige wijze verschillende vendoren hun zegje deden. Ik heb de volledige sessies van SecureLabs en Proofpoint gezien. Achteraf ben ik ook met de mensen van Proofpoint in gesprek gegaan, waarbij ik mijn opdracht binnen SecureLink heb uitgelegd. Zij zijn er zelf van overtuigd dat Proofpoint het beste uit de test gaat komen. Maar zo makkelijk laat ik natuurlijk mijn objectiviteit niet beïnvloeden. Verder heb ik nog de keynote van Darren Thomson gevolgd, de CTO van Symantec waarin hij vooral de waarde van security bespreekt en dat we deze op een andere manier moeten bekijken. Achter deze keynote was de prijsuitreiking van de Wario of the Day. De ‘winnaar’ is degene die naar rare sites ging en bijhorend verdacht netwerkverkeer genereerde. Als laatste was de illusionist, Victor Mids van MindF*ck, aan de beurt. Hij deed verschillende goocheltrucs en legde uit hoe hij hersenen kan ‘hacken’. Nu een dag later zijn sommige dingen nog steeds een raadsel. Maar hij was, om op de manier van Mark Rutte te zeggen, graaf!

Vrijdag, vandaag dus, zal vooral bestaan uit het verder afwerken van de aanpak over mijn praktische uitwerken.

Nee, de titel is geen fout. Het is een klein puzzeltje voor wie zich verveelt. Als tip geef ik mee: het antieke Rome en encoding van binaire data.

Deze week was een rustige, misschien wel té rustige week. Momenteel ben ik aan het wachten op de testomgeving. Naast het aanpassen van mijn voorstudie heb ik ook enkele keren samen met Alex gesproken. Niet over bloemetjes en bijtjes, maar over de praktische aanpak van de opdracht. Alex en ik hebben onder andere over de afbakening van de opdracht gesproken.

Dinsdag was er een meeting met Barracuda. Zij gaven informatie over hun email security gateway oplossing. Hierbij stelde John Neerdael, Security Engineer bij SecureLink, diverse inhoudelijke vragen. Hierdoor weet ik nu ook beter waar de verschillen liggen tussen de verschillende vendoren.

Donderdag is de opstelling van de testomgeving van start gegaan en vermoedelijk kan ik volgende week maandag starten met het deployen van de eerste email security gateway. De noodzaak naar iets praktisch verwezenlijken is hoger dan ooit. De theoretische uitwerking komt mijn oren uit… Volgende week maandag is de indiening van de eerste versie van de bachelorproef/scriptie, deze wordt ook gequoteerd. Dit weekend laat ik het daarom nog lezen door iemand, vooral met het oog op grammaticale fouten. Door het continu herlezen van mijn eigen werken zie ik de fouten niet meer.

Deze week draait de praktische uitwerking op volle toeren.

Maandag begon ik met de praktische uitwerking en evaluatie van een Barracuda ESG. Hiermee ben ik begonnen, omdat Barracuda een demo-omgeving draaiend heeft in hun cloud. Het is duidelijk dat de sweet-spot van Barracuda bij kleine bedrijven ligt. De configuratiemogelijkheden zijn beperkt t.o.v. andere appliances. De in-depth testen zijn nog niet uitgevoerd want maandag was de test-omgeving nog niet beschikbaar. Naast de evaluatie van Barracuda had ik samen met Peter Mesker een WebEx met Mimecast. Tijdens deze meeting werd er uitleg gegeven over de email oplossing van Mimecast. Mimecast is een SaaS oplossing en, naar eigen zeggen, de pionier op vlak van malware detectie, inclusief een snelle scan en hit rate. Dinsdag was weer een rustige dag waar ik vooral het Barracuda en Mimecast product verder heb onderzocht.

Woensdag had ik in de middag een meeting met Dennis Feijen, Security Engineer bij SecureLink. Tijdens deze meeting werd mijn aanpak besproken en de praktische uitwerking van mijn testomgeving. In de serverruimte van SecureLink staat nog een ongebruikte ESX server die ik mag gebruiken. Helaas kwam er al snel een switch probleem opsteken.

Donderdag gingen Dennis en ik verder met het switch probleem. Het probleem was dat de switch vol zat. Er moest dus een andere bij gezet worden en beide switches moesten als 1 geheel gezien worden. Waarbij ik dus de kans kreeg om de HPe switch te configureren. Zeer leerrijk! Vrijdag had ik toegang tot de ESX server en ben ik begonnen met deployen. Ondertussen draaien al 2 van de 3 ESG’s, namelijk Barracuda en Proofpoint. Volgende week staat Ironport en Mimecast op het programma.

Maandag was het debuggen geblazen. Omdat wij een VLAN volledig geïsoleerd naar buiten willen leiden waren er problemen om vanuit een ander VLAN naar het geïsoleerde VLAN te pingen. Dit moet wel werken want mijn laptop bevind zich op een ander VLAN dan het geïsoleerde, maar wil wel aan de GUI geraken van de virtual appliance dat in dat VLAN bevind. Ook zat er ergens een fout waardoor de VLAN niet volledig doorgetrokken was naar buiten. Na enkele uren zoeken lag de fout bij een misconfiguratie van een switch. Dit probleem heb ik eigenhandig verholpen.

Dinsdag kon is dus eindelijk een appliance klaar zetten om te testen. Helaas bleek de Office365 appliance nog niet klaar was om testen uit te voeren, waardoor ik ben begonnen aan de eerste documentatie rond Barracuda en Proofpoint. Donderdag had ik een WebEx met Mimecast. Tijdens deze WebEx gaf ik een uitleg over mijn evaluatiecriterium. Bewust ben ik hier niet in detail getreden, zodat mijn testen objectief bleven. Achteraf kreeg ik de opdracht een excel bestand aan te maken met daarin concreet welke testen ik ga uitvoeren en wat mijn verwachtingen zijn. Vrijdag had ik weer een WebEx met Mimecast. Deze keer werd het control panel van Mimecast uitgelegd; waar de administrator zijn configuraties kan doen. Vrijdag ben ik druk bezig geweest met het verder onderzoeken van de admin panel. Op het eerste zicht is Mimecast een zeer mooi product. Benieuwd naar de testen!

De eerste testen zijn achter de rug.

Maandag en dinsdag bestond vooral uit Mimecast testen. Hun spamdetectie, die ik test d.m.v. mailbait.info, werkt uitstekend. De URL detectie feature van Mimecast werkt onvoldoende goed, 33% werd niet geblokkeerd. Hun malware detectie op Office bestanden blokkeerde nagenoeg alles. Zonder verder in detail te treden en de helft van mijn bachelorproef te vertellen werkte de malware detectie goed. Één instelling die standaard aan staat heb ik wel uitgeschakeld. De instelling blokkeerde alle bestandextensies die niet ondersteunt werden door hun malware detectie. Zelf ben ik geen voorstander van deze best-practice. Algemeen kan je stellen dat Mimecast een goed product is voor bedrijven die geen complexe instellingen moeten uitvoeren. Deze conclusie trek in a.d.h.v enkele ondervindingen. Geen header stripping, niet-aanpasbare rate-control, alle policies in één pagina, weinig details bij blokkeren van bijvoorbeeld spam (geen score), basis zoekfuncties…

Woensdag en donderdag was Barracuda aan de beurt. Spamberichten die Mimecast tegenhield werden doorgelaten door Barracuda. Hierbij zie je wel, in tegenstelling tot Mimecast, een score en meer informatie waarop die score is gebaseerd. Dit maakt het finetunen van het product makkelijker. Barracuda scoort goed op het tegenhouden van malafide URL’s, slechts 8% werd doorgelaten. De malware detectie van Barracuda scoort echter onvoldoende goed. Vooral bij bestandsextensies die afwijken van veel gebruikte bestandsextensies (Office en PDF). De algemene indruk die Barracuda mij geeft is dat het een instap versie is van de email security gateways. Vooral voor kleinere ondernemingen kan Barracuda een goede oplossing zijn. Deze conclusie baseer ik vooral op de weinige diepgang in de instellingen.

Vrijdag heb ik een deel van de resultaten verwerkt in mijn bacheloronderzoek. Daarnaast is het me ook gelukt Proofpoint en Ironport te deployen en volledig werkende te krijgen. Vooral de deployment van Ironport was een zware bevalling.

De testen zijn achter de rug. Met toch enkele opvallende uitkomsten.

Dinsdag en woensdag heb ik Ironport getest. Na de moeizame deployment van Ironport was het verder instellen niet uitdagend. Over Ironport valt weinig te vertellen. Het heeft voldoende functionaliteit en het reageert niet slecht maar ook niet goed op malware. Ironport, dat overgenomen is door Cisco, werd/wordt door SecureLink verkocht als email security gateway.

Donderdag en vrijdag heb ik Proofpoint en Microsoft getest. Proofpoint komt het beste uit de testen op malware. Maar ook Microsoft deed het opvallend goed. De resultaten moet ik wel nog goed verwerken.

Er bestaat ook nog een kans dat ik Symantec ga testen. Deze vendor heeft ook een email security gateway en is een partner van SecureLink.

Volgende week ga ik dus vooral resultaten in mijn bacheloronderzoek verwerken. Ook kijk ik naar wat er als aanvullende configuratie gedaan kan worden. Hierdoor komt de noodzaak van de expertise van SecureLink naar boven.

Week twaalf is achter de rug en het einde is in zicht, tot mijn spijt. Werken bij SecureLink als afstudeerder is ideaal. Je krijgt verantwoordelijkheid, je doet kennis op en wat vooral aangenaam is, je wordt als volwaardige collega gezien!

Met de testen achter de rug was het deze week vooral resultaten verwerken. Ook de verschillende evaluatiecriteria worden geëvalueerd op de vendoren die ik meeneem in mijn testen. Waar de focus ook op lag deze week is de prijs van de email security gateways. Dit is echter moeilijker aan te geraken dan verwacht. Hierin heeft Peter Mesker mij geholpen met zijn brede netwerk.

Naast dus vooral invulling te geven aan mijn thesis/bacheloronderzoek kreeg ik een aanvullende opdracht van Peter Mesker. Omdat Symantec een partner is van SecureLink is het interessant om deze vendor ook te testen. Waaraan ik nog twijfel is of ik het meeneem in mijn bacheloronderzoek. Omdat de deadline dichtbij komt is het niet vanzelfsprekend…

Zo zo, het einde is in zicht. Met deze week achter de rug begint het echt door te dringen dat ik dit leuke, gezellige, competitieve, ambitieuze, Nederlandse, eerlijke, gezonde, welvarende, georganiseerde, proactieve, open bedrijf (voorlopig) vaarwel zeg. Ik ben er van overtuigd dat je als stagiair geen betere plek kan voorstellen dan bij SecureLink!

Maandag had ik met Peter een gesprek met Mimecast over hun manier van licenties en de bijhorende prijzen. Dinsdag werden ze nogmaals officieel via email gestuurd, waardoor ik deze in mijn bacheloronderzoek kan meenemen. Ook kreeg ik maandag een korte feedback van hoe, vanuit Peter zijn oogpunt, ik werkzaam was/ben in het bedrijf. Gelukkig was hij positief!

Dinsdag en woensdag stonden vooral in het teken van het verwerken van alle resultaten en prijzen. Ook het visualiseren van de resultaten, zodat ik voldoende informatie heb om een advies te geven aan SecureLink.

Donderdag was ik vooral bezig met het uitschrijven van dit advies. De keuze was vooral tussen twee vendoren, Mimecast en Proofpoint. Kwalitatief is Proofpoint beter, maar heeft een hoge prijs tegenover Mimecast. Mijn uiteindelijk advies is Proofpoint, voornamelijk omdat Proofpoint hun “sweetspot” bij het hogere marktsegment ligt.

Vrijdag staat vooral in het teken van het vormen van het algemene besluit. Waarbij ik mijn technisch functioneren en persoonlijk functioneren evalueer.

Mijn laatste week is achter de rug! Maar ook 14 weken vol leerrijke ervaringen die ik zo weer zou willen meemaken!

Deze week stond vooral in het teken van het aanpassen/afwerken van de bachelorproef. De samenvatting, voorwoord en conclusie stond op het plan deze week.

Maar ook het testen van Symantec werd deze week uitgevoerd. Echter door tijdgebrek wordt dit niet in mijn bacheloronderzoek opgenomen. De resultaten waren ook niet bepaald verrassend goed of slecht t.o.v. de andere vendoren.

Toch nog even een dankwoord aan SecureLink en Peter Mesker in het bijzonder voor de goede opvolging en begeleiding.

Sinds 1 juli 2017 ben ik in dienst als Associate Security Engineer!