In de Formule 1 draait alles om snelheid. Ook de cybersecurity-oplossing van een team moet hierin mee. Wij spraken Mark Hazelton, de Chief Security Officer van Oracle Red Bull Racing, over het belang van cybersecurity binnen het team en over de rol die Arctic Wolf speelt op dit punt.
Hazelton loopt al zo’n 25 jaar mee in de wereld van de gemotoriseerde sporten. Hij is sinds de oprichting betrokken bij het racing team dat nu Oracle Red Bull Racing heet. De auto van 2024 heeft als typenummer RB20 meegekregen. Dat houdt dus in dat hij er al een kleine twintig jaar werkt (de RB1 dateert uit 2005). Dat heeft een erg goede reden overigens. Het is volgens hem nog altijd een razend interessante wereld om in te werken. De laserfocus om “alleen de dingen te doen die de auto sneller laten gaan”, maakt het in ieder geval nooit saai.
Wel heeft Hazelton zo’n tien jaar geleden een duidelijke verschuiving gezien in waar de prioriteiten liggen als het gaat om IT-gerelateerde investeringen. Waar het voorheen vooral ging om het hebben van een zo goed mogelijk presterende IT-omgeving, verschoof het tien jaar geleden duidelijk naar cybersecurity. Dat is sindsdien niet veranderd. Het is alleen maar belangrijker geworden.
Een (succesvol) team zoals Oracle Red Bull Racing is een interessant doelwit. In eerste instantie was het dat voor aanvallers die Intellectual Property (IP) wilden ontvreemden. Het ging toen vooral om insider threats en het risico van het lekken van IP. De laatste jaren is dat duidelijk verschoven naar ransomware en de dreigingen die dit met zich meebrengt voor de hele organisatie. Verder ziet hij ook dat het risicoprofiel van het bedrijf Oracle Red Bull Racing sterk gestegen is en valt de toenemende professionaliteit van de aanvallers steeds meer op. “Het is niet langer een hobbyist die een organisatie aanvalt”, stelt hij.
Focus niet veranderd, dus cybersecurity moet mee
Bovenstaande ontwikkeling in het cybersecuritylandschap is voor alle organisaties problematisch. Voor een organisatie zoals Oracle Red Bull Racing geldt dat echter wellicht nog net iets meer. De focus van het team blijft namelijk hetzelfde, aldus Hazelton: “We proberen ons nog altijd te richten op de zaken die de auto sneller laten gaan.” Dat maakt het intern lastiger te verkopen, omdat hij de mensen die er werken niet een veel sneller compute-cluster aanbiedt bijvoorbeeld, maar een beter beveiligde digitale omgeving. Dat clasht in ieder geval op papier best wel met de snelheid die Oracle Red Bull Racing als geheel nastreeft. Veilig en snel zijn niet altijd compatibel met elkaar.
Bij Oracle Red Bull Racing lukt het echter om veilig en snel allebei te realiseren, horen we van Hazelton. Dat heeft voor een belangrijk deel te maken met de mensen die er werken. Deze zijn doorgaans zeer goed ingevoerd in de IT en werken vanuit een enorme passie om de snelheid er goed in te houden. Het is zeker niet eenvoudig, geeft hij meteen toe. Denk alleen maar aan de logistiek rondom een F1-team. Er moet zoveel geregeld worden rondom routes, vrachtwagens, transport, hotels, visa en ga zo maar door. Dit goed beveiligen is geen sinecure, zeker niet als de natuurlijke neiging is om altijd voor de snelste oplossing te kiezen. Dan kunnen de mensen van Oracle Red Bull Racing immers zo snel mogelijk weer aan de slag met waar het om te doen is: de auto’s zo snel mogelijk maken.
Niet weten wat je niet weet
Hazelton durft de stelling wel aan dat Oracle Red Bull Racing een relatief volwassen organisatie is vanuit het oogpunt van cybersecurity. “We snappen de risico’s en de dreigingen. We weten waar de gaten zitten en welke controls we hebben”, geeft hij aan. Ze testen hun omgeving ook regelmatig en meten zich dan aan standaarden en best practices op het gebied van cybersecurity.
Bovenstaande is zonder meer een goed idee. Dit gaat echter uit van het bekende. En dat is nu juist niet waar doorgaans de grootste bedreigingen vandaan komen. Het zegt kortom niet alles. Dat snapt Hazelton ook: “Zelfs als je denkt dat je er goed voor staat, weet je nog niet wat je niet weet.”
Om datgene te weten te komen wat ze nog niet wisten, is Oracle Red Bull Racing in zee gegaan met Arctic Wolf. Het geeft Arctic Wolf toegang tot het hele netwerk. Het krijgt toegang tot alle metadata uit dat netwerk en analyseert deze. Zo komen ze achter zaken die Oracle Red Bull Racing nog niet wist, bijvoorbeeld een kwetsbaarheid in een firewall die ze zelf hadden gemist.
Oracle Red Bull Racing kan dankzij Arctic Wolf ook veel vaker tests doen om te controleren hoe veilig de omgeving is, horen we van Hazelton. “We scannen alle exposed interfaces nu twee keer per week in plaats van twee keer per jaar”, zegt hij. Dat is een groot verschil. Een belangrijke reden hiervoor is ook dat er zinvolle resultaten uit deze tests komen. Arctic Wolf creëert weinig tot geen ruis, iets waar andere oplossingen waar Oracle Red Bull Racing mee heeft gewerkt wel behoorlijk wat last van hadden. Hij noemt in dit geval specifiek SIEM-oplossingen. Deze kunnen zeker interessant zijn nadat iets is gebeurd, maar zijn niet heel zinvol als je eerder in wilt grijpen.
Een miljard items in tien dagen: 10-15 alerts per week
Arctic Wolf is geen passief platform. Dat wil zeggen, het wacht niet af tot er iets toevallig voorbijkomt op een centrale locatie. Het platform heeft agents en sensors nodig die verspreid over het netwerk op endpoints draaien. Dat is voor Oracle Red Bull Racing in de basis een probleem. “We zijn altijd erg voorzichtig geweest met agents op onze machines”, geeft Hazelton aan. Dat heeft een goede reden. Het gaat bij Oracle Red Bull Racing immers allemaal om snelheid, ook voor de servers en andere apparatuur die het team gebruikt. “We hebben de neiging onze machines heel hard te laten werken”, vat hij het samen.
Hazelton geeft aan dat het teaam geen effect gemerkt heeft van het uitrollen van de agents van Arctic Wolf. Agents en sensoren waren heel snel opgenomen in de verschillende omgevingen, ook in de windtunnel. Zo gingen er al snel honderdduizenden datapunten richting Arctic Wolf vanuit Oracle Red Bull Racing om deze te laten analyseren. Al vrij snel kreeg het hierdoor inzichten die het voorheen nog niet had. “Het SOC van Arctic Wolf pakte dingen op waarvan we dachten dat we ze kenden, maar die we toch niet goed logden”, geeft Hazelton aan. Belangrijker nog was dat het aantal false positives zo goed als nul was en is. Dat is een heel belangrijke metric voor security-tools. Je wilt geen tijd verkwisten aan meldingen die het niet waard zijn.
Wat komt er dan wel door? Niet heel veel, en dat is een goede zaak. Oracle Red Bull Racing stuurt iedere tien dagen niet minder dan 1 miljard items richting Arctic Wolf. Dat resulteert iedere week in een stuk of 10 tot 15 alerts. De meeste daarvan zijn ook nog eens heel snel op te lossen volgens Hazelton.
Goede match tussen Oracle Red Bull Racing en Arctic Wolf
Bovenstaande klinkt zonder meer goed, maar zorgt de keuze voor Arctic Wolf ervoor dat Hazelton nu wel weet wat hij voorheen niet wist dat hij niet wist. “Ik ben van nature achterdochtig”, stelt hij, waarmee hij aangeeft dat hij altijd kritisch zal kijken naar de prestaties van Arctic Wolf. Hij geeft echter wel aan dat de dekking van Arctic Wolf heel goed is en dat het regelmatig veranderingen opspoort die Oracle Red Bull Racing bewust niet vooraf door had gegeven. “Weet Arctic Wolf alles? Waarschijnlijk niet, maar ze horen wel bij de top”, vat Hazelton het samen.
Toch was de reden om voor Arctic Wolf te gaan in eerste instantie niet per se ingegeven door technische overwegingen. Oracle Red Bull Racing vond de benadering van Arctic Wolf vooral interessant, omdat het securitybedrijf toen net startte in Europa. Arctic Wolf was heel eerlijk over de oplossing die het aanbod en over de roadmap. Dat gaf vertrouwen.
Vertrouwen had Hazelton ook wel nodig, want hij was al geruime tijd aan het twijfelen tussen het zelf doen of het uitbesteden via een MDR-dienst. Bij Arctic Wolf nemen ze een MDR-dienst af, maar wel eentje waarbij ze zelf nog altijd toegang hebben tot de data. Dat is voor Oracle Red Bull Racing belangrijk, omdat het ook zelf graag een risico-analyse doet. Naast MDR neemt het ook de Managed Vulnerability-dienst af bij Arctic Wolf. Hiermee kun je bepalen waar de kwetsbaarheden zitten in de organisatie. Ook Incident Response (IR) is er inmiddels bijgekomen. Zo blijft Arctic Wolf waarde toevoegen, zoals Hazelton het noemt.
Verantwoorde risico’s nemen
Uiteindelijk draait het bij Oracle Red Bull Racing zoals al meerdere keren aangegeven om snelheid. Niet alleen van de auto’s, maar ook van wat er op de achtergrond gebeurt. Soms moeten dingen simpelweg heel snel gebeuren. Er is dan geen andere optie. Dat brengt risico’s met zich mee, ook op het gebied van cybersecurity. Maar wat dat betreft is het heel simpel, vertelt Hazelton: “Als we denken dat we er de volgende race mee kunnen winnen, dan nemen we een zekere mate van risico.” Dat kunnen ze alleen maar doen als ze er ook zeker van kunnen zijn dat de security-tooling die ze gebruiken dat ook aankan.
Hazelton merkt dat Oracle Red Bull Racing de mensen van het SOC van Arctic Wolf zeker ook uitdaagt om net even wat beter naar bepaalde zaken te kijken. Het is immers geen alledaagse omgeving. Oracle Red Bull Racing doet vrijwel alles zelf, van het ontwerp, via prototyping, fabricage en het testen tot de logistiek. Dan kom je nogal eens iets tegen. Hij heeft echter gezien dat Arctic Wolf deze uitdagende omgeving aankan. Dat geeft het team dan weer het vertrouwen om verantwoorde risico’s te nemen om de auto sneller te maken.
De aanwezigheid van Arctic Wolf bij Oracle Red Bull Racing geeft Hazelton tot slot ook rust in zijn hoofd. Daarbij helpt het uiteraard ook dat er geen rare dingen gebeurd zijn, dus dat het allemaal goed lijkt de functioneren. Het is lastig om te beoordelen of Arctic Wolf voor een betere bescherming zorgt dan andere partijen. Toch durft hij wel te stellen dat hij denkt dat het “geen puur geluk is dat we niet zijn gehackt in de afgelopen jaren”. Dat geeft aan dat Arctic Wolf behoorlijk wat potentiële gaatjes en gaten heeft ontdekt en gedicht.
Het is natuurlijk niet zo dat de keuze voor Arctic Wolf er op zichzelf voor zorgt dat Oracle Red Bull Racing races wint. Arctic Wolf is echter wel een belangrijke schakel in de hele keten, als we Hazelton zo eens horen. De risico-gebaseerde benadering van Arctic Wolf past uitstekend bij de snelle omgeving waar Oracle Red Bull Racing in opereert en waarin het risico’s moet durven nemen. Niet alleen op het circuit, maar ook zeker daarbuiten.
Lees ook: ‘De mens is de sterkste schakel in de securityketen’
Photographer credit:
Will Cornelius / Content Pool