Een modern framework voor netwerkbeveiliging bij de overheid
3 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE FEDERALE OVERHEID
Overheden maken veranderingen door Overheden wereldwijd maken veranderingen door. Ze stellen tegenwoordig hogere eisen aan hun cybersecurity oplossingenoplossingen, of het nu gaat om het verkleinen van de footprint van het datacenter, virtualisatie van bestaande services om kosten te verlagen en ‘groener’ te worden, of geavanceerde beveiligingsstrategieën om geavanceerde aanvallen in het veld of thuis af te weren.
Beveiliging van het datacenter en gevirtualiseerde omgevingen Er vinden veranderingen plaats in de datacenters van overheden, waarbij meer services in het netwerk worden gevirtualiseerd en over het algemeen naar meer efficiëntie wordt gestreefd. Van de cybersecurity wordt dan ook verwacht dat deze hogere performance biedt en flexibeler omgaat met het opstellen van beveiligingsbeleidsregels en het afdwingen van deze regels. Daarnaast dient de oplossing rekening te houden met datacenterapplicaties. Hierbij moeten overheden een aantal belangrijke stappen overwegen: 1. Stel een benchmark vast van de applicaties die zich in uw datacenter bevinden. Datacenterapplicaties werken met willekeurige, niet-opeenvolgende communicatiepoorten en -protocollen. Deze applicaties zijn essentieel, maar het zijn vaak juist deze applicaties die vulnerabilities hebben en waarin daadwerkelijk exploits bestaan. Ken uw datacenterapplicaties en hun huidige risicoprofiel. Zoek vervolgens een cyberbeveiligingsoplossing die specifiek is ontworpen voor de unieke vereisten van het datacenter.
2. Bepaal een plan voor het afdwingen van de opgestelde beleidsregels omdat gebruikers, applicaties en content zich voortdurend van VM naar VM kunnen verplaatsen. Virtuele resources worden gebruikt door mensen op verschillende locaties die verschillende beveiligingsrisicoprofielen hebben. Dankzij virtualisatie vervagen de ‘normale’ grenzen van uw bestaande netwerkbeveiliging. Door de nieuw ontstaande dynamiek van: het creëren, wijzigen en verplaatsen van virtuele machines (VM’s) is het toewijzen en naleven van beveiligingsregels voor deze systemen een extra moeilijkheid. Kies een cyberbeveiligingsoplossing die deze verplaatsingen naadloos laat verlopen en uw beveiligingsbeleidsregels intact laat, en die het mogelijk maakt applicaties met verschillende vertrouwensniveaus veilig te gebruiken op één gevirtualiseerde server. En zorg dat de oplossing in de beveiligingsbehoeften van zowel oost-west- als noord-zuidverkeer kan voorzien. 3. Zorg dat uw cyberbeveiligingsoplossing schaalbaar en flexibel genoeg is om te voldoen aan de eisen van het datacenter en uw gevirtualiseerde omgeving. Uw beveiligingseisen zijn wellicht voor een datacenter, maar dat wil niet zeggen dat u genoegen moet nemen met verminderd inzicht in uw datacenterapplicaties, -content en -gebruikers. Houd de beveiliging van uw datacenterverkeer intact, inclusief applicaties, content en gebruikers, zonder in te leveren op de prestaties.
3 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE OVERHEID
Beveilig het netwerk van low-level tot geavanceerde dreigingen Het is geen geheim dat overheidsnetwerken, afgezet tegen elke andere branch, tot de meest bedreigde netwerken behoren. Er staat veel op het spel en aanvallers weten dat ze beter doordachte tactieken moeten inzetten om deze netwerken binnen te dringen. Helaas zijn veel aanvallers niet alleen in staat het netwerk binnen te dringen, maar vaak kunnen ze met succes een permanente ingang tot stand brengen en geruime tijd onopgemerkt blijven terwijl ze doorgaan met het veroorzaken van veel schade en het ontwijken van de beveiligingsmaatregelen. Dit leidt tot enorm verlies, ongeacht of dit van strategische, politieke, monetaire of intelligente waarde is. Om dreigingen buiten de deur te houden, moet een model worden geïmplementeerd dat robuuster is dan gewone verdedigingsmethoden en waarbij niets of niemand wordt vertrouwd (‘zero trust’). Hierbij moeten overheden een aantal belangrijke stappen overwegen: 1. Beoordeel uw huidige netwerksegmentatie. Zorg ervoor dat uw vitale resources ook als zodanig worden beoordeeld in uw cyberbeveiligingsstrategie. Door het netwerk te segmenteren, kunnen overheden hun bedrijfsmiddelen beschermen tegen onbevoegde applicaties of gebruikers, kwetsbare systemen beschermen en ongemerkte verspreiding van malware door het netwerk voorkomen. Hanteer het ‘zero trust’-principe, waarbij geen enkele entiteit (gebruiker, apparaat, applicatie of datapakket) standaard wordt vertrouwd, ongeacht de aard en locatie ten opzichte van het overheidsnetwerk. Door de opmars van APT’s (Advanced Persistant Threats) is ‘zero trust’ een absolute vereiste geworden.
2. Stel een benchmark vast van de applicaties in uw netwerk. Hierdoor krijgt de organisatie niet alleen inzicht in kwaadaardige applicaties, maar wordt ook de discussie op gang gebracht over welke applicaties daadwerkelijk van belang zijn voor het uitvoeren van de overheidstaak. Op basis van de benchmark kunt u de juiste beveiligingsmaatregelen treffen en inzicht krijgen in deze applicaties, de content die via de applicaties wordt verwerkt en de personen/afdelingen die de applicaties gebruiken, zodat u afwijkend gedrag kunt herkennen. 3. Om dreigingen buiten de deur te houden, moet een model worden geïmplementeerd dat robuuster is dan gewone verdedigingsmethoden en waarbij niets of niemand wordt vertrouwd (‘zero trust’). De juiste cybersecurity-oplossing beschikt over de flexibiliteit, inzicht en controle om applicaties en content voor specifieke afdelingen toe te staan. Vervolgens verleent u alleen bevoegde gebruikers toegang tot de goedgekeurde applicaties. 4. Houd te allen tijde inzicht, als het nu gaat om de gebruiker, content of applicatie. Hierbij moet het niet gaan om het analyseren van logs, maar om waakzaamheid, contextueel inzicht en detectie van afwijkeningen. De juiste beveiligingsoplossing kan dit uw beveiligingsteams bieden.
Advanced Persistent Threats (APT’s) maken gebruik van geavanceerde technieken om een netwerk ongemerkt binnen te dringen, een permanente toegang op te zetten (‘beachhead’) en zich vervolgens te verspreiden en/of te verplaatsen binnen de getroffen organisatie. Sommige dreigingen zijn vermomd als of gebundeld met legitiem netwerkverkeer en applicatiedata, wat door traditionele beveiligingsoplossingen lastig te detecteren is. Zodra een APT een organisatie is binnengedrongen, kan de aanvaller contact houden met de besmette machine(s). De aanvaller kan bedrijfsinformatie wegsluizen en verdere instructies ontvangen via een versleutelde tunnel met een externe Command and Control-entiteit. Daarnaast kan de APT kwaadaardige code-updates ontvangen, die binnen het aangetaste netwerk opnieuw kunnen worden geassembleerd. Dit bemoeilijkt de detectie op basis van signatures enorm en kan de reeds aanwezige malware nog kwaadaardiger/destructiever maken.
4 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE OVERHEID
3 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE FEDERALE OVERHEID
Oplossingen van Palo Alto Networks voor overheden Palo Alto Networks biedt het meest innovatieve, geavanceerde en flexibele cyberbeveiligingsplatform dat kan voorzien in de hedendaagse eisen van overheden. Het bedrijf heeft nu overheidsklanten in ruim 70 landen, die hogere eisen stellen aan hun beveiligingsoplossingen. Palo Alto Networks voldoet aan datacentereisen en biedt een innovatieve preventiemethode voor zowel bekende als onbekende dreigingen die overheidsnetwerken van nu treffen. Platformen van Palo Alto Networks omvatten een complete, geavanceerde cyberbeveiligingsoplossing. Onze platformen maken gebruiken van een single-pass-architectuur, die optimaal presteert in alle omgevingen.
Palo Alto Networks biedt voor datacenters en virtualisatieomgevingen: ■
Consistent inzicht in applicaties, gebruikers, content en geavanceerde cyberbeveiliging;
■
Virtuele en fysieke systemen, die alle worden beheerd via hetzelfde, gecentraliseerde beheerplatform;
■
Segmentatie van datacenterapplicaties en de tools waamee de applicaties worden beheerd;
■
Inspectie van communicatie tussen servers (‘north-south’) en inspectie van communicatie op de hosts tussen virtuele machines en applicaties binnen een serverinstance (‘eastwest’);
■
Dynamische beveiligingsbeleidsregels binnen de VM-context, waardoor beveiliging gelijke tred kan houden met de VM-provisioning en -wijzigingen, zonder opnieuw te moeten worden ingesteld;
■
Integratie met cloudbeheersoftware om beleidswijzigingen te automatiseren;
■
Cybersecurity throughput tot 120 Gbps en;
■
Talrijke VM-platformopties, zoals onze gezamenlijk ontwikkelde oplossing met VMware, waarin onze VM-Series wordt gecombineerd met het VMware NSX-netwerkvirtualisatieplatform. VM-platformen van Palo Alto Networks worden ook ondersteund door de platformen van VMware ESXi 4.1, 5.0 en 5.5, en door de Citrix NetScaler SDX 11500- en 17550-serie.
“Cyberaanvallen zijn een dagelijkse realiteit, en ze worden steeds geavanceerder en complexer. …”, — Jamie Shea, Deputy Assistant Secretary General for Emerging Security Challenges, NAVO “Het is goed mogelijk dat we in de toekomst meer goed gecoördineerde dereigingen zullen ondervinden, naast de grote hoeveelheid dreigingen die we elke dag al aantreffen. Dergelijke aanvallen onderstrepen het belang dat organisaties altijd de mogelijkheden en expertise in huis moeten hebben om de ontelbare dreigingen op het cybersecurity vlak af te slaan.” — Jacqueline Poh, Managing Director, IDA, Singapore “In een wereld waarin technologie en veranderingen elkaar snel opvolgen, moeten we consistent en grondig te werk gaan om effectief te reageren.” — The Rt Hon Francis Maude MP, Minister for the Cabinet Office and Paymaster General, Verenigd Koninkrijk “Cyberaanvallen worden subtieler, geavanceerder en internationaal. Het is absoluut noodzakelijk dat Japan hier krachtiger tegen kan optreden.” — Chief Cabinet Secretary Yoshihide Suga, Japan “Onze natie moet het hoofd bieden aan de snelle toename van destructieve malware en een nieuwe realiteit van continue, aanhoudende, en agressieve pogingen tot het binnendringen of verstoren van openbare en private netwerken, alsook de industriële beheersystemen voor de levering van water, energie en voedsel.” — Defense Secretary Chuck Hagel, Verenigde Staten
6 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE OVERHEID
In platformen van Palo Alto Networks zijn een aantal functionaliteiten samengebracht om snel veranderende bekende en onbekende dreigingen van tegenwoordig, inclusief APT’s, te weren: • Advanced Threat virtual sandboxing voor snelle preventie tegen bedreigingen • IPS voor snelle detectie en preventie van bekende dreigingen • Anti-malware • URL-filtering • DNS monitoring en sinkholing
Probeer het zelf Profiteer van de voordelen van de platformen van Palo Alto Networks en vraag een demonstratie aan. Deze testen zijn ontwikkeld voor Palo Alto Networks-klanten en wapenen cybersecurity-experts bij overheden met hands-on ervaring met de platformen. De tests kunnen aan de publiek verbonden zijde van een overheidsnetwerk worden uitgevoerd of op een door Palo Alto Networks verstrekte locatie, afhankelijk van de wens van de klant. Overheidsklanten die hun bestaande cybersecurity oplossing vervangen door een oplossing van Palo Alto Networks, zien herhaaldelijk forse toenames in het aantal dreigingen dat binnen hun netwerk is gedetecteerd. Ontdek zelf het verschil dat Palo Alto Networks maakt.
• ‘File and content blocking’ om bekende dreigingen in te perken • Inzicht in en preventie van dreigingen in versleutelde communicatie • Tegengaan van uitgaande C2-communicatie Wetend dat direct ingrijpen cruciaal is voor alle dreigingen, maar met name voor APT’s, is Palo Alto Networks in staat om bescherming te bieden tegen onbekende dreigingen binnen 15 tot 30 minuten.
Vraag ons team in uw land om een demonstratie: https://www.paloaltonetworks.com/company/ locations.html
Web: https://www.paloaltonetworks.com/government Twitter:
Samenvatting
https://twitter.com/NGS_Gov
Overheden hebben een plan nodig waarmee hun huidige behoeften worden beantwoord zonder de toegang of beveiliging in te perken. De onderscheidende beveiligingsaanpak van Palo Alto Networks bestaat uit een model waarbij regels positief worden afgedwongen en u niet inlevert op vertrouwen. Palo Alto Networks biedt een innovatief en toekomstbestendig platform voor de bekende en onbekende dreigingen van overheidsnetwerken van vandaag en biedt de juiste bescherming voor het datacenter.
YouTube: http://www.youtube.com/user/paloaltonetworks Overheidsblog: http://researchcenter.paloaltonetworks.com/tag/government/
7 | EEN MODERN FRAMEWORK VOOR NETWERKBEVEILIGING BIJ DE OVERHEID
4401 Great America Parkway Santa Clara, CA 95054, VS Algemeen: +1.408.753.4000 Verkoop: +1.866.320.4788 Ondersteuning: +1.866.898.9087 www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. Alle rechten voorbehouden. Palo Alto Networks, het Palo Alto Networks-logo, PAN-OS, App-ID en Panorama zijn handelsmerken van Palo Alto Networks, Inc. Alle specificaties kunnen zonder kennisgeving worden gewijzigd. Palo Alto Networks is niet verantwoordelijk voor eventuele onnauwkeurigheden in dit document of andere verplichting tot het bijwerken van informatie in dit document. Palo Alto Networks behoudt zich het recht voor deze publicatie zonder kennisgeving te wijzigen, aanpassen, overdragen of anders te herzien. PAN_BR_GOV_090514
