infosecurity
JAARGANG 12 - juni 2013 - www.infosecuritymagazine.nl
magazine
RHETT OUDKERK POOL VAN KAHUNA OVER HET REAL-TIME MANAGEN VAN SECURITY EN COMPLIANCY
MCAFEE KIEST VOOR WHITELISTING – T-SYSTEMS: SECURITY ABSOLUTE NOODZAAK VOOR ANALYTICS AS A SERVICE – CISCO EN HET BEVEILIGEN VAN THE INTERNET OF EVERYTHING – ID-ME BEVEILIGT TABLETS MET VINGERAFDRUK
g
kahuna managing security
Colofon - Editorial
Infosecurity magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Infosecurity magazine verschijnt viermaal per jaar, toezending geschiedt op abonnementbasis Uitgever Jos Raaphorst 06 - 347 354 24
[email protected] Hoofdredacteur Robbert Hoeffnagel 06-512 52 040
[email protected]
managing security
Redactie Hans Lamboo 06 – 166 486 70
[email protected] Advertentie-expolitatie Will Manusiwa 06 - 380 657 75
[email protected]
Next Generation Firewalls
Security Information & Event Management
Policy Compliance & Vulnerability Management
Virtual & Cloud Security Managed Security Services Kahuna Modemweg 20 3821 BS Amersfoort
T : +31 (0) 33 4500370 F : +31 (0) 33 4500371 E :
[email protected]
www.kahuna.nl
aangesloten bij
THE SIEM ALLIANCE FOUNDER MEMBER
Abonnementen Wilt u zich abonneren op Infosecurity magazine of heeft u een vraag over uw abonnement? Stuur een e-mail naar
[email protected] Vormgeving Media Service Uitgeest
Customer intimacy
Dicht op de huid van je klant zitten. Veel bedrijven streven er naar, maar lang niet altijd komt het echt goed uit de verf. Toch wordt customer intimacy steeds vaker gezien als pure noodzaak. Alleen als we de klant door-en-door kennen, is het immers mogelijk om zijn problemen en uitdagingen te snappen. Om daar vervolgens de juiste oplossingen voor te ontwikkelen. Journalisten gaan ook graag op de huid van de markt zitten. Veelal doen zij dat 1-op-1. Met andere woorden: zij praten met een security officer bij een business-organisatie of een CTO van een aanbieder en halen uit zo’n gesprek veel waardevolle informatie die vervolgens in de vorm van een artikel wordt gepubliceerd.
In deze editie van Infosecurity.nl magazine gaan we een stap verder. We hebben Rhett Oudkerk Pool van Kahuna – toch zeker geen onbekende in de Nederlandse security-markt – gevraagd om voor een keer met ons mee te denken. Wat speelt er anno 2013 in de security-wereld in ons land? En waar worstelen de klanten waar Kahuna dagelijks over de vloer komt nu mee? Rhett was meteen enthousiast over dit idee en het resultaat van de samenwerking vindt u in deze editie van Infosecurity.nl magazine. Noem het een gasthoofdredacteurschap. De samenwerking heeft er toe geleid dat deze editie een zeer rijk aanbod aan onderwerpen kent. Zo hebben we met Rhett’s collega Erik de Bueger gesproken over het Security Information & Event Management (SIEM) platform dat een dash-
schakels in de security-ketting – de beheerder – aanpakt door middel van wat zij noemen ‘privileged identity management’ ofwel PIM. Zelf volgen wij al een tijdlang met grote belangstelling de ontwikkelingen rond machine2machine-communicatie, internet of things en internet of everything. Cisco doet veel onderzoek naar het beveiligen van deze razend interessante trend. Daar leest u in deze editie van Infosecurity.nl magazine ook meer over. Tenslotte nog een laatste artikel dat wij u niet willen onthouden: Big Data & Security. Hoe gaat dat nu eigenlijk in zijn werk als een Hadoop-installatie met technieken als MapReduce grote hoeveelheden data analyseert? Hoe gaan we dan met security om? T-Systems legt uit dat technisch complexe componenten als Mappers dan heel goed beoordeeld dienen te worden. Mooie techniek!
Drukwerk Control Media Infosecurity magazine is een uitgave van FenceWorks B.V. Maredijk 17 2316 VR Leiden 071 – 5214998
De samenwerking heeft er toe geleid dat deze editie een zeer rijk aanbod aan onderwerpen kent.
© 2013
board is voor het real-time managen van security en compliancy. Zeer interessant! Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
We zijn bij Trend Micro op bezoek geweest om eens goed te kijken naar hun Deep Discovery-oplossing dat op basis van Big Data-principes het internet afspeurt op zoek naar signalen van nieuwe bedreigingen. Rhett zette ons ook op het spoor van Cyber-Ark, dat technologie heeft ontwikkeld die een van de zwakke
Rhett en ik zijn erg benieuwd wat u van deze editie van Infosecurity.nl magazine vindt. Laat het ons weten via robbert@ fenceworks.nl Robbert Hoeffnagel Hoofdredacteur Infosecurity magazine Rhett Oudkerk Pool Gasthoofdredacteur, oprichter & CEO van Kahuna
Infosecurity.nl magazine - nr. 3 - juni 2013
TSTC – de Security Opleider van Nederland g
INHOUD
- Diginotar, Facebook, KPN gehackt! 12 Cisco beveiligt The Internet of Everything The internet of things is momenteel ongekend populair, maar wordt tegelijkertijd eigenlijk al weer ingehaald door zijn opvolger: the internet of everything. Want machine-to-machine communicatie gaat mer en meer gecombineerd worden met machine-to-people communicatie en people to people communicatie. Cisco ontwikkelt een security-architectuur om deze mix aan communicatievormen goed te kunnen beveiligen.
Bent u de volgende? - En wat is dan uw reputatie- en/of financiële schade? - Vormt uw Blackberry of iPhone een security risico? Herkent u bovenstaande vragen?
14 Onderzoek CA Technologies: IAM cruciaal voor innovatie en groei
Deze tijd vraagt om oplossingen en kennis van zaken.
16 TSTC: security start bij mensen In de Maslow-pyramide staat de behoefte aan veiligheid en zekerheid net boven die van eten, drinken en slaap. Nog voordat we bemind en gerespecteerd willen worden, is er de behoefte aan een gevoel van veiligheid. Wellicht verklaart dit de explosieve groei in vraag naar - en dus ook aanbod van - security-oplossingen. Secvurity start echter bij mensen en dus is goed opleiden van cruciaal belang.
Zorg dat u goed getraind bent, kijk gauw op www.tstc.nl/training/security
KAHUNA-KATERN McAfee
kiest voor whitelisting
6
Traditionele beveiligingsmethoden voldoen niet meer om de cybercriminelen bij te houden – laat staan voor te blijven. Maar ook het aantal apparaten – endpoints – dat beveiligd dient te worden, groeit klassieke security-methodieken boven het hoofd. McAfee introduceert daarom nu een andere aanpak, die gebaseerd is op ‘whitelisting’ van applicaties. Daarbij biedt McAfee met een nieuwe versie van zijn oplossing voor het beheer van mobiele apparaten ook meer grip op BYOD binnen organisaties.
24 Trend Micro: wapen tegen gerichte aanvallen Digicriminelen hebben het steeds vaker gemunt op heel specifieke gegevens van specifieke personen. De aanvallen vinden op hoog niveau plaats en firewall en Intrusion Prevention Systems hebben het nakijken. Deep Discovery van Trend Micro pakt ze wel aan. Dit product past goed in het Security Information en Event Management (SIEM)-platform van Kahuna.
Een greep uit onze security certificeringen: Certified Ethical Hacker (CEH) Computer Hacking Forensic Investigator (CHFI) Certified Security Analyst (ECSA)
26 Cyber Arc: ook de beheerder onder de loep Je kunt alles nog wel zo goed dichttimmeren, beheerders hebben overal toegang toe. Ze moeten immers rechten regelen, reparaties uitvoeren wanneer dat nodig is, en dergelijke. Daarmee vormen ze een zwakke schakel in de beveiliging van gegevens. Kahuna heeft daar samen met Cyber-Ark een oplossing voor bedacht en legt ook de beheerder onder de loep.
Licensed Penetration Tester (LPT) Certified Information Systems Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Information Systems Auditor (CISA) Cloud Security Audit and Compliance (CSAC) Certified Risk Manager ISO 27005/31000 of the Year ATC
TSTC - 6e jaar op rij de beste EC-Council Security Opleider Europa!
28 id-me beveiligt zakelijke tablets met vingerafdruk Het zakelijk tabletgebruik groeit ongekend snel, vanwege zowel het gebruiksgemak van dat type computer, als het toenemend aantal apps voor het raadplegen en invoeren van bedrijfsinformatie. Deze trend noodzaakt ICT-managers tot het inzetten van andere en betere beveiligingsmaatregelen. Een innovatief voorbeeld daarvan is de biometrische vingerafdrukidentificatie die het Nederlandse bedrijf id-me eind mei introduceerde tijdens Identity & Access Management 2013.
SIEM is dashboard
voor real-time managen van security en compliancy
19
Om op een succesvolle manier IT-omgevingen te beveiligen, moeten Informatiebeveiliging en cybersecurity geïntegreerd worden in één platform, stellen Rhett Oudkerk Pool en Erik de Bueger van Kahuna. Door real-time informatie te verzamelen uit logfiles van netwerkcomponenten, tools, securitycomponenten, servers, laptops, desktops, applicaties en databases en deze vervolgens te correleren en te analyseren, geeft SIEM een overzichtelijk beeld van de actuele status van de security van een organisatie en maakt het bestuuren controleerbaar.
35 Firewalls en de cloud Laatst hoorde ik iemand zeggen dat firewalls op locatie het veld zullen ruimen voor firewalls in de cloud. Dat klonk nogal onwaarschijnlijk, maar het deed me wel afvragen of er waarheid in deze bewering schuilt. Firewalls zullen altijd nodig blijven. Het zijn immers de enige apparaten die in staat zijn om het applicatie- en gegevensverkeer te analyseren en te inspecteren. De vraag is echter wel welke invloed de cloud op firewalls zal uitoefenen. 38 SAP richt zich op bestrijden van fraude
Want security start bij mensen!! W W W.T STC .NL
40 SCOS: Deep Packet Investigation om dataverkeer te analyseren Het rinkelen van de mobiele telefoon kondigt het nieuws aan dat elke netwerkbeveiligingsprofessional vreest: “Ik denk dat het netwerk is gehackt”. Plotseling moet u antwoord vinden op vijf vragen die u nooit gesteld had willen zien. Digital Network Packet Forensics kan helpen. 42 Recht & informatiebeveiliging De wereld gaat aan ICT ten onder, tenzij...
Infosecurity.nl magazine - nr. 3 - juni 2013
g
McAfee kiest voor whitelisting
Van de redactie
Beveiliging
beveiligingsmaatregelen om ervoor te zorgen dat zowel persoonlijke als bedrijfsinformatie goed beschermd is. De uitdaging daarbij is dat de gebruikers van smartphones en tablets graag keuze en flexibiliteit willen in het type apparaten dat ze gebruiken, terwijl de IT- en beveiligingsafdeling de juiste balans moet zien te vinden tussen beveiliging en productiviteit. Daarnaast zien we dat ook steeds meer apparaten met één enkele functie verbonden zijn met het netwerk en dus ook beveiligd moeten worden. Naarmate meer en meer endpoints worden aangesloten op het netwerk, moeten organisaties nieuwe manieren vinden om al deze apparaten effectief en efficiënt te beveiligen.
van endpoints kan naar veel hoger niveau Traditionele beveiligingsmethoden voldoen niet meer om de cybercriminelen bij te houden – laat staan voor te blijven. Maar ook het aantal apparaten – endpoints – dat beveiligd dient te worden, groeit klassieke security-methodieken boven het hoofd. McAfee introduceert daarom nu een andere aanpak, die gebaseerd is op ‘whitelisting’ van applicaties. Daarbij biedt McAfee met een nieuwe versie van zijn oplossing voor het beheer van mobiele apparaten ook meer grip op BYOD binnen organisaties.
Iedere dag worden er meer dan 100.000 nieuwe malware-varianten gedetecteerd. Dat zijn er maar liefst 69 per minuut of ruim één per seconde. De dreigingen blijven dus toenemen en dat zal voorlopig alleen nog maar sneller gaan. Commerciële tools om zelf malware te creëren – makkelijk en snel, zonder al te veel technische kennis – maken het in feite voor iedere (cyber)crimineel mogelijk om phishing, spam of botnets in te zetten tegen een bedrijf of organisatie. En als de potentiële opbrengst maar hoog genoeg is, worden er speciale, doelgerichte en persistente aanvalsvormen ingezet – niet zelden met succes. Het resultaat van al deze aanvallen is dat organisaties hun handen vol hebben aan beveiliging. Daar komt nog eens bij dat de BYOD-trend geheel nieuwe uitdagingen met zich meebrengt op het gebied van beveiliging en beheer. De explosie van het aantal verschillende mobiele apparaten dat toegang heeft tot zowel persoonlijke als zakelijke informatie, heeft er al voor gezorgd dat mobiele apparaten het belangrijkste nieuwe doelwit zijn
geworden voor cybercriminelen. Dat betekent dat bedrijfssystemen potentieel gevaar lopen wanneer besmette mobiele apparaten verbinding maken met het bedrijfsnetwerk. Vier fasen Een malware-aanval kent vier verschillende fasen. Om te beginnen moet de malware op de een of andere manier in contact worden gebracht met de gebruiker. Vervolgens moet de malware toegang krijgen tot het systeem, waarna er bestanden op worden geplaatst en systeeminstellingen worden gewijzigd. Allemaal zonder dat de gebruiker daar iets van merkt. Op de derde plaats zorgt de malware ervoor dat het als het ware ‘onzichtbaar’ wordt voor het systeem en – bij geavanceerde technieken – zelfs voor eventueel geïnstalleerde beveiligingssoftware. Tot slot gaat de malware daadwerkelijk aan de slag, bijvoorbeeld om informatie te stelen en door te sluizen naar een voor de cybercrimineel toegankelijke locatie. Om systemen effectief te kunnen beveiligen, moet beveiligingssoftware in al deze
vier fasen actief zijn. Bijvoorbeeld door te filteren op links in spam-mails of social media-berichten die leiden naar besmette websites. Een systeem als McAfee’s op cloud gebaseerde Global Threat Intelligence (GTI) controleert voortdurend de reputatie van websites, IP-adressen, links en dergelijke en geeft een waarschuwing wanneer een gebruiker een verdachte link of website probeert te openen (fase 1). Zo kan in veel gevallen al worden voorkomen dat malware op een systeem of netwerk belandt. Tegelijkertijd moet in real-time gemonitord worden op verdachte activiteit op het systeem, die kan duiden op malware die zich ergens tracht te nestelen (fase 2). Maar er is intussen zeer geavanceerde malware die zich weet te verbergen op een niveau onder het besturingssysteem (fase 3). Deze zogenaamde ‘rootkits’ zijn onzichtbaar voor traditionele beveiligingssoftware, omdat ze geladen worden nog voor het opstarten van Windows, op een moment dat traditionele virusscanners nog niet actief
zijn. De door McAfee en Intel gezamenlijk ontwikkelde DeepDefender-technologie is echter in staat om systemen ook effectief tegen dergelijke rootkits te beschermen, zoals ook blijkt uit tests door gerenommeerde testorganisaties, waaronder AV-Test en NSS Labs. Tot slot moet de beveiligingssoftware natuurlijk ook voortdurend alert zijn op de activiteiten waarvoor de malware eigenlijk is ontwikkeld: het verzamelen en doorzenden van logingegevens, financiële informatie of andere bedrijfskritische gegevens (fase 4), het beschadigen van bestanden of het platleggen van informatiesystemen. Meer systemen om te beschermen De complexiteit rondom het beschermen in deze vier aanvalsfasen neemt toe, doordat het aantal verschillende endpoints binnen organisaties sterk groeit. Enkele jaren geleden ging het voornamelijk om het beveiligen van de desktop-pc of laptop, maar intussen hebben we het
over een veel grotere verscheidenheid aan systemen. Endpoints worden op dit moment ingedeeld in de volgende categorieën: de werkplek, het datacenter en mobiele apparaten of apparaten met één functie (bijvoorbeeld opslagsystemen of medische apparaten). Op de werkplek hebben we het onder andere over desktops, laptops/ultrabooks en verwisselbare opslagmedia (bijvoorbeeld USB-sticks). Dit zijn de systemen die over het algemeen het meest kwetsbaar zijn en dus ook het belangrijkste doelwit van aanvallen. Maar ook systemen in het datacenter lopen risico’s, van servers (fysieke of virtuele) tot databases en opslagsystemen. Al deze zakelijke endpointsystemen bevatten informatie die van groot belang is voor een organisatie en die dus goed beveiligd moet worden. Dan is er BYOD: voor steeds meer organisaties is dit een centraal onderdeel van de IT-strategie en vereist specifieke
Zwart versus wit Tot nu toe maken de meeste beveiligingsoplossingen gebruik van ‘blacklisting’ waarbij continu een database wordt bijgehouden met informatie en karakteristieke kenmerken van bekende malware. Voordat een toepassing op een systeem gestart kan worden, controleert de beveiligingssoftware of het deze kenmerken tegenkomt in de bewuste toepassing. Zo ja, dan wordt voorkomen dat de toepassing start en worden de gebruiker en de ITafdeling gewaarschuwd. Blacklisting was lange tijd een goede beschermingsmethode, maar de ontwikkeling van nieuwe malware gaat intussen dusdanig snel dat het bijhouden en distribueren van blacklisting-gegevens niet langer de meest effectieve oplossing is. Het is beter om het goedkeuringsproces voor toepassingen om te draaien. Dus niet langer controleren of een toepassing te vinden is in een lange lijst met geblokkeerde toepassingen, maar juist alleen die toepassingen toestaan die expliciet zijn opgenomen in een zogenaamde ‘whitelist’. Voor veel organisaties is whitelisting een veel veiligere en zinvollere beveiligingsmethode, omdat het aantal toepassingen dat binnen een organisatie nodig is voor de bedrijfsprocessen, vrij beperkt is. Het is dus relatief eenvoudig om een database met bekende, goedgekeurde toepassingen op te stellen en bij te houden. Een toepassing die niet in deze database voorkomt, kan niet worden gestart. Dat geldt dus ook voor malware-applicaties. Een enorm pluspunt is daarbij het feit dat systemen ook beschermd zijn tegen nieuwe, onbekende malware. Bij black-
Infosecurity magazine - nr. 3 - juni 2013
g
McAfee kiest voor whitelisting
g
Beveiliging en privacy hebben grote impact op slagen van Big Data
Goede security absolute noodzaak voor Analytics as a Service
listing moet eerst gewacht worden tot er een update van de malwaredatabase beschikbaar is en vervolgens moet deze op alle systemen worden geïnstalleerd. Tot die tijd heeft de malware echter min of meer vrij spel en kan het de nodige schade aanrichten. Naast het pure beveiligingsaspect heeft whitelisting nog andere voordelen. Zo heeft de IT-afdeling hiermee meteen een prima middel in handen om het gebruik van niet-geautoriseerde toepassingen door gebruikers tegen te gaan. De prestaties zijn bij gebruik van de whitelistingmethode ook veel beter, omdat de blacklists met malware-kenmerken aanzienlijk in omvang blijven toenemen, waardoor het meer tijd en capaciteit kost om deze telkens te raadplegen. McAfee biedt in zijn nieuwe Complete Endpoint Securu-
ty-suites daarbij de mogelijkheid om applicaties dynamisch op de whitelist te zetten indien een eindgebruiker deze nodig heeft. Daarbij kan gekozen worden voor automatische goedkeuring van whitelistverzoeken (waarbij uiteraard wel auditgegevens worden bijgehouden) of voor een benadering waarbij via het beheersysteem eerst toestemming moet worden gegeven voor installatie van een nieuwe toepassing. Eenvoudiger beheer Om het beheer van de beveiliging binnen de hele organisatie eenvoudiger, effectiever en goedkoper te maken, is in de McAfee Complete Endpoint Protection-suites het beheer van alle endpoints bijeengebracht in één beheerplatform. Voor de IT- of beveiligingsafdeling betekent dit geen aparte consoles meer voor
de servers, voor de pc’s en laptops, voor de smartphones en tablets en dergelijke. Ook vanuit administratief oogpunt is dit een flinke stap vooruit, omdat het niet meer nodig is om voor al deze platforms aparte producten en -licenties aan te schaffen. McAfee’s ePolicy Orchestrator (ePO) is daarbij een belangrijk hulpmiddel. ePO helpt organisaties bij het vastleggen van de bedrijfsregels op het gebied van digitale beveiliging en zorgt ervoor dat deze regels automatisch worden afgedwongen op de verschillende endpoint-systemen. De nieuwe Real Time for ePolicy Orchestrator-software zorgt daarbij voor een aanzienlijke versnelling in het herkennen van verdacht verkeer en maakt het mogelijk om snel en adequaat te reageren wanneer afwijkingen worden gedetecteerd. Het resultaat is een beveiligingsbeheersysteem waarmee bedrijven razendsnel informatie kunnen verzamelen over elke endpoint binnen het bedrijfsnetwerk – mobiel of vast – en makkelijk beveiligingssoftware kunnen distribueren of updaten. Zo biedt McAfee met het bijeenbrengen van al deze beveiligingstools in één complete en gemakkelijk te beheren suite, waarmee organisaties effectieve tegenmaatregelen in huis halen alle vier fasen van een malware-aanval.
Tijdens de beurs Infosecurity Europe 2013 werden de resultaten bekend van een onderzoek naar het resultaat van projecten op het gebied van Big Data. Veel Big Data-projecten dreigen te mislukken door problemen rond security. Dat is onnodig, stelt Patrick de Goede van Eijk van T-Systems, als we maar goed weten wat we op security- en privacy-gebied moeten regelen.
De druk bezochte Britse editie van Infosecurity-beurs vormde een mooie gelegenheid om de bezoekers te ondervragen over hun belangrijkste ervaringen met een van de belangrijkste thema’s van dit moment: Big Data. Liefst 76 procent van de ondervraagde managers (IT en business) gaf aan dat men grote zorgen heeft over de vraag of security bij Big Data-projecten wel afdoende is geregeld? Die zorgen bleken zo groot dat meer dan de helft security-problemen als belangrijkste reden aangaf waarom men nog niet met Big Data aan de slag is gegaan.
Traditionele security-mechanismes zijn hier niet op toegesneden, stellen de onderzoekers van CSA’s Big Data Working Group. Die zijn gericht op statische gegevens en niet op streaming data. Een fenomeen als ‘provenance’ laat zich bijvoorbeeld niet of nauwelijks overbrengen naar een cloud-omgeving en tools die bedoeld zijn om afwijkingen in datasets op te sporen, zullen in veel gevallen veel te veel ‘false positives’ opleveren. Bovendien vereist het streaming karakter van Big Data-projecten dat securitymaatregelen realtime kunnen worden uitgevoerd.
De Cloud Security Alliance (CSA, www. cloudsecurityalliance.org) heeft inmiddels veel werk op dit gebied verricht. Erg nuttig is bijvoorbeeld de whitepaper ‘Top Ten Big Data Security and Privacy Challenges’. In dit document wordt het security- en privacy-probleem kernachtig geformuleerd: ‘Security and privacy issues are magnified by velocity, volume, and variety of big data, such as large-scale cloud infrastructures, diversity of data sources and formats, streaming nature of data acquisition and high volume intercloud migration’.
De werkgroep heeft de tien belangrijkste problemen op het gebied van security, privacy en Big Data in kaart gebracht. Laten we deze tien punten eens nader bekijken. 1. Veilige verwerking van gegevens in een gedistribueerd programming framework Gedistribueerde programming frameworks maken gebruik van parallellisatiemechanismen bij het verwerken van massale hoeveelheden data. Een bekend voorbeeld is MapReduce. Hierbij wordt
een input file gesplitst in meerdere brokken. In de eerste fase van verwerking wordt voor iedere brok data een zogeheten Mapper gebruikt om de gegevens te lezen, een bewerking uit te voeren en een serie key/value pairs voort te brengen. In de volgende fase combineert een zogenaamde Reducer de values die bij iedere key horen en genereert daarmee het resultaat. Om deze operatie veilig uit te voeren, zijn twee attack preventionmaatregelen nodig: het beveiligen van de mappers en het beveiligen van de data als een ‘rogue mapper’ wordt ontdekt. Een ‘untrusted mapper’ kan verkeerde resultaten opleveren, waardoor ook het geaggregeerde resultaat fout zal zijn. 2. Security best practices voor nietrelationele data stores NoSQL-databases hebben niet-relationele data stores populair gemaakt. De onderzoekers stellen dat er veel ontwikkelingswerk plaatsvindt rond de security-infrastructuur voor dit soort data stores. Er is echter nog geen sprake van een volwassen aanpak als het gaat om bijvoorbeeld NoSQL injections. Security maakte zeker niet altijd onderdeel uit van NoSQL-producten. Ontwikkelaars imple-
Infosecurity magazine - nr. 3 - juni 2013
g
Beveiliging en privacy hebben grote impact op slagen van Big Data
menteren security van een NoSQL-omgeving veelal in een middleware-laag, maar NoSQL-databases dwingen security niet expliciet in de database zelf af. Dat is een probleem, zeker als we NoSQL-databases ook nog eens gaan clusteren. Er zal dus zeer goed gekeken moeten worden naar de security-maatregelen die in de genoemde middleware-laag zijn opgenomen. 3. Veilige opslag van gegevens en veilige transactielogging Het aantal data- en transactielogs neemt bij Big Data-projecten een dermate omvang aan dat het voor een IT-afdeling niet meer te doen is om handmatig bij te houden waar deze logbestanden zich bevinden. Dit zal dus via een vorm van ‘autotiering’ moeten worden geregeld. Daar bestaan inmiddels oplossingen voor, maar die houden veelal weer niet bij waar de data zelf is opgeslagen. De CSAwerkgroep noemt een voorbeeld van een bedrijf waar data afkomstig van verschillende divisies bij elkaar gebracht wordt. Sommige logdata wordt echter nauwelijks opgevraagd, terwijl andere loggegevens voortdurend worden geraadpleegd. Een oplossing voor auto-tiering zal de zelden geraadpleegde logdata verplaatsen naar een ‘lower tier’. Vaak heerst daar ook een minder streng security-regime. Met andere woorden: auto-tiering van logdata kan een oplossing zijn, mits een duidelijk beeld bestaat van de verschillende tiers en bijbehorende security-maatregelen. 4. Validatie en filtering van gegevensinvoer vanaf endpoint devices Een belangrijk probleem bij veel Big Data-projecten is: kunnen we de data die wordt toegevoegd vertrouwen? Met andere woorden: input validatie. Hoe kunnen we vaststellen dat de data correct is en hoe filteren we malicious gegevens uit de datastroom? Dit wordt – met dank aan BYOD – een steeds actueler probleem. De algoritmes om deze vaststelling en filtering te doen, ontbreken nog grotendeels. 5. Realtime monitoring van security en compliance Realtime security monitoring is altijd al een lastig probleem geweest. De hoeveelheid alarmeringen is in veel gevallen te groot voor mensen om te verwerken, waardoor veel van deze alerts simpelweg worden weggeklikt. Bij Big Data 10
wordt dit alleen nog maar erger. Aan de andere kant kunnen Big Data-technieken ook helpen om grip op dit probleem te krijgen, juist omdat veel Big Data-technologie op het razendsnel verwerken van grote hoeveelheden gegevens is gericht. Waardoor de interessante situatie ontstaat dat Big Data-technieken gebruikt kunnen worden om afwijkingen te vinden in de enorme gegevenstromen die met Big Data gepaard gaan. Hierdoor kan het op termijn mogelijk worden om veel sneller en gemakkelijker antwoord te krijgen op vragen als ‘Hebben we een overtreding van compliance-standaard ABC doordat zich actie XYZ voordoet?’ 6. Schaalbare en eenvoudig samen te stellen data mining en analytics met behoud van privacy Veel criticasters van Big Data zien in de opkomst van dit soort technieken vooral een bedreiging: minder privacy, opdringerige marketingacties, problemen met mensenrechten. Ook anonimiseren van data is niet voldoende om de privacy van mensen veilig te stellen. Toen Amazon onlangs een set met geanonimiseerde zoekresultaten publiceerde die voor academische doeleinden waren gebruikt, bleek het zeer eenvoudig om aan de hand van de zoekacties de personen in kwestie te vinden. Er zullen dus duidelijk richtlijnen en aanbevelingen moeten komen hoe onbedoelde inbreuk op privacy kan worden voorkomen, juist ook bij het samenvoegen van datasets. Belangrijk hierbij is te beseffen dat datasets continu worden bekeken en geanalyseerd. Er is maar één analist nodig die bewust een dataset misbruikt en de privacy van grote aantallen personen loopt gevaar. 7. Toegangscontrole en communicatie op basis van encryptie Zonder versleuteling kan niet worden gegarandeerd dat gegevens veilig worden verzameld en slechts toegankelijk zijn voor de partij die hiertoe geautoriseerd is. Hierbij dient de data versleuteld te worden op basis van access control policies. We kunnen hierbij werken met hulpmiddelen als ‘attribute based encryption’ (ABE), maar dit soort technieken zijn nog niet ver genoeg ontwikkeld. Het ontbreekt in veel gevallen nog aan functionele rijkdom, schaalbaarheid en efficiency. 8. Fijnmazige access control Een lastig probleem bij grote datasets
is het beantwoorden van de vraag wie welke data mag inzien. De CSA-onderzoekers hebben vastgesteld dat in veel gevallen toegang tot veel gegevens afgeschermd wordt zonder dat daar een duidelijke reden voor is. Veelal blijkt dan dat het aan de juiste tools ontbreekt om zeer fijnmazig te kunnen instellen welke gegevens door wie mogen worden gezien of gebruikt. Juist de veelheid aan maatregelen, wetgeving en afspraken maken dit lastig. Vaak gelden juridische regels, branche-afspraken, samenwerkingsovereenkomsten tussen bedrijven en dergelijke. Er dienen tools te komen waarin de impact van al dit soort relevante governance-systemen kan worden geregeld en beheerd. 9. Fijnmazige mogelijkheden voor auditing Hoewel we bij Big Data proberen te wer-
ken met realtime security, zal dit in de praktijk niet altijd lukken. Er kan een tot dan toe onbekend type aanval worden gebruikt of er is sprake van een ‘true positive’ die over het hoofd is gezien. In dat geval zal achteraf uitgezocht moeten worden wat er precies is gebeurd. Dit soort audit-informatie is bovendien bedoeld om te onderzoeken wat de bedrijfseconomische en juridische gevolgen zijn. We worden bij een probleem bovendien geacht uit te leggen waarom een bepaalde compliance-standaard is overtreden en hoe dit in de toekomst voorkomen zal worden. 10. Data provenance Waar komt een bepaald gegeven vandaan? Het vastleggen en analyseren van dit soort metadata zal steeds resourceintensiever worden naarmate de hoeveelheid data die we verzamelen verder
groeit. Toch is het van cruciaal belang dat hier goede tools voor worden gebruikt. Deze metadata is bijvoorbeeld van groot belang om de waarde van bepaalde datasets te kunnen vaststellen voordat deze worden gebruikt. Bewust worden Big Data biedt bedrijven en overheidsinstellingen enorme mogelijkheden. Maar de zorgen die de ondervraagde IT- en business managers tijdens Infosecurity Europe 2013 aangaven, zijn natuurlijk wel zeer terecht. Daarbij gaat het er zeker niet ‘alleen maar’ om hoe wij cybercriminelen kunnen tegenhouden die hun oog op grote data stores hebben laten vallen. Het is van cruciaal belang dat wij zekerheid hebben over de herkomst en de kwaliteit van de gegevens, terwijl wij ons bovendien te houden hebben aan wet- en regelgeving op het gebied van privacy-
bescherming. Maar ook governanceafspraken en bijvoorbeeld commerciële afspraken tussen bedrijven over het gebruik van gedeelde informatie moet goed en aantoonbaar geregeld zijn. Nu veel organisaties hun eerste stappen op het gebied van Big Data en Analytics as a Service zetten, is het dan ook van groot belang dat zij zich bewust zijn van de vele security-aspecten die hierbij spelen. Patrick de Goede van Eijk is enterprise architect en solution expert bij T-Systems. T-Systems heeft samen met Hadoop-specialist Cloudera en SPLUNK een Analytics as a Service-oplossing ontwikkeld die tegemoet komt aan de Europese wet- en regelgeving op het gebied van privacybescherming.
Infosecurity magazine - nr. 3 - juni 2013
11
g
Cisco ontwikkelt veilige architectuur voor gecombineerde machine/people communicatie
door Robbert Hoeffnagel
Securing
the internet of everything
The internet of things is momenteel ongekend populair, maar wordt tegelijkertijd eigenlijk al weer ingehaald door zijn opvolger: the internet of everything. Want machine-to-machine communicatie gaat meer en meer gecombineerd worden met machine-to-people communicatie en people to people communicatie. Cisco ontwikkelt een security-architectuur om deze mix aan communicatievormen goed te kunnen beveiligen. Is de kreet ‘the internet of everything’ een semantisch grapje van een overijverige marketeer? Of gaat het werkelijk om iets anders dan ‘the internet of things’? Als we mensen als senior vice president van Cisco Carlos Dominquez mogen geloven, gaat het wel degelijk om een substantieel verschil. Bij the internet of things draait het allemaal om machine to machine communicatie. Alle apparaten zijn voorzien van een IP-adres en sturen en ontvangen via internet berichten van en naar andere met internet verbonden apparaten. Alles en meer The internet of everything gaat een duidelijke stap verder. Want dan hebben we het over machine to machine plus machine to people communicatie. Anders gezegd: het gaat dan dus ook om machines die via internet berichten sturen aan mensen. Waarbij die mensen natuurlijk ook weer berichten terug gaan sturen of zelf het intitiatief nemen tot een communicatiesessie. Bovendien rekent Cisco ook people to people communicatie tot het internet of everything. In feite dus een volledige vermenging van communicatie tussen mens en mens, mens en machine, en machine en machine. Dat levert enorme kansen op, maar zeker ook niet te onderschatten uitdagingen. De eerste is natuurlijk de massaliteit. We hebben het – letterlijk – over vele tientallen, zo niet honderden miljarden apparaten en – vooral - apparaatjes. Want we hebben het natuurlijk niet alleen maar over de spreekwoordelijke koelkast-met12
internet-verbinding, maar ook over miniscule sensoren die de toestand van een machine-onderdeel of een pacemaker doorsturen. Vijf kenmerken Hierbij is het belangrijk om te beseffen dat vijf kenmerken the internet of everything definiëren: Uniek internet-adres: ieder aangesloten apparaat beschikt over een eigen uniek internet-adres dat gebruikt kan worden om dit object of device te identificeren, zodat deze met andere apparaten kan communiceren. Unieke locatie: een unieke locatie kan zowel een vaste locatie als een mobiele locatie zijn, maar belangrijk is dat er een unieke locatie voor ieder apparaat bekend is binnen het netwerk waarin dit device of object is opgenomen. Er is sprake van door het aangesloten apparaat of device gegenereerde of verwerkte informatie: de hoeveelheid informatie waar we het hier over hebben, zal de door mensen voortgebrachte informatie al snel gaan overstijgen. Complexe nieuwe voorzieningen voor security, analytics en beheer: nieuwe applicaties en systemen die in staat zijn gegevens te verwerken zullen het mogelijk maken om netwerken van met elkaar verbonden apparaten te formeren. Tijd en locatie worden steeds belangrijker: alleen al vanwege de enorme hoeveelheden data die verzameld kan worden, is het van cruciaal belang dat deze data gekoppeld kan worden aan het juiste moment en de juiste plek. Lukt dat, dan
zijn ongekende verbeteringen mogelijk in vrijwel ieder proces en ieder apparaat of systeem. Het zal echter niemand verbazen dat dit internet of everything ook een zeer interessant doelwit voor aanvallen oplevert. Dat gebeurt nu al en dat zal in de toekomst alleen maar erger worden. Het is dus van cruciaal belang dat security zeer veel aandacht krijgt, maar dan wel zo dat daarmee het internet of everything ook weer niet onbruikbaar wordt. Binnen Cisco wordt hier hard over nagedacht en vindt ook al veel productontwikkeling plaats. Dat gebeurt op basis van de in de figuur weergegeven architectuur. Deze architectuur bestaat uit vier lagen. De eerste laag bestaat uit embedded systemen, sensoren, actuators en dergelijke. Op deze laag bevindt zich een zeer gevari-
eerd gezelschap van apparaten, met allerlei cpu-types, OS’en, geheugenstructuren en -omvangen en dergelijke. Veel van die apparaten zijn zeer goedkoop en verrichten slechts één functie. Uitdagingen De uitdaging rond deze apparaten zijn groot. Denk aan: • • • • • •
moet klein en goedkoop zijn niet of nauwelijks sprake van fysieke security dient ‘in het veld’ autonoom te functioneren moet geïnstalleerd kunnen worden voordat het netwerk beschikbaar is moet na installatie remote beheerd kunnen worden het apparaat is wellicht niet in staat te werken met traditionele securityalgoritmen
Het enorme aantal apparaten en de ongekende variatie in soort en type stelt nogal wat eisen aan de multi-service edge van de internet of everything-architectuur. Deze ‘multi-service edge’ omvat die delen van het netwerk waar de communicatie met de endpoint devices plaats vindt. Hier zal support moeten bestaan voor een reeks van protocollen en technieken, zowel draadloos als vast, als Zigbee, IEEE 802.11, 3G en 4G. De veelheid aan protocollen die hier een rol speelt, stelt extra eisen omdat lang niet ieder protocol (voldoende) aandacht heeft voor security. In dat geval zullen ‘van huis uit’ onbeschermde endpoints via security services beschermd moeten kunnen worden. Daarnaast is het in de visie van Cisco van cruciaal belang dat security services in de netwerk core en de cloud-laag aanwezig zijn. Op deze manier kan het internet of everything beschermd worden tegen een veelheid aan aanvalsmethoden. Denk aan Denial of Service, Man in the Middle, Component and Endpoint Exploitation, spoofing en Confidentiality Compromises. De beste tegenmaatregelen hier zijn redelijk vergelijkbaar met het ‘gewone’ internet: krachtige encryptie, het gebruik van goed gedefinieerde en eenduidig vast te stellen identiteiten en rechtenschema’s, maar ook met kennis van zaken opgestelde policies die access control regelen. Beperkte resources Dé grote uitdaging van het internet of everything zit ‘m in het feit dat een uitgebreide security-architectuur moet wor-
den geïmplementeerd op een platform dat bijna per definitie slechts over zeer beperkte resources beschikt. Meer specifiek zal gezorgd moeten worden dat: • • • • •
•
veilige authenticatie mogelijk is op meerdere netwerken data beschikbaar is voor endpoint devices toegang tot data geprioriteerd kan worden privacy kan worden gewaarborgd krachtige authenticatie en gegevensbescherming niet gecompromitteerd kunnen worden de service en de data beschikbaar zijn en blijven
Ten slotte nog een laatste punt dat om aandacht vraagt. Stel dat een industrieel proces afhankelijk is van een continue stroom van temperatuurmetingen. De sensoren die deze waarden vaststellen en doorsturen, kunnen via een DoS-aanval onbereikbaar worden. De software die de meetwaarden van deze sensoren verzamelt, zal in staat moeten zijn om te herkennen dat op het moment dat de sensoren geen data meer doorsturen er sprake is van een incident dat een bepaalde reactie moet uitlokken. Er zal dan een ‘safe shutdown’ moeten worden gestart. Gebeurt dit niet, dan kan een ingrijpend industrieel ongeluk plaatsvinden. Security op zich is dus niet voldoende, er zal bovendien de nodige intelligentie toegevoegd moeten worden, zodat de reactie op een security-incident eveneens zoveel mogelijk geautomatieerd kan worden.
Infosecurity magazine - nr. 3 - juni 2013
13
g
Nieuws
WatchGuard’s access points maken wifi even veilig als kabelnetwerk
DOOR Ferry Waterkamp
IAM cruciaal
voor innovatie en groei Onderzoek van CA Technologies geeft aan dat slechts 47 procent van de bedrijven in de Benelux gebruik maakt van een Idenity & Access Management-strategie.
WatchGuard Technologies brengt twee nieuwe Wireless Access Point (WAP) producten op de markt: de AP 100 en AP 200. Met deze appliances kunnen organisaties hun draadloze netwerk (WLAN) net zo veilig maken als hun kabelnetwerk. De nieuwe Wireless Access Points beveiligen de draadloze omgeving met dezelfde hoge kwaliteit en performance als de WatchGuard-firewall appliances, en beschikken over dezelfde policy-gebaseerde managementfuncties. Met de AP100 en AP200 kunnen organisaties beveiligingspolicy’s – en wijzigingen daarop – tegelijkertijd implementeren op zowel draadloze netwerken als kabelnetwerken, hetgeen cruciaal is om securityregels in de gehele netwerkinfrastructuur strikt te kunnen handhaven. “Met de nieuwe WAP-producten krijgen organisaties de beschikking over al onze functionaliteit op het gebied van Unified Threat Management (UTM), waardoor ze hun WLAN-verkeer op een eenvoudige en betaalbare manier goed kunnen beveiligen”, zegt Etiënne van der Woude, Country Sales Manager Benelux bij WatchGuard. Dankzij geïntegreerde managementtools kunnen organisaties die al WatchGuard XTM-producten gebruiken, deze samen met de WAP-appliances vanaf één console configureren en beheren, wat tijd en onderhoudskosten scheelt. Bovendien kunnen alle WatchGuard’s XTM security features, zoals IPS, application control, WebBlocker en spamBlocker, worden toegepast op verkeer dat via het draadloze netwerk gaat. De combinatie van de WatchGuard XTM en de WAP geeft organisaties dan ook één complete en schaalbare beveiliging van al hun netwerken.
14
Nederlandse organisaties erkennen dat een vooruitstrevende aanpak van Identity & Access Management (IAM) cruciaal is voor het realiseren van innovatie en groei voor hun bedrijf. Dit blijkt uit het onderzoek ‘Digital identities and the open business‘ van CA Technologies. De resultaten tonen echter ook aan dat Nederlandse organisaties achterlopen met het toepassen van IAM ten opzichte van andere Europese landen, ondanks het feit dat zij het belang van een IAM-oplossing inzien. Voor het onderzoek zijn 337 Europese business en IT-professionals ondervraagd, waarvan 45 uit de Benelux (22 uit Nederland en 23 uit België). Bedrijven uit Benelux scoren laag Slechts 47 procent van de organisaties uit de Benelux gebruikt momenteel een IAM-strategie (on-premise, on-demand of via een hybride-model). Dit is het laagste gebruikspercentage van alle Europe-
se landen, waarvoor een gemiddeld gebruikspercentage van 70 procent geldt. De bedrijven uit de Benelux die wel IAM toepassen, zijn hier overigens wel bijzonder succesvol in. “Identiteit is van cruciaal belang voor iedere organisatie”, zegt Paul Ferron, Director Security Solutions EMEA bij CA Technologies. “Dit Europese onderzoek levert het overtuigende bewijs dat IAM is geëvolueerd van enkel een beveiligingsoplossing naar een drijvende kracht van de business voor Nederlandse organisaties. Nu bedrijfstransacties steeds vaker online plaatsvinden, cloud-diensten populairder worden en social media mainstream wordt, riskeren Nederlandse bedrijven een forse achterstand op de concurrentie als zij niet snel een effectieve IAM-strategie in gebruik nemen. Een vooruitstrevende IAM-oplossing kan deze bedrijven namelijk helpen bij het creëren van nieuwe online inkomstenbronnen, bij het verbeteren van de klanttevredenheid en uiteindelijk bij het aandrijven van innovatie en groei voor de organisatie.” Belang van authenticatie Het onderzoek toont aan dat er drie be-
langrijke redenen zijn waarom de authenticatie van maar ook het begrijpen van gebruikers zo belangrijk is voor het succes van Nederlandse bedrijven: 1. Openstellen van toepassingen Maar liefst 84 procent van de ondervraagde organisaties uit de Benelux stelt zijn IT-toepassingen open voor gebruikers van klantenorganisaties, consumenten of beide. In andere Europese landen ligt het percentage bedrijven dat zijn toepassingen voor deze groepen openstelt op slechts 58 procent. Driekwart van de Benelux-respondenten geeft aan dat hun organisatie tot deze openstelling is overgegaan om direct en online met externe gebruikers te kunnen handelen. Geavanceerde IAM maakt het in dit soort situaties mogelijk om op efficiënte wijze transacties tot stand te brengen. 2. Toenemend gebruik van cloud-diensten Een tweede reden waarom organisaties uit de Benelux veel waarde hechten aan authenticatie en het begrijpen van de eisen en wensen van gebruikers, is het toegenomen gebruik van cloud-diensten. IAM is essentieel om het gebruik van de cloud mogelijk te maken. 31 procent van de bedrijven is het bijvoorbeeld “eens” of zelfs “zeer eens” met de stelling dat IAM belangrijk is voor het leveren van toegang voor Software as a Service (SaaS) en andere cloud-bronnen. Ongeveer 67
procent van de bedrijven uit de Benelux is tevens van mening dat er specifieke voordelen te halen zijn uit het gebruik van IAM-as-a-Service (IAMaaS). Zo zegt 63 procent dat het cloud-gebaseerde IAM-model het eenvoudiger maakt om samen te werken met externe gebruikers. Daarnaast is 60 procent het erover eens dat het de managementkosten verlaagt en is 37 procent van mening dat IAMaaS de mogelijkheid biedt om nieuwe online inkomstenbronnen te creëren. 3. Social media-identiteit belangrijkste identiteitsbron De derde reden dat vooruitstrevende bedrijven uit de Benelux een duidelijke Return on Investment (ROI) in IAM zien, is het groeiende gebruik van social media als de belangrijkste bron voor identiteit. Er is overduidelijk bewijs dat deze organisaties steeds vaker social media gebruiken als onderdeel van een IAMstrategie. De resultaten van het onderzoek wijzen uit dat 74 procent van de Benelux-respondenten social media al gebruikt of van plan is te gaan gebruiken om potentiële klanten te identificeren en om met hen te communiceren. Bring Your Own Identity Het gebruik van social media leidt bovendien tot de opkomst van het bring-yourown-identity (BYOID)-concept, wat zowel op consumenten als op werknemers van toepassing is. De resultaten van het ‘Digital identities and the open business’onderzoek geven aan dat werknemers hun identiteiten zullen meenemen bij het wisselen van baan, net zoals dit al bij smartphones en andere apparaten met toegangsbeveiliging gebruikelijk is. Bepaalde IAMaaS-systemen configureren vooraf koppelingen naar social mediawebsites, wat zorgt voor een eenvoudige samenwerking tussen de bedrijfsprocessen en BYOID. Het bedrijfspotentieel van social media is daarnaast ook zeer groot: 78 procent van de bedrijven uit de Benelux maakt al gebruik van social media of heeft de intentie om social media in te zetten om bijvoorbeeld te achterhalen wat klanten wel of niet aanspreekt. Ongeveer 69 procent gebruikt nu ook social media – of wil dit in de toekomst gebruiken – om een koppeling te maken naar programma’s voor klantloyaliteit. Daarnaast gebruikt 65 procent van de respondenten social media om het klantbehoud te verbeteren.
Magic lanceert met AppMall mobility platform Magic Software, leverancier van onder meer applicatie-integratiesoftware, introduceert Magic AppMall, een mobility platform met uitgebreide MDM-functionaliteit. Daarnaast biedt de oplossing de mogelijkheid mobiele BI in te richten voor elk type mobile device en daarmee apps te bouwen. Hiervoor is geen speciale expertise of eigen IT-afdeling noodzakelijk.
Magic AppMall is gebaseerd op Afaria van SAP, dat zorgt voor het beheer, de veiligheid en het toegangsmanagement. Binnen Afaria kan ook worden gekozen voor Mobile Application Management (MAM), dat als het ware een afgesloten container in het mobiele device aanstuurt. Naast de gedefinieerde apps voor de bedrijfsinformatie, kunnen met de daarvoor bestemde module apps worden gebouwd en aangeboden via een private appstore. Magic AppMall probeert organisaties die hun workforce mobiel willen maken te ontzorgen. Ze beschikken in één keer over alle functionaliteit in één platform, waarvoor geen speciale expertise nodig is. Om de ontzorging compleet te maken is de Magic AppMall ook beschikbaar als Platform-as-a-Service via cloud-provider Interoute. John Verwaaijen, CEO van Magic Software Benelux, zegt: “Organisaties hoeven niet meer op te zien tegen het beheer, de beveiliging en het onderhoud van mobility oplossingen. Magic AppWall maakt een veilig Bring Your Own Device (BYOD) mogelijk. Elke organisatie kan van zijn draadloze netwerk een extensie maken van hun LAN. Veilig, eenvoudig en snel en uit de cloud. Alles bij elkaar is het platform bijzonder geschikt voor bedrijven met 25 tot 1000 medewerkers.”
Infosecurity magazine - nr. 3 - juni 2013
15
g
Opleidingsinstituut TSTC:
door Roderick Commerell
Om deze concurrentie voor te blijven, steekt TSTC als specialist veel tijd in de ontwikkeling en uitrol van nieuwe trainingen en het monitoren van bestaande titels. De kwaliteit van de trainer bepaalt in de kern de kwaliteit van een training en daarbij de meerwaarde van klassikale bijeenkomsten boven het goedkopere alternatief van zelfstudie. Docenten worden geselecteerd aan de hand van drie pijlers: actuele praktijkervaring, didactische vaardigheden en kennis van certificeringseisen. Daarnaast beschikt de opleider over gekwalificeerd personeel dat cursisten kan adviseren bij hun persoonlijke ontwikkeling op lange termijn en hen helpt bij het uitstippelen van logische opleidingstrajecten. Een bekend issue bij klassikaal opleiden is het niveauverschil tussen cursisten onderling dat resulteert in een relatief laag niveau van kennisoverdracht om de hele groep ‘erbij te kunnen houden’. Om dit te voorkomen en de trainingen compact aan te bieden (gemiddeld drie tot vijf dagen), start TSTC trainingen met een persoonlijk intakegesprek en een begeleide zelfstudieperiode voorafgaand aan de klassikale cursus. Niveauverschillen worden zo verkleind en trainers krijgen de gelegenheid op een uitdagender niveau te trainen met ruimte voor interactie, cases en hands-on laboefening. Bijkomend voordeel is dat er in veel gevallen direct aansluitend op de training examen kan worden gedaan wat de kans van slagen aanzienlijk blijkt te vergroten. De groepsgrootte blijft beperkt tot maximaal tien cursisten.
Security
start bij mensen
In de Maslow-pyramide staat de behoefte aan veiligheid en zekerheid net boven die van eten, drinken en slaap. Nog voordat we bemind en gerespecteerd willen worden, is er de behoefte aan een gevoel van veiligheid. Wellicht verklaart dit de explosieve groei in vraag naar - en dus ook aanbod van - security-oplossingen. Security start echter bij mensen en dus is goed opleiden van cruciaal belang.
Waar de media ons confronteren met de ene na de andere geslaagde cyberaanval, is er een bloeiende security-industrie ontstaan die allerhande antwoorden biedt om het gevoel van onbehagen weg te nemen. Opleidingsinstituut TSTC (voluit: Tshukudu Technology College) constateerde deze ontwikkeling al in een vroeg stadium en legt onder het motto ‘Security start bij mensen’ door middel van kwaliteitstraining de nadruk op de individuele mens. Zij zijn immers de essentiële schakel in zowel de succesvolle implementatie en het beheer van technische security oplossingen als in de planning, uitvoer en naleving van security beleid. Kennis maakt het verschil tussen achter de feiten aanlopen en met alle winden meewaaien of weten wat men doet en proactief voorbereid zijn op een incident. Strategische keus TSTC maakte in 2006 de strategische beslissing om naast trainingen rond ICTbeheer (Microsoft, Linux, Cisco) ook een vendor-onafhankelijk programma securitytrainingen uit te rollen. Waar de verschillende leveranciers vaak door marketing doorspekte eigen certificeringstrajecten aanboden, besloot TSTC als één van Europa’s eerste opleiders te starten met de toen nog relatief onbekende titel ‘Certified Ethical Hacker’ (CEH). Het idee hierachter was om de MCSE’ers en CCNA’ers uit die tijd een training te bieden waarin zij konden ervaren hoe gemakkelijk hackers misbruik kunnen maken van 16
hun werk en hoe zij hun IT-omgeving zelf kunnen testen op kwetsbare plekken. Na de introductie van CEH breidde TSTC het portfolio stapsgewijs uit tot een organisatiebreed cursusprogramma op het gebied van security van inmiddels ruim dertig titels als CISSP, CISA, ISO 27005: Certified Risk Manager, Computer Hacking Forensic Investigator en Introductie SCADA beveiliging. Met het meer volwassen worden van de markt constateren wij een steeds grotere differentiatie in functies en de bijbehorende gewenste kennis. Daarmee wordt een voor de security-sector belangrijke uitdaging zichtbaar: het samenbrengen van de wereld van de technische (security) specialist en van de meer tactisch/ strategische business georiënteerde security manager of CISO. Opmerkelijk hierin is de ontwikkeling van de door TSTC oorspronkelijk voor systeem- en netwerkbeheerders geadopteerde Certified Ethical Hackertraining. In een willekeurige planning in 2013 zitten de IT security manager, penetratietester, applicatiebeheerder en IT auditor zij-aan-zij om een week lang te leren tegen wie zij daadwerkelijk gezamenlijk ten strijde trekken. Gedurende een week cursus blijkt hoe ver de beleving van het ene vakgebied soms afstaat van het andere en welke vooroordelen er leven over de diverse functies – ‘Onze security manager weet niet waar hij over praat, hij snapt niks van techniek’ tot ‘Se-
curity heeft maar weinig met techniek te maken, als er maar een gedegen beleid aanwezig is.’ Aan het eind van de week groeit het eenduidige besef dat security door de zwakste schakel in de organisatie wordt beïnvloed en dat er dus, zowel beleidsmatig als technisch, werk aan de winkel is om alle neuzen de juiste kant op te krijgen. Nooit uitgeleerd TSTC kent een groot aantal terugkerende cursisten. Het opdoen van nieuwe security kennis en het behalen van nieuwe certificeringen blijkt voor veel deelnemers
een periodiek karakter te hebben. Bij de ene cursist komt dit voort uit gezonde, persoonlijke ambitie, bij de ander heeft het te maken met de eisen die certificerende instanties als ISC2 (CISSP) en ISACA (CISA, CISM, CRISC) stellen omtrent ‘Continuing Education’ om de behaalde security certificering te behouden. De kritische succesfactoren blijven volgens de TSTC kwaliteit en een heldere eigen filosofie. In lastige economische tijden trachten steeds meer ‘massa opleiders’ en nieuwe toetreders een graantje van de groeiende security opleidingsmarkt mee te pikken.
Brede markt De behoefte aan security kennis strekt zich volgens TSTC uit over zowel de publieke- als private sector. Binnen alle lagen van de overheid constateert de opleider een behoefte aan standaardisatie en normering wat de vraag naar relevante certificeringen vergroot. Ook van externen die actief zijn in de publieke sector wordt steeds meer verwacht dat zij beschikken over internationaal erkende security titels. De tijd van zomaar wat doen lijkt hiermee definitief achter ons te liggen. De enige sector die wat achterblijft is het Midden- en Kleinbedrijf. Security blijft daar nog vaak beperkt tot een virusscanner en een firewall. Training wordt veelal als te kostbaar beschouwd en krijgt wei-
nig prioriteit. Dit terwijl de gevolgen van een security-incident in verband met beperkte reserves en uitwijkmogelijkheden voor het MKB soms groter zijn dan voor grotere organisaties. Dit werd pijnlijk zichtbaar bij de recente cyberaanvallen op iDeal die volgens branchevereniging thuiswinkel.org webwinkeliers tientallen miljoenen omzetverlies toebrachten. Training lost uiteraard niet alles op, maar vergroot het bewustzijn van de noodzaak om risico’s in kaart te brengen en security een dagelijks onderdeel van de business te laten zijn. Uit veel praktijkgevallen blijkt dat het niet de zogenaamde ‘Advanced Persistent Threats’ zijn waar kleine organisaties zich tegen moeten wapenen maar met name relatief goed te voorkomen aanvallen die gebruik maken van bijvoorbeeld SQL injection of CrossSite Scripting. Trainingen zijn daarbij een logisch middel om het kennis- en bewustzijnsniveau te vergroten en de juiste acties te ondernemen om een organisatie hiertegen te beveiligen.
Toekomst TSTC ziet kansen in meer specialistische, korte cursussen op specifieke securityterreinen. Veel cursisten die de meer generieke trainingen hebben afgerond en de bijbehorende bekende certificeringen hebben behaald, geven aan behoefte te hebben aan verdieping en praktijkoefening. Korte vervolgtrainingen onder leiding van praktijkexperts kunnen in deze behoefte voorzien. Te denken valt aan trainingen over het beveiligen van mobile devices, compliance issues van cloud computing, een verdieping in encryptie en het geavanceerd penetratietesten van webapplicaties. De markt voor de bestaande trainingen en certificeringen lijkt echter nog lang niet verzadigd. Veel bedrijven onderkennen pas sinds kort de kloof tussen aanwezige kennis en de bedreigingen van cybercriminaliteit voor het imago en de toekomst van de organisatie. Nu steeds meer onderkend wordt dat de ontwikkelaar, tester, beheerder, manager en eindgebruiker elk hun eigen minimale security niveau nodig hebben, ligt er nog een grote potentiële markt voor het opleiden. Roderick Commerell is account manager Opleidingen TSTC
Infosecurity magazine - nr. 3 - juni 2013
17
VIRTUALISATIE
APPS
PRIVATE LAAS
GREEN IT
PAAS
SECURITY
PUBLIC
AAS
PRIVATE
LAAS CONVERSION
PUBLIC
HYBRIDE IT MANAGEMENT
GREEN IT
cloudworks.nu
Security Information & Event Management (SIEM) platform van Kahuna
LAAS
MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING
T MANAGEMENT
g
SECURITY
STORAGE
SOLUTIONS
SOLUTIONS
VIRTUALISATIE
PAAS MIGRATIE
CLOUDSHOPPING
STORAGE
DA GREE
MIGRATIE
CLOUDCOMPUTING
SIEM is dashboard
voor real-time managen van security en compliancy Om op een succesvolle manier IT-omgevingen te beveiligen, moeten Informatiebeveiliging en Cybersecurity geïntegreerd worden in één platform, stellen Rhett Oudkerk Pool en Erik de Bueger van Kahuna. Door real-time informatie te verzamelen uit logfiles van netwerkcomponenten, tools, security-componenten, servers, laptops, desktops, applicaties en databases en deze vervolgens te correleren en te analyseren, geeft SIEM een overzichtelijk beeld van de actuele status van de security van een organisatie en maakt het bestuur- en controleerbaar. Het verschil tussen informatiebeveiliging en cybersecurity zit ‘m in twee aspecten. Informatiebeveiliging gaat voor 80 procent om interne incidenten (bewuste of soms gewone fouten en slordigheden), bij cybersecurity is er altijd sprake van een externe aanval met een kwaadaardige intentie. “Informatiebeveiliging gaat over gedrag, over cultuur en de inrichting van bedrijfsprocessen. De betrokkene kan door een fout per ongeluk slachtoffer zijn. Bij cybersecurity kan de getroffene zelf het doelwit zijn, maar in toenemende mate worden de slachtoffers gebruikt als een middel, een stepping stone”, zegt Rhett Oudkerk Pool, oprichter en directeur van Kahuna. “Dat is een heel indirecte methode, bijvoorbeeld de zogenaamde drinkplaats-aanpak. Cybercriminelen hacken Nu.nl om de bezoekers van de nieuwssite te pakken te nemen, RSA wordt gehackt om iedereen die een RSA-token gebruikt te kunnen hacken en ze infiltreren duizenden werkplekken met als doel een botnet naar onze banken op te bouwen.” Volgens Oudkerk Pool vereisen informatiebeveiliging en cybersecurity één geïntegreerde aanpak. “Veel organisaties vragen zich af of ze voldoende maatregelen
genomen hebben en of hun maatregelen wel werken. Draait er wel iedere nacht een backup en wordt het backup gebruikers account niet misbruikt? Wij hebben daar een geïntegreerde oplossing voor in de vorm van ons SIEM-platform.” Geïntegreerde monitoring Vijftien jaar geleden wist eigenlijk elke beveiliger wel wat hem te doen stond en was de business case snel gemaakt. “Maakt de organisatie gebruik van inter-
net, dan moet er een firewall op de voordeur. Van de daarop volgende Intrusion Prevention Systemen was de business case al een stuk lastiger rond te krijgen, want het is een preventieve oplossing. Als men zich op het standpunt stelt dat de kans om gehackt te worden heel klein is, wordt vaak afgezien van maatregelen, ook al zou de impact van een hack groot zijn. Daar is een kentering in gekomen: de meeste organisaties willen minstens weten wat er in en om de infrastructuur gebeurt.” Het kan zelfs een verplichting zijn: DNB vraagt financiële instellingen aan te tonen dat ze afdoende antivirus-maatregelen hebben genomen. Een lastige kwestie volgens Oudkerk Pool. “Antivirus-tools hebben de eigenschap trots te melden hoeveel virussen ze buiten de deur hebben gehouden – maar zullen nooit aangeven hoeveel virussen er tussendoor
Rhett Oudkerk Pool (rechts) en Erik de Bueger (links) van Kahuna. Infosecurity.nl magazine - nr. 3 - juni 2013
19
g
Security Information & Event Management (SIEM) platform van Kahuna
geslipt zijn. Er moeten dus andere maatregelen worden genomen om compliant te zijn. Monitor het hele netwerk, detecteer het bijvoorbeeld als vanaf een bepaalde werkplek plotseling veel uitgaande verbindingen worden geopend. Dat is bovendien allemaal visueel te maken. Het zichtbaar maken van wat zich in de infrastructuur afspeelt is de basis van een plan-do-check-act cirkel.” Het is uiterst belangrijk om die eerste stap naar volledig inzicht in de gebeurtenissen in de infrastructuur te zetten, omdat alleen dan afwijkingen kunnen worden waargenomen.Dat vraagt ook om een tevoren afgesproken werkwijze. “Op een gegeven moment komt zo’n virus in actie en probeert ergens toegang toe te krijgen, bijvoorbeeld door een nieuw account aan te maken of een bestaand te misbruiken. Dan probeert het virus zich te nestelen in zijn doelsysteem. Dat gedrag kun je alleen maar waarnemen, als de infrastructuur redelijk schoon is,” voegt Erik de Bueger, directeur Operations van Kahuna daar aan toe. “Als er afgesproken is dat er service accounts in het netwerk worden gebruikt is het van belang die op vooraf vastgeiSIGHT Partners “Het liefst zou je willen weten wat er staat te gebeuren”, zegt Rhett Oudkerk Pool. “Dergelijke informatie zul je moeten zoeken en halen. Daarin voorziet iSIGHT Partners.” iSIGHT Partners verwerkt alle door hun vergaarde informatie in zogenaamde ThreatScapes, die per domein informatie geven en aanduiden welke technologie een relatie heeft met welke andere technologie(en). “iSIGHT Partners produceert een ThreatScape over advanced persistent threats, een over e-crime, over DDos, een scala aan onderwerpen”, licht Oudkerk Pool toe. “iSIGHT Partners helpt de gebruiker die zich aan het inlezen is in een dossier, door het gehele ecosysteem waar de ThreatScape deel van uitmaakt visueel te maken. Vindt de gebruiker iets dat hem interesseert, dan ziet hij op de afbeelding de plaats daarvan in het grotere geheel en daardoor ook de relaties met andere onderwerpen. ThreatScapes vormen in feite een visuele representatie, een index, een hoofdstukindeling over het onderwerp.” Kahuna is de Nederlandse vertegenwoordiger van iSIGHT Partners.
20
Met SIEM kunnen dit soort stappen worden ingeprogrammeerd en automatisch worden gedetecteerd. Maar ik benadruk nogmaals: eerst moet de infrastructuur schoon zijn, wat je natuurlijk met de SIEM tool tot stand brengt.” Ook nadat geautoriseerde medewerkers hebben ingelogd op een applicatie is het belangrijk te weten wat er daarna gebeurt. “Je wilt niet dat medewerkers inloggen op het systeem, een SSH-shell openen en vervolgens gaan rondstruinen in de database. Dat is echter vaak lastig in te regelen, maar SIEM voorziet daarin en biedt rapportages waarop te zien is wie wanneer toegang tot de database heeft gehad zonder gebruik te maken van de applicatie.” stelde tijden automatisch te laten draaien, met bijvoorbeeld als regel dat een service account niet inactief mag worden gebruikt – het is immers ongewenst dat een backup-account gebruikt wordt om toegang tot een systeem of database te krijgen. Dit soort zaken kunnen allemaal worden ingeregeld in ons SIEM-platform.” De eerste belangrijke stap die gezet wordt is dus het opschonen van de infrastructuur, pas dan wordt het SIEMplatform geïmplementeerd. De tweede stap is de nacontrole op activiteiten. “Bij remote access wordt in eerste instantie van alles gecheckt, maar als de verbinding eenmaal tot stand gebracht is vindt meestal geen controle meer plaats,” constateert Oudkerk Pool. “De beheerder van de telefooncentrale kan na authenticatie gewoon inloggen. Maar het is juist van belang te weten wat er daarna gebeurt: misschien gebruikt de zogenaamde beheerder de centrale wel als springplank naar de rest van de infrastructuur. Dat geldt ook voor servers die met andere servers communiceren: hoort de informatie die ze uitwisselen wel tot hun taak? Is het wel de bedoeling dat die twee servers of systemen informatie uitwisselen?” De Bueger stelt dat elk security-incident een aantal stappen doorloopt, waarvan een beschrijving gemaakt kan worden. “Vrijwel altijd zie je dan dat de eerste stap weliswaar sterk afwijkend, dus abnormaal was, maar dat niets of niemand dat binnen de context heeft waargenomen. Datzelfde geldt voor stap 2 en alle volgende stappen in het besmettingsproces had feitelijk voorkomen kunnen worden.
Ook uit de cloud Oudkerk Pool vindt investeringen in awareness-trainingen vrij zinloos. Volgens hem is het veel effectiever om gedrag te monitoren en de mensen aan te spreken op overtredingen. “Je laat dan weten dat deze manier van werken niet geaccepteerd wordt. Het bedrijf heeft een clean desk policy en daar valt ook de computer onder: we eisen dat iedereen die zijn werkplek verlaat zijn screensaver opstart en zijn werkstation lockt. Monitor of dat gebeurt. Er zijn ook medewerkers die maandenlang hetzelfde password gebruiken – tegen de afspraken in. Maak het zichtbaar, hang die statistieken op. Spreek de mensen erop aan. Het is veel nuttiger mensen gericht te sturen.” Hij beschouwt SIEM als het security dashboard van de infrastructuur, die verschillende databronnen bij elkaar brengt. “Ik kan pas zien dat er iemand inlogt en vervolgens doorlogt, als we de systemen koppelen. In onze strategie hebben wij allerlei oplossingen die ons verschillende inzichten geven: Palo Alto Networks firewalls geven ons inzicht in de infrastructuur, TrendMicro Deep Security geeft inzicht in de virtuele laag, Tripwire vertelt of een bestand is aangepast, Qualys vertelt ons de vulnerabilities. Het is een combinatie van verschillende tools en systemen.” Is de situatie van vandaag wel veilig? Zijn de wachtwoorden die gebruikt worden lang genoeg? SIEM met state monitoring biedt de technologie die dat soort zaken checkt, op basis van best practices. “Het SIEM-platform is onze expertise, ons unieke aanbod. Dat kan op locatie bij
De eerste belangrijke stap die gezet wordt, is het opschonen van de infrastructuur de klant maar we leveren het ook vanuit de cloud,” aldus Oudkerk Pool. “Kahuna is gecertificeerd Managed Security Service Provider met een licentie voor HP ArcSight. Dat maakt SIEM ook zeker bereikbaar voor kleinere bedrijven.” Oudkerk Pool gelooft in het uitwisselen van kennis; hij maakt deel uit van de werkgroep Cyber Security van Nederland ICT. “We hebben verscheidene suggesties gedaan wat de politiek of wat het Nationaal Cyber Security Centrum zouden kunnen doen. Bijvoorbeeld het bouwen van een Clearing House voor kennis. Ik vind het bijzonder interessant om te weten welk IP-adres gebruikt is bij het DigiNotar-incident, om te weten hoe de DDoS-aanval op Ideal technisch in elkaar zit. Ik zie dat wij daar wel een rol in kunnen hebben. Dat is een aardige uitdaging; het zou hier en daar immers kunnen botsen met privacywetgeving. Aan de andere kant moeten we gezamenlijk een bepaalde kant opgaan met cybersecurity. Je ziet ook al wat proefballonnetjes in de politiek. Het belangrijkste is het delen van informatie. Daarmee kunnen we de strijd straks winnen.” Het terughacken van hackers vindt Oudkerk Pool een begrijpelijke gedachte, maar erg risicovol, omdat er nooit volledige zekerheid is omtrent de bron van de aanval. “Degene die de hacker lijkt te zijn kan immers zelf slachtoffer zijn en als stepping stone worden gebruikt. En het is moeilijk met regels te omkleden. Het is en blijft risicovol; voor je het weet breng je een kettingreactie op gang.” Registreren De eerste generatie SIEM-implementaties monitorde de output van de firewall en het Intrusion Prevention Systeem op basis van IP-adressen. De tweede generatie SIEM kijkt ook naar menselijk gedrag binnen applicaties. De derde generatie biedt response scenario’s die in werking worden gezet als zich een incident voordoet. “Dat kan zijn de response die klaarstaat en door een mens in werking moet worden gezet. Maar het is ook mogelijk de scenario’s automatisch uit te laten voeren. We hebben klanten die dat willen op
het moment dat een patroon van identiteitsfraude wordt gedetecteerd. Er is zo’n lange voorgeschiedenis, dat we toch wel met zekerheid kunnen stellen dat hier iets gebeurt wat niet door de beugel kan. Ook is de impact van de maatregelen nog te overzien: is het na vijf uur? Blokkeren. De volgende ochtend kan iemand uitzoeken hoe de vork in de steel zit.” Erik de Bueger noemt het ‘lage ambitie SIEM’. “Gewoon registreren wat er allemaal gebeurt, dat is belangrijk, vooral als een organisatie niet beschikt over mensen die dat 24/7 kunnen doen. Als zich een incident voordoet ben je in staat de ‘tape terug te spoelen’ en te beschrijven en bepalen wat zich precies heeft voorgedaan: hoe lang heeft het geduurd, welke records zijn aangetast, hoe groot is de impact op klanten. Gewapend met die kennis kan een negatief scenario ten goede worden gekeerd.” Rhett Oudkerk Pool ziet ook veel laaghangend fruit: “Bij vrijwel alle securityincidenten is sprake van misbruik van privileged accounts. Zorg dus dat je het beheer van die accounts en de bijbehorende rechten zeer goed op orde hebt. Kahuna biedt daarvoor een digitale kluis, weinig sexy maar een absolute must. Dit soort tools kan de infrastructuur al een stuk robuuster maken. Bovendien heeft Kahuna vaak twee oplossingen voor hetzelfde probleem: een detectie- en responseoplossing, en een preventieve oplossing. Eén van onze klanten heeft beide oplossingen geïntegreerd en maakt daarmee de cirkel rond. Er is een preventieve maatregel neergezet op het gebied van wachtwoordenmanagement, en daarnaast is er de detectie om te controleren of de hele keten correct functioneert. Dat hoeft allemaal niet zo vreselijk veel te kosten, omdat we dat natuurlijk uit de cloud kunnen aanbieden. Prettig in een tijd waarin niet veel CapEx voorhanden is. ” Besparingen Is het eigenlijk wel mogelijk om de Return on Investment (ROI) van het SIEMplatform te berekenen? “Natuurlijk wel,” meent Oudkerk Pool.
Kahuna viert derde lustrum Directeur/eigenaar Rhett Oudkerk Pool richtte in 1998 informatiebeveiligingsbedrijf Kahuna op. Kahuna levert (Managed) Security oplossingen aan talrijke organisaties in het bedrijfsleven, de financiële sector en de overheid. Door de sterk opkomende cybercriminaliteit nemen het strategisch belang van Security en Compliance Management alleen maar toe. Tegelijkertijd worden netwerkinfrastructuren almaar complexer en wordt het risicoveld breder en gevarieerder, waardoor informatiebeveiliging meer en meer verschuift van detectie naar preventie. Dat komt tot uiting in het Kahuna Security Management Framework dat een afgewogen aanpak van preventieve en detectieve maatregelen omvat. Big Data Analytics, het analyseren van grote hoeveelheden gegevens, is een trend die sterk in opkomst is, zeker op het gebied van security. Kahuna’s verrijkte Security Information & Event-oplossing (SIEM) wordt al jaren ingezet als het gaat om het verzamelen, analyseren en rapporteren van grote hoeveelheden gegevens ten behoeve van Security en Compliance Management. Sinds kort is Kahuna de Nederlandse vertegenwoordiger van iSIGHT Partners, een Amerikaans bedrijf dat gespecialiseerd is in informatievoorziening omtrent cybercrime.
“De meeste van onze klanten hebben te maken met compliancy. Het automatiseren daarvan heeft gewoon een ROI en levert een simpele business case op in termen van besparing op handmatig werk. SIEM levert ook besparingen op voor licentiekosten: SIEM registreert alles wat gebruikt wordt, hoe vaak bijvoorbeeld de log-tool is gebruikt, en wat het maximale aantal concurrend users was over een bepaalde periode. Maar ook welke afdelingen nu wel en geen gebruik maken van bepaalde tools. Voor heel veel software kan zowel een named licentie als een concurrend user licentiemodel worden afgesloten. Bij 1000 gebruikers wordt meestal geraamd hoe groot het aantal concurrend users zal zijn, meestal de helft. Uit SIEM blijkt dan dat het werkelijke aantal maar 100 is. Dat kan veel kosten besparen, dus.” Hans Lamboo is freelance journalist
Infosecurity.nl magazine - nr. 3 - juni 2013
21
g
Kahuna viert 15-jarig bestaan
door hans lamboo
Cyber Security
Seminar brengt 100 security officers bij elkaar
Security-dienstverlener Kahuna bestond op 23 april 2013 op de kop af 15 jaar. Genoeg reden voor een feestje dus, maar zonder al te veel ophef. Ruim 100 security officers en een aantal partners gaven acte de présence op de bijeenkomst in het Utrechtse Geldmuseum voor felicitaties, een hapje en een drankje, en een aantal interessante presentaties van onder meer astronaut André Kuipers.
Het Geldmuseum is gevestigd in een schitterend pand gelegen aan het Merwedekanaal aan de rand van Utrecht. Vanaf 1911 werden in het speciaal daarvoor ontworpen gebouw de Nederlandse munten geslagen. In 2005 en 2006 onderging het gebouw een grootschalige verbouwing, die het mogelijk maakt het museum en de muntproductie in één gebouw te tonen. Op verschillende plekken in het gebouw is nog goed te zien dat veel moeite is gestoken in de beveiliging. In deze bijzondere ambiance bood oprichter en directeur Rhett Oudkerk Pool zijn gasten een interessante VIP-gast: de Nederlandse astronaut André Kuipers. De ruimte in Kuipers vertelt op een boeiende en meeslepende wijze en met een overvloed aan prachtig beeldmateriaal het verhaal van een Groningse arts die op een dag een advertentie zag waarin kandidaatastronauten werden gevraagd voor het internationale ruimtestation ISS. Tot zijn eigen verbazing wordt hij opgeroepen, gekeurd, getest en …… aangenomen. Omdat het ruimtestation is samengesteld uit componenten uit verschillende landen – waaronder de VS, Rusland, Duitsland en Japan als belangrijkste – bracht hij 22
tijdens zijn training veel tijd door in de desbetreffende landen om de apparatuur en voorzieningen te leren kennen en bedienen. Opnieuw tot zijn verbazing bleek hij uiteindelijk uitgekozen te zijn om deel uit te maken van een bemanningsteam. Een Soyoez-raket bracht de ruimtecapsule vanuit Kazachstan naar het ISS, waar Kuipers maar liefst 193 dagen in gewichtloosheid verbleef waardoor hij 3 procent bot kwijtraakte en het met minder bloed en minder hartspier moet doen. Van zijn verblijf is veel beeldmateriaal beschikbaar, soms hilarisch, soms wetenschappelijk en vaak alleen maar verbijsterend mooi. Tijdens de omloopcycli van het station maakte hij een grote hoeveelheid foto’s van de aarde, die gemonteerd in een timewarp een bewegend beeld te zien geven van onze thuiswereld en een aantal natuurfenomenen tonen, zoals gekapt oerwoud in Brazilië, diverse inslagkraters en tornado’s boven de oceaan. Zelfs internetten is mogelijk in het ISS, zij het via een speciale straalverbinding gekoppeld aan een pc op aarde, waarvan hij absoluut overtuigd is dat de beveiliging optimaal is ingeregeld; een hacker zou in het ISS immers voor een waarlijke ramp kunnen zorgen….
Als belangrijkste boodschap geeft Kuipers zijn toehoorders mee, dat onze planeet uiterst kwetsbaar is, een kwetsbaarheid die vanuit het heelal gezien heel indringend tot uitdrukking komt. Voorzichtigheid met Moeder Aarde is dus geboden, aldus André Kuipers. Geïntegreerde security-strategie Directeur Operations van Kahuna, Erik de Bueger, ging in zijn presentatie in op de laatste trends en het belang van een geïntegreerde securitystrategie zoals Kahuna’s SIEM (Security Information & Event Management platform). Alleen het samensmelten van Informatiebeveiliging en Cyber Security biedt soelaas, hoewel hij erkent dat 100 procent veilige omgevingen niet bestaan, zeker niet gezien de almaar toenemende complexiteit van de realiteit. De enige zekerheid is dan ook dat ooit het moment komt dat het mis gaat – hoe adequaat kan een organisatie dan optreden? Een organisatie kan ervoor zorgen dat het netwerk ‘schoon’ is, waardoor kan worden vastgesteld wat ‘normaal’ is en wat voor afwijkingen zich daarop voordoen. Het SIEM-platform volgt de events in alle componenten van het netwerk – ook tools, werkstations en servers - op de voet en signaleert abnormale gebeurtenissen op een dashboard, dat tevens de besturings- en analyseomgeving is. SIEM is te vergelijken met
een securitycamera die alles registreert, waardoor kennis over het eigen netwerk wordt opgedaan. Op die manier kunnen incidenten snel worden onderkend, geanalyseerd en bestreden. Mocht zich het geval voordoen dat zich toch een ernstige schending van de systemen heeft voorgedaan, dan beschikt de organisatie over een tool om het incident stap voor stap te reconstrueren en te analyseren. Forensic Readiness, noemt De Bueger dat. Doordat het SIEM-platform ook in de cloud wordt aangeboden via ArcSight van HP, komt het ook binnen bereik van het MKB. Slimme malware Eén van de belangrijke partners van Kahuna is het Amerikaanse Palo Alto Networks, leverancier van onder meer firewalls en intrusion prevention, antivirus- en antimalware-systemen. Systems Engineer Patrick de Jong ging in zijn presentatie in op het verschijnsel Zero Day, de dag dat voor het eerst een nog onbekende kwetsbaarheid in een applicatie of device wordt misbruikt door criminelen. Het is buitengewoon lastig preventieve maatregelen tegen dergelijke incidenten te nemen. Helaas is het aantal Zero Day incidenten sterk aan het stijgen en de makers van de malware worden steeds slimmer. Zodra de software binnen is op een systeem doet het nog niets destructiefs, maar gaat rustig op zoek naar
interessante omgevingen, waarin het zich vervolgens nestelt om later toe te slaan. Gebruikers zien zich steeds vaker geconfronteerd met valse websites, zoals bijvoorbeeld een fake YouTube-site met een belangrijke update, of een namaak LinkedIn-melding; deze zijn bedoeld om de bezoeker te verleiden zelf op de knop ‘update’ te klikken en zo de malware naar binnen te halen. Ook valse QR-codes en dito ‘tiny.urls’ leiden naar dergelijke sites. Hackers zijn sterk geprofessionaliseerd en werken met speciale, commerciële Crime Kits die grootschalige aanvallen mogelijk maken. Het is dan ook key om
goede adequate maatregelen te treffen om te zorgen dat cybercriminelen überhaupt niet binnen kunnen komen. Parallelsessies Na een korte onderbreking vond een viertal parallelsessies plaats: Patrik Horemans, Account Executive Benelux van Cyber-Ark ging in op het fenomeen dat cybercriminelen hun pijlen richten op privileged accounts; Peter Geytenbeek, EMEA Business Development & Channel Director van Tripwire bepleitte het creëren van een sterkere binding van de business met security; Danny Claproth, Senior Sales Engineer bij Trend Micro ging diep in op de problemen van security in gevirtualiseerde omgevingen; en Jeroen Melis, Channel Manager Benelux van SafeNet onthulde de werkelijke kosten die gepaard gaan met authenticatie. Na de sessies was er voor de gasten de mogelijkheid mee te gaan met een rondleiding door het Geldmuseum en uitgebreid de gelegenheid om te netwerken. Het gebeurt niet vaak dat zoveel security-professionals uit het bedrijfsleven en de overheid de gelegenheid krijgen informeel met elkaar van gedachten te wisselen. Rhett Oudkerk Pool, Erik de Bueger en de andere mensen van Kahuna kunnen terugzien op een interessant en geslaagd evenement.
Infosecurity magazine - nr. 3 - juni 2013
23
g
Trend Micro over Deep Discovery en het SIEM-platform van Kahuna
Het wapen
tegen gerichte aanvallen Digicriminelen hebben het steeds vaker gemunt op heel specifieke gegevens van specifieke personen. Die aanvallen zijn technisch geavanceerd en firewall en Intrusion Prevention Systems hebben het nakijken. Deep Discovery van Trend Micro pakt ze wel aan. Dit product past goed in het Security Information en Event Management (SIEM)-platform van partner Kahuna.
Albert Kramer, Technical Manager Continental Europe, en Tonny Roelofs, Country Manager Nederland, (beiden bij Trend Micro), vertellen dat de cyberaanvallen steeds slimmer en meer gericht zijn. Dergelijke aanvallen vormen een grote uitdaging voor overheid en bedrijfsleven. Zij zijn erop gericht zich ‘onder de radar’ binnen te dringen, systemen te infecteren via een ZeroDay-beveiligingslek en liggen in het netwerk te wachten tot ze uiteindelijk worden ontdekt. Maar intussen verzamelen en versturen ze gevoelige informatie. Voor dit type bedreigingen heeft Trend Micro vorig jaar Deep Discovery op de markt gebracht. Prompt won dit product in maart van dit jaar de prijs voor het beste product van het Britse tijdschrift Network Computing Magazine. Opvallend gedrag en verkeer Het duo van Trend Micro vertelt hoe hun oplossing de cyberdieven te slim af is. “Het helpt niet om met black lists te werken. Enerzijds omdat die exploits nog niet bekend zijn bij de leveranciers en ze dus ook niet op black lists voorkomen; anderzijds omdat je tegenwoordig 24
wel een supercomputer nodig hebt om alle exploits op te sporen. Dat werkt niet. Natuurlijk moet je een firewall en dergelijke in stand houden, maar er is een aanvulling nodig. Juist voor die stiekeme aanvallen. Wij analyseren het verkeer in het bedrijfsnetwerk. Het verkeer koppelen we aan het gedrag van de gebruikers. Daaruit kun je afleiden of het al dan niet normaal is dat iemand bepaalde informatie naar buiten stuurt.” Ook Whitelisting, dat alleen als goed bekend staande toepassingen toegang geeft tot het systeem, faalt bij zero-day aanvallen, omdat op dat moment immers niet bekend is dat die als ‘goed’ te boek staande toepassing toch een lek heeft. Deep Discovery, zo vertellen zij, kan zijn werk zo goed doen, omdat het wordt gevoed door het Smart Protection Network van Trend Micro. Deze cloud-infrastructuur van de beveiligingsspecialist speurt voortdurend internet af op zoek naar nieuwe bedreigingen. Daarbij spelen de drie V’s van big data een rol: volume, variety en velocity. Het gaat immers om grote hoeveelheden, een grote verscheidenheid en om snelheid. Hoe eerder malware wordt ontdekt, hoe beter.
door Teus Molenaar
“Wij verzamelen enorm veel bedreigings-specifieke data, gebruiken analysesoftware om te identificeren, correleren en de nieuwe bedreigingen te analyseren. Dit levert kennis op die we meteen kunnen inzetten voor al onze producten. Via onze cloud-infrastructuur updaten we onze producten op die manier voortdurend.” In de zandbak Ondanks alle voorzorgen en de zucht naar actualiteit, kan het natuurlijk gebeuren dat een bestand nog niet als bedreigend te boek staat. Kramer vertelt dat daar de zandbak voor is uitgevonden; het speelterrein waar je verder niemand kwaad doet. “Als er een executable binnen komt, dan leiden we hem naar een gebied waar we eerst goed nagaan wat het bestand doet. Welke wegen hij wil afleggen, waar het zich wil nestelen; enzovoorts. Pas als we niets ongewoons merken, mag het bestand door naar het opgegeven adres in het netwerk. Dat gebeurt natuurlijk allemaal volledig automatisch. Dit alles om te voorkomen dat malware het bedrijfsnetwerk op komt.” Flexibel datacenter Steeds meer bedrijven willen hun datacenter flexibel maken: op- en afschalen naar behoefte. Kramer en Roelofs vertellen dat ‘de cloud’ hier een oplossing biedt. “Geautomatiseerde systemen zijn in toenemende mate hybride: een deel on premise en een deel in de cloud, bij een hostingbedrijf. In het eigen datacenter zit alles veilig achter de firewall en andere beveiligingsmaatregelen. Maar wat gebeurt er als een server ineens naar de cloudprovider gaat. Dan verhuist de server, inclusief alle data, naar een heel ander beveiligingsdomein; dan valt alle beveiliging die je in eigen huis hebt, weg. Daarom moet je een host dusdanig beveiligen dat het niet uitmaakt waar de data staat. Security is nodig onafhankelijk
van waar gegevens staan opgeslagen. Daarvoor hebben we Deep Security in het leven geroepen.” Voor de ontwikkeling van dit product werkt Trend Micro nauw samen met onder meer VMware om ook virtuele servers die bescherming te kunnen bieden die ze nodig hebben. Deep Security is een centraal beheerd platform om beveiligingsactiviteiten te vereenvoudigen en regelgeving te kunnen naleven. Vooral voor virtualiserings- en cloudprojecten. “Wij zorgen ervoor dat overal, ook in jouw cloudomgeving, dezelfde beveiligingsregels gelden en worden toegepast. Het mooie is dat al onze producten op één beheerplatform draaien, zodat de beheerkosten binnen de perken blijven. Ook past het goed in de structuur die Kahuna biedt; alle gegevens uit onze systemen, zijn terug te vinden in de overzichtelijk SIEM rapportages van Kahuna.” Veel geïnvesteerd Zoals Gartner onlangs in zijn rapport ‘Market Share Analysis: Security Software, Worldwide 2012’, al aangaf, heeft Trend Micro het afgelopen jaar heel veel geïnvesteerd in de optimalisering van zijn beveiligingsproducten. “Het bedrijf heeft in 2012 veel geld gestoken in versnelling van verbreding van het portfolio”, meldt Gartner. “Vooral op het gebied van beveiliging van het cloud- en virtualisatieplatform. En met zijn producten voor ‘advanced threat protection’ (ATP).” Uit het rapport blijkt overigens dat wereldwijd de totale uitgave aan beveiligingsproducten is gestegen tot 19,2 miljard doller; een stijging met 7,9 procent ten opzichte van het voorgaande jaar. Nu Trend Micro zijn portfolio duchtig heeft opgefrist en aangepast aan de hybride omgevingen van tegenwoordig, gaat het bedrijf vol vertrouwen de markt op. “Dat doen we onder andere samen met Kahuna.
“Als er een executable binnen komt, dan leiden we hem naar een gebied waar we eerst goed nagaan wat het bestand doet." Infosecurity magazine - nr. 3 - juni 2013
25
g
Cyber-Ark wil ook zwakste schakel steviger maken
door Teus Molenaar
gang krijgt tot het systeem? Je kunt dan wel nagaan dat ze bij die bank niet blij zijn. Ook onder hoge druk moet de PIM paraat zijn. Die reputatie heeft Cyber-Ark en in de praktijk maakt het product zich ook waar.”
Ook de beheerder
onder de loep
Je kunt alles nog zo goed dichttimmeren, beheerders hebben overal toegang toe. Ze moeten immers rechten regelen, reparaties uitvoeren wanneer dat nodig is, en dergelijke. Daarmee vormen ze een zwakke schakel in de beveiliging van gegevens. Kahuna heeft daar samen met Cyber-Ark (en natuurlijk SIEM) een oplossing voor bedacht en legt ook de beheerder onder de loep.
Kahuna heeft in zijn security management framework (een gebalanceerd systeem van preventieve en detectieve maatregelen) Cyber-Ark opgenomen. Want het beheer van beheerder en applicatie identiteiten in een geautomatiseerde oplossing is de hoeksteen van een goede beveiliging van gegevens. Op grond van naam, wachtwoord, eventueel aangevuld met vingerafdruk of tokens, krijgt iemand toegang tot bepaalde applicaties en gegevens. Dit is niet alleen belangrijk om de informatievoorziening binnen een organisatie langs afgesproken paden te laten verlopen, maar ook om achteraf te kunnen vaststellen wie waartoe toegang
heeft gehad (en genomen). Maar wat doe je met de beheerders en de systeem accounts? De databasebeheerder, de applicatiebeheerder, de netwerkbeheerder en het database account wat door de website wordt gebruikt. Voor elk aspect in een geautomatiseerde infrastructuur is er wel iemand die ervoor moet zorgen dat alles gladjes verloopt. Dat kan alleen als de beheerder toegang heeft tot het systeem. Tot alle accounts! Hij moet immers in staat zijn als een gebruiker belt met een incident om het probleem dat via de servicedesk op zijn bordje komt op te lossen. Dit probleem ligt in de trant van ‘wie controleert de
controleur?’. De beheerder beschikt over een zogenoemd ‘privileged identity’. Digitale kluis Het van oorsprong Israëlische bedrijf Cyber-Ark (sinds 2006 is het hoofdkantoor in de VS gevestigd) heeft hiervoor een oplossing bedacht; een soort digitale kluis. Die safe zit vol met wachtwoorden en bijbehorend identiteitsbeheer; het zorgt voor ‘privileged identity management’ (PIM). Een beheerder krijgt alleen toegang tot het systeem via de ‘kluis’. Dat geeft hem een wachtwoord dat hem toegang geeft tot het onderdeel waar hij moet
zijn. Volgens Erik de Bueger, directeur Operations bij Kahuna, is het mogelijk het product geheel naar eigen wens in te richten. “Je kunt bijvoorbeeld zorgen dat de ticket voor de beheerder klaar ligt in de ‘kluis’. Hij mag dan alleen doen wat de ticket voorschrijft.” Maar er is meer: Cyber-Ark maakt van elk scherm dat de beheerder voor zijn neus tovert een snapshot. Alles bij elkaar ontstaat een film van de volledige sessie waarin de beheerder zijn werk heeft uitgevoerd. Heeft de beheerder alleen het beginscherm gezien, of heeft hij gescrold en de inhoud bekeken? Waarom zou hij dat gedaan hebben? Alle handelingen worden gelogd, zodat achteraf precies is na te gaan wat de man of vrouw heeft gedaan. Vooral ook handig bij audits en om te bewijzen dat hij iets niet heeft gedaan”, zegt De Bueger. Patrik Horemans, Account Executive bij Cyber-Ark Software, voegt eraan toe dat recente cyberaanvallen en gegevensverlies vrijwel altijd het gevolg zijn van misbruik van privileged accounts. Hoge druk Binnen het SIEM-platform van Kahuna speelt Cyber-Ark een rol. De rapportages worden naadloos verwerkt, zodat
26
inzichtelijk is of de beheerder zich naar behoren gedraagt. Ook andere informatie komt dit platform binnen. Alle gegevens worden aan elkaar gekoppeld, met elkaar vergeleken, zodat uiteindelijk een goed inzicht bestaat in het verkeer op een (extended) bedrijfsnetwerk. “Als je het niet monitort, dan kan een beheerder bijvoorbeeld een achterdeuraccount aanmaken; zeg: ‘demo-account’, en later met dat account van alles gaan uitvoeren, want het speelt zich onder de waterspiegel af, zogezegd. Met onze aanpak wordt meteen duidelijk wie ‘demoaccount’ is; er zijn geen goocheltrucs mogelijk”, legt De Bueger uit. Waarom Kahuna voor Cyber-Ark heeft gekozen? “Er zijn enkele leveranciers van dergelijke systemen, maar wij hebben gekozen voor het product met een goede naam en bewezen technologie. Bovendien past het goed binnen onze SIEM. Het product moet betrouwbaar zijn, en altijd beschikbaar. Stel dat je bij een bank werkt en er komt een probleem in het netwerk. Dan loopt de druk bij die bank al heel snel op. Er is vaak veel geld mee gemoeid. Dan moet de beheerder snel aan de slag kunnen. Wat als de PIM niet goed werkt, en de troubleshooter niet aan de slag kan, omdat hij geen toe-
Elke dag Beveiliging is een kwestie die elk moment van de dag speelt. En voor alle medewerkers moet gelden, dus ook voor de beheerders. “Het voordeel van de SIEM is dat dit systeem ervoor zorgt dat alle regels die je bijvoorbeeld in Cyber-Ark hebt ingevoerd ook worden nageleefd. De beheerder mag niet rechtstreeks het systeem in. En al zijn gangen worden gecontroleerd. Dat levert veel gegevens op. Vervolgens moet je zorgen voor mensen die dergelijke rapportages weten te duiden. Dit grijpt diep in in de systemen. Dus moet je elke dag wel controleren hoe het ervoor staat.” De Bueger vergelijkt Cyber-Ark met een ‘dubbel slot op de deur’. En dat is wel nodig; zeker als je nagaat dat bij veel organisaties het beheer in handen is van contractors. Die komen binnen om een bepaalde klus te klaren en soms is het nodig bepaalde accounts te creëren om een probleem op te lossen. Als ze weggaan, zijn ze vaak vergeten die accounts met bijbehorend wachtwoord te vernietigen. Regelmatig bestaan dergelijke accounts tot in de digitale eeuwigheid en verandert het wachtwoord nooit. “Als iemand een gerichte aanval uitvoert en zo’n account weet te bemachtigen, dan staan in beginsel alle deuren voor hem open”, zegt De Bueger. “Een slordigheidje van de externe beheerder levert zo een levensgroot risico op. En misschien is het geen slordigheidje……….. Met CyberArk worden wij niet meer verrast.” Snel handelen “Bedrijven hebben vaak het beheer van de infrastructuur geoutsourced, maar beheren zelf hun applicaties. Daarvoor hebben ze administratieve privileges nodig. Daarmee berust het beheer in ‘twee handen’. Mocht het mis gaan, dan kun je met Cyber-Ark aantonen wie wat heeft gedaan”, licht Horemans toe. Als zich onverhoopt een incident voordoet, wil je bovendien zo snel mogelijk kunnen achterhalen wat de oorzaak is geweest. “Deze oplossing geeft meteen inzicht, zodat je ook snel kunt handelen”, besluit De Bueger.
Infosecurity magazine - nr. 3 - juni 2013
27
g
id-me beveiligt zakelijke tablets met vingerafdruk
Van de redactie Over id-me Het Nederlandse id-me is in 2006 opgericht en opereert vanuit een internationaal verkoopkantoor in ‘s Hertogenbosch. Het bedrijf is gespecialiseerd in multifunctionele oplossingen voor biometrische identificatie en authenticatie, voor IT-systemen, Internet services en mobiele communicatietoepassingen. id-me ontwikkelt en levert zeer betrouwbare biometrische authenticatieoplossingen en softwarealgoritmen. Het bedrijf heeft vooral klanten in de zakelijke markt, waaronder de financiële, diamantaire en fitnesswereld. id-me maakt deel uit van Eptron SIA, een internationaal opererende ICT-dienstverlener uit Riga in Letland.
Biometrische identificatie op basis van twee-stapsverificatie
Het zakelijk tabletgebruik groeit ongekend snel, vanwege zowel het gebruiksgemak van dat type computer, als het toenemend aantal apps voor het raadplegen en invoeren van bedrijfsinformatie. Deze trend noodzaakt ICT-managers tot het inzetten van andere en betere beveiligingsmaatregelen. Een innovatief voorbeeld daarvan is de biometrische vingerafdrukidentificatie die het Nederlandse bedrijf id-me eind mei introduceerde tijdens Identity & Access Management 2013. Uit zo’n zesduizend interviews die Computer Profile de tweede helft van 2012 hield onder Nederlandse bedrijven met vijftig of meer medewerkers blijkt het zakelijk tabletgebruik ten opzichte van 2011 met ruim 400 procent te zijn gegroeid. Die groei was volgens hen het grootst bij bedrijfsvestigingen met 100 tot 200 werknemers en 200 tot 500 werknemers. Begrijpelijk, omdat steeds meer mensen mobiel willen kunnen werken en tablets
daar het makkelijkst voor te gebruiken zijn. Tegelijkertijd groeit het aantal apps om eenvoudig op elke gewenste locatie bedrijf- en klanteninformatie te raadplegen, maar ook in te voeren. Zoals verkoop- en servicetoepassingen, maar ook cliëntentoepassingen in de zorgsector. De combinatie van tablets en apps stuwt onze informatierevolutie naar een volgende fase. Die ontwikkeling stelt ICTmanagers voor de uitdaging om zowel
Meer informatie is te vinden op: www.id-me.com
alle vertrouwelijke bedrijfsinformatie beter apparaat- en locatieonafhankelijk te beveiligen, als de identiteit van geautoriseerde gebruikers onmiskenbaar te verifiëren. Op het eind mei door Heliview georganiseerde Identity & Access Management congres heeft de Nederlandse biometrische identificatiespecialist id-me een innovatieve nieuwe oplossing voor vingerafdrukidentificatie voor zakelijke tablets geïntroduceerd. Daarmee is het zakelijke tabletgebruik beter en makkelijker te beveiligen. Biometrische identificatie Identificatie van computer- en informatiegebruikers via de decennialang gebruikte user-id en wachtwoord combinatie is zowel onveilig als ongemakkelijk. Omdat die combinatie eenvoudig te stelen is of via hack-technieken te achterhalen, past die methode eigenlijk niet meer bij onze toenemende mobiliteit en gebruik van cloudtoepassingen. Nog los van alle beheerinspanningen die nodig zijn, omdat zoveel mensen hun wachtwoorden regelmatig vergeten. Een moderner en gegarandeerd veiliger alternatief is identificatie en authenticatie via biometrische kenmerken, zoals vin-
28
gerafdruk, iris-, spraak- en gezichtsherkenning. Die unieke persoonskenmerken zijn namelijk niet te stelen, zeker niet als bij een vingerafdruk eventueel ook het aderpatroon onder de huid wordt meegelezen. Omdat ieder mens de eigen identificatiekenmerken altijd bij zich draagt, zijn ze ook niet meer te vergeten en te verliezen. Dus zowel makkelijker te gebruiken als te beheren. Met een nieuwe oplossing om het gebruik van zakelijke tablets, apps en informatie te beveiligen via vingerafdrukidentificatie heeft id-me een innovatieve oplossing voor de beschreven betere beveiligingsbehoefte. Deze bestaat uit een compacte via USB aan te sluiten Upek Eikon-scanner en een altijd online toegankelijke cloudservice voor het verifiëren van de biometrische identificatie. Twee-stapsverificatie De voordelen van biometrische identificatie zijn ook bekend bij analisten van IDC en Gartner. Net als id-me verwachten zij dat het scannen van vingerafdrukken de meest gebruikte methode wordt. Een andere trend in de markt is de zogenaamde twee-stapsverificatie - of desnoods nog meer. Apple, Google, Microsoft, Twitter
en een aantal andere bedrijven, zijn daar onlangs toe overgestapt. Hoewel id-me gespecialiseerd is in biometrische technieken ondersteunen zij ook andere methodes zoals de bekende sms-code en tokens voor die twee-stapsverificatie. Het hart van de gepresenteerde nieuwe tabletoplossing bestaat uit een authenticatieserver met een koppeling naar een klantspecifieke authorisatieserver en een plug-in voor elk type webbrowser aan de cliëntzijde. De SaaS-portal van id-me regelt zowel alle authenticatieservices voor de cloudgebruikers, als het beheer van de hele identity managementoplossing van hun klanten. Alle communicatie verloopt daarbij via beveiligde TLS/SSL-verbindingen, de data wordt versleuteld met AES 256-encryptie en de portal ondersteunt onder andere de SAML2- en WSFED-standaarden voor single sign-on. Voor het scannen van de vingerafdrukken van gebruikers ondersteunt id-me tenslotte alleen gecertificeerde en van tevoren geregistreerde scanners. SaaS portal in private of public cloud Afhankelijk van het bedrijfsbeleid en wensen is het mogelijk om de tabletoplossing
voor biometrische identificatie door idme als ´trusted´ partner te laten hosten (public cloud) of deze binnen het eigen pand te installeren (private cloud). Voor de installaties binnen bedrijven werkt idme altijd samen met system integrators, vanwege de benodigde integraties in de bestaande IT-infrastructuur met backoffice-applicaties. De nieuwe id-me tabletoplossing maakt onderdeel uit van een flexibel schaalbaar platform, waarin het bedrijf zowel meerdere algoritmes per identificatietechniek gebruikt, als verschillende biometrische en niet-biometrische technieken kan combineren, voor de hoogst mogelijke beveiligingsgraad. Wie daaraan twijfelt kan overigens bij id-me eenvoudig zelf de proef op de som nemen, omdat deze laagdrempelig via de cloud te testen is. Op het Identity & Access Management 2013 congres draaide de oplossing op een HP ElitePad-tablet met Windows 8 en een aantal zakelijke toepassingen. Vanwege id-me’s focus op de zakelijke markt en de gebruikte portable vingerafdrukscanner introduceert het bedrijf eerst de Windows-uitvoering. Later dit jaar volgen er echter ook de iOS- en Android-versies. Daarmee komt biometrisch identificeren via de tablet letterlijk binnen ieders handbereik.
Infosecurity magazine - nr. 3 - juni 2013
29
g
Visie Sophos op moderne en effectieve security
Van de redactie
IT én
medewerkers
samen verantwoordelijk voor IT-beveiliging Vol overgave storten veel organisaties zich op nieuwe technologie, zoals mobile computing, cloud computing en sociale media. De mogelijkheden zijn legio, maar de risico’s helaas ook. Criminelen zoeken de kwetsbaarheden op en het is heus niet alleen aan de IT-afdeling om misbruik te voorkomen. Een grote verantwoordelijkheid ligt bij medewerkers zelf.
In het verleden probeerden IT-afdelingen de gevaren buiten de deur te houden door de toegang tot bedrijfsinformatie van buitenaf volledig te blokkeren. Deze benadering is nu niet meer houdbaar. Medewerkers verwachten dat ze any-
time, anywhere, anyplace kunnen werken en toegang hebben tot alle benodigde informatie. De verwachtingen van de medewerkers in combinatie met een forse toename van het aantal cyberaanvallen, vereisen een nieuwe benadering. De tijd
is voorbij dat organisaties de verantwoordelijkheid voor de beveiliging volledig bij de IT-afdeling konden neerleggen. Veel organisaties gebruiken firewalls, virusscanners, spam-, phishing- en rootkitfilters. Deze tools zijn weliswaar IT-gerelateerd, maar de problemen die ze moeten voorkomen zijn voornamelijk businessgerelateerd. Het is daarom van groot belang dat business- en IT-management gezamenlijk de verantwoordelijkheid nemen voor het beveiligingsbeleid. Risicomanagement Risicomanagement is daarbij de eerste noodzakelijke stap. Het is vanuit zowel praktische als kostentechnische overwegingen vrijwel ondoenlijk om alles 100% te beveiligen. En dat is ook niet nodig: niet alle data zijn zo waardevol dat daarop het allerhoogste niveau van beveiliging moet worden losgelaten. Daarom moet eerst worden vastgesteld welke informatie, kennis, databases en patenten de core assets van de onderneming vormen en dus beschermd moeten worden. Daarna dienen de risico’s in kaart te worden gebracht en op basis van deze analyse kan vervolgens een overkoepelend beveiligingsbeleid ontwikkeld worden. Pas dan volgt de invulling van het beleid met concrete tools.
30
Centralisatie en integratie Gezien de vele nieuwe technologische ontwikkelingen en bijbehorende risico’s, volstaat het niet om een nieuwe tool aan te schaffen voor elk gevaar dat opdoemt. Dat leidt tot een onoverzichtelijk woud van toepassingen die met elkaar conflicteren of slechts gedeeltelijk op elkaar aansluiten. De huidige trends vragen om een holistische visie en een gecentraliseerd, geïntegreerd beveiligingssysteem dat alle onderdelen van het IT-landschap omvat, inclusief sociale media, mobiele apparaten en cloud services. Een systeem dat beveiliging automatisch regelt en zodanig afdwingt dat gebruikers er geen last van hebben. Het succes van het beveiligingsbeleid staat of valt bovendien met inzicht en discipline bij gebruikers. Ook op dat gebied valt nog de nodige winst te behalen, toont onderzoek van leverancier van beveiligingssoftware Sophos. Daaruit blijkt dat 48% van de ondervraagde IT-professionals minstens eenmaal per week beveiligingszaken moet herstellen vanwege onoplettendheid van eindgebruikers. Mobile computing IT-beheerders weten zich vaak geen raad met ontwikkelingen met mobile computing en ‘consumerisation of IT’. Medewerkers kunnen bedrijfskritische informatie en applicaties altijd, overal en vanaf elk mobiel apparaat benaderen. Zonder gedegen wachtwoordbeveiliging kan verlies of diefstal van het apparaat echter
grote risico’s met zich meebrengen. En vergeet de gevaren van mobiele malware niet, schadelijke software om processen te verstoren en/of toegang te krijgen tot gevoelige informatie of computersystemen. Mobiele malware is aan een enorme opmars bezig en zelfs voor kenners vaak moeilijk te herkennen vanwege de slinkse wijze waarop deze verpakt wordt, bijvoorbeeld als onschuldig ogende app. Ander onderzoek van Sophos toont dat van 500 ondervraagde smartphonebezitters maar liefst 33% geen wachtwoord had ingesteld. 13% gaf ook nog eens toe hun smartphone eens of vaker te zijn kwijtgeraakt. Het meest doeltreffende recept voor de beveiliging van mobiele apparatuur telt vier ingrediënten: moeilijk te kraken wachtwoorden, data encryptie, patching en gebruikerseducatie. De mogelijkheid om mobiele apparaten centraal te beheren en op afstand te lokaliseren, te blokkeren en te wissen, is essentieel. Cloud computing Ook cloud computing stelt IT-afdelingen voor grote uitdagingen. Het kan belangrijke voordelen opleveren, zoals schaalbaarheid, flexibiliteit en besparing, maar er kleven enkele belangrijke risico’s aan. Een van de privacyaspecten heeft te maken met de Amerikaanse Patriot Act. Veel Europese klanten van Amerikaanse cloudleveranciers beseffen niet dat hun data kunnen worden opgevraagd door de autoriteiten in de VS, als deze daartoe aanleiding zien. Dat geldt zelfs als de gegevens zijn opgeslagen op systemen die zich fysiek in de EU bevinden. Daarnaast is ook beveiliging cruciaal bij cloud computing. Er zijn spraakmakende voorbeelden waarbij clouddiensten ten prooi vielen aan hackers. Een dataopslagservice als Dropbox, die binnen veel bedrijven al ’common practice’ is, kan een potentieel gevaar vormen. Belangrijke advies is om data die in de cloud worden opgeslagen, automatisch te versleutelen. Hierdoor ligt de verantwoordelijkheid voor encryptie niet bij individuele gebruikers. Zorg wel dat de sleutels voor en- en decryptie binnen de organisatie blijven.
bercriminelen legio mogelijkheden om organisaties aan te vallen. Door zwakke wachtwoorden kunnen accounts gemakkelijk worden gekaapt. Gebruikers van sociale media moeten zich bewust worden van het belang van sterke wachtwoorden die moeilijk te kraken zijn. Daarnaast ligt er een taak om gebruikers te attenderen op de gevaren die het klikken op links en advertenties en het downloaden van apps met zich meebrengen. Criminele netwerken Cybercriminelen maken dankbaar gebruik van de beveiligingslekken die vaak ontstaan bij de opkomst van nieuwe technologie. Ze gaan daarbij steeds professioneler te werk. We hebben te maken met internationale, commerciële criminele netwerken die innovatieve tools ontwikkelen en wereldwijd verspreiden. Inmiddels is een derde van alle malware voor 700 tot 2000 dollar online te koop. We zullen de komende jaren dan ook een grote toename zien van uiterst geavanceerde aanvallen. Het is daarom van cruciaal belang dat organisaties zich van alle gevaren bewust zijn en preventieve maatregelen nemen. Handen ineenslaan Om de cyberrisico’s het hoofd te bieden, moeten IT en business dus de handen ineenslaan. Een reële inschatting van de risico’s, het optuigen van een gecentraliseerde beveiligingssysteem en bewustwording bij de medewerkers zijn daarbij de kernpunten.
Sociale media Een andere uitdaging voor de IT-afdeling vormen sociale media. Deze bieden cyInfosecurity magazine - nr. 3 - juni 2013
31
g
Wifi is een must voor BYOD
Door Arthur Derks
Alleen schaalbare, stabiele en veilige
de firewall over een gerouteerd (laag 3) netwerk te koppelen. Dat betekent dat de AP’s in hetzelfde VLAN geplaatst moeten worden als de controller. De concurrentie maakt, om dit mogelijk te maken, vaak gebruik van het GRE of CAPWAP protocol. De AP’s zijn niet geschikt als ‘standalone’ of ‘fat’ accesspoint, de werking is afhankelijk van een fysieke of virtuele Watchguard XTM appliance. Bij uitval van deze appliance, wordt verkeer nog wel geswitched tussen wireless en bedraad netwerk.
netwerken voldoen nog
Bring Your Own Device is niet meer weg te denken in de huidige bedrijfscultuur. Werknemers en bezoekers brengen mobiele devices mee en willen overal online zijn. Deze trend vraagt om een schaalbare, stabiele en veilige oplossing met een hoge beschikbaarheid. Een draadloos netwerk is daarom niet langer optioneel, maar een must voor de bedrijfsvoering. Het Amerikaanse Watchguard, bekend van de Extensible Threat Management (XTM) firewalls, komt met 2 nieuwe accesspoints die geheel in het verlengde van de hoge security eisen van het bedrijfsleven liggen. Om alvast een voorproefje te geven, met deze oplossing kan het draadloze verkeer net zo eenvoudig gebruikmaken van virus scanning, Intrusion Prevention Service (IPS), RED en Application Control, als ´bedraad´ verkeer op de firewall.
maximale doorvoer van 600Mbs. Beide accesspoints kunnen door PoE of een externe adapter gevoed worden. Beide AP’s hebben een doorsnee van 16,5 cm en zien er strak uit. Deze AP´s zijn onopvallend weg te werken tegen het plafond. Zoals we van Watchguard mogen verwachten, worden alle relevante security standaarden ondersteund zoals: WPAPSK, WPA2-PSK, WPA Enterprise en WPA2 Enterprise.
De accesspoints Watchguard komt met 2 modellen; de AP100 heeft één radio, instelbaar op 2,4 of 5 Ghz. De AP200 heeft 2 radio’s, één voor 2,4 Ghz en één voor 5 Ghz met een
Portal pagina Opvallender is de optie om een portal pagina aan te maken. Deze ´vangpagina´ kan bijvoorbeeld op een gast netwerk (hotspot) getoond worden, waar bezoe-
kers eerst akkoord moeten gaan met de voorwaarden. De vangpagina is aan te passen met een eigen logo en inhoud. Topologie Draadloze netwerk toegang voor bezoekers en eigen werknemers moet uiteraard gescheiden zijn, en beveiligd zijn. Werknemers moeten toegang hebben tot bedrijfsgegevens en applicaties, terwijl bezoekers in de regel rechtstreeks via de firewall naar internet gaan. Deze opzet wordt bereikt door verschillende SSID´s uit te zenden, en deze SSID´s elk aan aan separaat VLAN te koppelen. Het accesspoint wordt logisch met behulp van 802.1Q gekoppeld aan de firewall. Dit werkt ook met tussenliggende switches, zolang deze switches trunk poorten kunnen ondersteunen. In de meest eenvoudige topologie kan het AP ook direct aan een access-poort gekoppeld worden zonder 802.1Q. Het draadloze netwerk komt dan in één (default) VLAN. Het is met de Watchguard oplossing op dit moment nog niet mogelijk om AP’s en
Authenticatie en AD integratie Wanneer gebruikers met een VPN SSL verbinding aanloggen op de Watchguard, heeft deze de mogelijkheid voor Active Directory (AD) authenticatie. Dit geldt ook voor het wireless gedeelte van Watchguard. Per SSID is de authenticatie vorm te bepalen. Zodoende kunnen bijvoorbeeld interne werknemers met AD authenticeren, en door deze AD integratie is er ook centrale logging in het AD domain. Aan de kant van Watchguard is het configureren van AD security zeer eenvoudig, en in het windows domein is het configureren van een NPS policy voldoende. In deze policy kan men aangeven welke gebruikersgroepen connectie mogen maken. Zo is bijvoorbeeld een gebruikers groep ‘wireless-users’ te maken, om eenvoudig te bepalen welke gebruikers wel of niet op het wireless mogen. De Windows event log registreert welke user er verbinding maakt met het wireless netwerk. Het gebruik van andere authenticatie servers, via radius, is ook mogelijk. Er kan gebruikgemaakt worden van een syslog server en van de interne Watch-
guard logging. Met AD integratie wordt de gebruiker login naar de Windows eventlog geschreven, dit is alleen in de Windows event log te zien. Vanuit Windows kan accounting worden geconfigureerd of er kan een accounting server worden geconfigureerd in de Watchguard. MAC adressen en device namen worden ook naar de syslog gelogd. Roaming en performance tests TenICT heeft diverse gebruikers tests uitgevoerd met de nieuwe oplossing, en was positief verrast door de snelle en intuïtieve configuratie. Het draadloze bereik, de performance en gebruiksvriendelijkheid zijn uitstekend te noemen. In een setup met meerdere AP’s is een roaming test uitgevoerd. Hierbij werd bij het schakelen tussen verschillende AP’s geen onderbreking gezien van een HD video- en voice stream. Dit is een keurig resultaat. Monitoring met system management Voor het monitoren van de AP’s en de client is er in system management een extra tab “Gateway Wireless Controller” die is onderverdeeld in 2 schermen. Deze informatie is ook zichtbaar via de web GUI. Het eerste scherm geeft een overzicht van de AP’s met informatie over naam, status, SSID’s, IP adres, radio’s, versie, uptime en model. Het tweede scherm geeft een overzicht van de clients, met onder meer het MAC adres, SSID, AP, laatste activiteit en verstuurde en ontvangen data. Concurrentie In vergelijking met andere merken die wireless apparatuur aanbieden, kiest Watchguard een andere aanpak dan de
vendoren die voor een controller-based oplossing kiezen. De controller-functie wordt ingevuld door een (bestaande) XTM firewall. De controller heeft geen aparte licentie nodig, de aanschaf van de access points zijn de enige kosten. Een indicatie van het aantal AP’s per Watchguard firewall: XTM series 2 series 3 series 5 series 8 series hogere series
Advies aantal AP’s 5 15 35 70 100
De virtuele versie van Watchguard (XTMv) op VMware ondersteunt 25 tot 100 AP’s. De list-prices die de fabrikant hanteert voor de Accesspoints, zijn vergelijkbaar met onder andere Cisco, Avaya en HP. Hierbij hebben de andere merken nog een separate controller en licentie nodig, bij Watchguard is dat niet nodig. Daarnaast is bij Watchguard het eerste jaar Lifesecurity (hardware replacement) inbegrepen in de prijs. Conclusie Met deze uitbreiding in de markt voor wireless, is de keus voor middelgrote bedrijven die al een Watchguard firewall hebben, snel gemaakt. Integratie met het bestaande product, met AD en gast-functies, en een scherpe prijs is hierbij doorslaggevend. Daarnaast is de oplossing snel en makkelijk te configureren. Voor grote enterprise omgevingen zal Watchguard meer concurrentie kunnen verwachten, en zal de huidige beperking van laag 2 snel opgelost moeten worden, om in een volwaardig vergelijk mee te kunnen doen. Arthur Derks is werkzaam bij TenICT
32
Infosecurity magazine - nr. 3 - juni 2013
33
g
Nieuws
Van de redactie
Regelmatig scannen
Qualys, actief met cloud-security en compliance-management, heeft de resultaten bekendgemaakt van een onderzoek op basis van QualysGuard Policy Compliance-data. Het bedrijf analyseerde meer dan vijf miljoen scans om organisaties inzicht te bieden in belangrijke trends en ze te helpen bij het plannen van hun compliance-strategieën. Met de informatie die de analyse oplevert, is onder meer compliance-planning mogelijk met betrekking tot de meest gebruikte controlemiddelen, de pass/fail-ratio voor de belangrijkste controlemiddelen en het aantal malen dat deze middelen gecheckt worden. Op deze manier blijven organisaties de trends vóór en maken ze gebruik van best practices voor compliance. Nu regelgeving op het gebied van compliance toeneemt en er een trend naar continue monitoring waarneembaar is, gebruiken beveiligingsteams steeds vaker oplossingen als QualysGuard PC om General Computer Controls (GCC’s) te automatiseren. Dat sluit aan bij een brede en proactieve auditing-benadering. Het gebruik van dit type oplossingen biedt organisaties de mogelijkheid om van een steekproefsgewijze aanpak over te stappen naar nagenoeg volledige dekking met bijna realtime resultaten tegen lagere kosten. Onderzoeksresultaten Belangrijke uitkomsten en trends uit de analyse zijn de volgende. • Een groot aantal gescande devices – meer dan de helft van het scandoel – wordt niet meer ondersteund. Het gaat met name om besturingssystemen die niet langer onder de normale support vallen, zoals Windows 2000, Windows 2003, Windows XP, RHEL, AIX 5, Solaris 8 en Solaris 9. Windows 2003 Server en Windows XP vallen onder verlengde support 34
•
•
•
die eindigt in respectievelijk juli 2015 en april 2014. Nieuwere technologieën voldoen sneller aan compliance. Dat bevestigt de algemene trend van betere beveiliging bij nieuwere technologieën, wat ook geldt voor de compliancy. Bedrijven die vaker compliancescans uitvoeren, slagen vaker voor de scans. Deze trend bevestigt recente ontwikkelingen in Continuous Monitoring, waarbij duidelijk werd dat bedrijven die vaker monitoren, sneller verbeteringen laten zien. Wachtwoorden staan hoog op de controlelijsten. Dertien van de top 20-controlemiddelen zijn wachtwoordgerelateerd. Tegelijkertijd zijn
Beperkingen van traditionele firewall of UTM kunnen worden opgelost
Firewalls
versnelt compliance Onderzoekers van Qualys verzamelen data uit meer dan vijf miljoen scans van meer dan 53 miljoen hosts bij twaalfduizend controles.
g
ook de belangrijkste overtredingen van een controlemiddel wachtwoordgerelateerd. “Deze data uit meer dan vijf miljoen scans bieden inzicht in de beleid-compliance van bedrijven en geven enkele eenvoudige manieren om de beveiliging te versterken”, zegt Scott Crawford, Research Director bij EMA. “Deze data onderstrepen bijvoorbeeld de noodzaak om processen vast te stellen voor belangrijke controlemaatregelen, zoals instellingen voor accounts, wachtwoorden, audits en databases. Het laat ook zien dat organisaties hun compliance beter beheren en de IT-beveiligingsrisico’s verlagen als ze regelmatig geautomatiseerde compliance-scans uitvoeren.”
en de cloud
Laatst hoorde ik iemand zeggen dat firewalls op locatie het veld zullen ruimen voor firewalls in de cloud. Dat klonk nogal onwaarschijnlijk, maar het deed me wel afvragen of er waarheid in deze bewering schuilt. Firewalls zullen altijd nodig blijven. Het zijn immers de enige apparaten die in staat zijn om het applicatie- en gegevensverkeer te analyseren en te inspecteren. De vraag is echter wel welke invloed de cloud op firewalls zal uitoefenen. Om een antwoord op deze vraag te kunnen geven, moeten we teruggaan naar het verleden. Tien jaar geleden bestonden de eerste architecturen voor beveiliging aan de netwerkrand uit een zogeheten ‘fast packet processor’ (de firewall) en een reeks servers die al het inkomende en uitgaande verkeer scanden. Iedere server had daarbij een specifieke taak, zoals het detecteren van spyware of het scannen op virussen. De servers waren afkomstig van verschillende leveranciers en werden afzonderlijk beheerd. Zij waren stuk voor stuk de beste in hun soort en louter vanuit het perspectief van de netwerkprestaties was dit een ideale oplossing. Deze aanpak resulteerde echter in een uiterst complexe infrastructuur die uit verschillende componenten was opgebouwd en daarmee moeilijk te beheren was. Compromissen Vervolgens trad er een verschuiving op. In plaats van gebruik te maken van de beste componenten in hun soort, ging men over op een ‘unified threat management’ (UTM)-architectuur. Deze trend Infosecurity magazine - nr. 3 - juni 2013
35
g
Beperkingen van traditionele firewall of UTM kunnen worden opgelost werken zonder daarvoor de beveiliging op te offeren. De zoektocht naar een betere strategie viel gelukkigerwijze samen met de opkomst van cloud computing. De cloud biedt een oplossing voor het prestatievraagstuk door de asynchrone workload weg te halen bij de netwerkrand en door te leiden naar contentfilters in de cloud. De firewall-infrastructuur binnen zakelijke omgevingen wordt hierdoor uiterst schaalbaar, omdat er in de cloud vrijwel onbeperkte rekenkracht beschikbaar is. Vanuit beheerperspectief verandert er niets ten opzichte van de UTM-aanpak. Beheerders kunnen gebruik blijven maken van één console om alle firewalls op locatie te beheren zoals dat ook gebeurde bij fast packet processing. Via datzelfde console kunnen zij ook de contentfilters in de cloud beheren. Nieuwe architecturen Bedrijven kunnen een beroep doen op schaalbare rekenkracht in de cloud ter ondersteuning van de asynchrone, CPUintensieve contentfiltering die onderdeel vormt van de functionaliteit van een firewall. Op deze manier kunnen ze hun omgeving voor fast packet processing sterk vereenvoudigen en beter voorspelbaar maken. Ook vanuit kostenperspectief biedt dit voordelen: cloud-gebaseerde scantechnologie is namelijk veel efficiënter en goedkoper dan de bestaande firewall-architecturen.
werd voor een belangrijk deel veroorzaakt door een aantal goedbedoelende analisten die op zoek waren naar een oplossing voor implementatieproblemen. UTM liep echter op een mislukking uit. Het was simpelweg niet mogelijk dat één apparaat alle taken op zich nam en bescherming kon bieden tegen alle mogelijke bedreigingen. Zo boden de antivirus-engines in UTM-apparaten slechts beperkte mogelijkheden in vergelijking met standalone antivirusproducten. De implementatie van een firewall resulteerde hierdoor per definitie in een compromis ten aanzien van de beveiliging.
Een andere uitdaging waar firewalls de afgelopen jaren mee te maken kregen, zijn de reusachtige gegevensvolumes die ze moeten verwerken. De hardware kan het tempo van de gegevensgroei niet bijbenen, een probleem dat wordt veroorzaakt door de beschikbaarheid van bandbreedte. Er bestaat namelijk niet zoiets als ongebruikte netwerkbandbreedte. Als we meer bandbreedte aanleveren, zal deze direct worden gebruikt. Dit maakt het probleem er alleen maar groter op. Al dit real-time gegevensverkeer legde een enorme druk op de analysecapaciteit van firewalls. In een ideale
situatie zou de veiligste oplossing zijn dat de firewalls het verkeer stopzetten, analyseren en vervolgens zijn weg laten hervatten. Dit zorgt echter voor vertragingen en is daarom geen praktische oplossing. Eindgebruikers willen simpelweg niet op een dergelijke manier werken. Vanuit beveiligingsoogpunt is dit echter precies wat ICT-afdelingen graag van een firewall zouden willen zien. Firewalls en de cloud De belangrijkste uitdaging voor firewalls is dus om het sterk toegenomen gegevensverkeer op een snelle manier te ver-
Bedrijven kunnen een beroep doen op schaalbare rekenkracht in de cloud ter ondersteuning van contentfiltering 36
Wat de cloud gebruikers te bieden heeft, is dus een ‘separation of duty’-architectuur waarbij taken worden gescheiden zonder de kosten die daar normaliter bij komen kijken. Uiteindelijk zal dit leiden tot sterk verbeterde firewalls en een oplossing voor het 15 jaar oude dilemma van het selecteren van de juiste firewalls voor de beveiliging van de netwerkrand. Veranderende vragen In een private cloud of een eenvoudige gesloten ICT-architectuur worden de volgende basisvragen aan de firewall gesteld: • • •
Blokkeert de firewall deze aanvallen? Beperkt de firewall de toegang tot bepaalde typen systemen? Kan de firewall de toegang tot de buitenwereld beperken?
In het huidige ICT-landschap is de cloud een vreemde eend in de bijt. Hij is zowel intern als extern en omdat onderdelen van de bedrijfsgegevens en –applicaties zich nu ergens buiten de organisatie bevinden, veranderen ook de vragen die aan firewalls worden gesteld. De vragen die in de wereld van applicaties en interne datacenters oorspronkelijk werden gesteld aan application delivery controllers, worden nu aan firewalls gesteld. Deze nieuwe vragen zijn onder meer: • Kan de firewall de toegang tot die specifieke applicatie versnellen? • Kan de firewall prioriteit geven aan het verkeer van een gebruikersgroep voor bepaalde gegevens? • Kan de firewall toegang tot die specifieke gegevens verlenen? Opeens raakt de firewall op tal van manieren bij allerhande bedrijfsprocessen betrokken. Veel firewalls zijn daar echter niet op voorbereid. Middelpunt De meeste leveranciers van firewalls proberen een oplossing te vinden voor het vraagstuk van wat er moet worden geblokkeerd. De moderne firewall is echter geen apparaat dat malware en cybercriminelen blokkeert of scheidt van het gecontroleerde deel van het netwerk. Vanuit het perspectief van de applicatie-architectuur vormt de firewall het middelpunt
van alle bedrijfsprocessen. De hamvraag is dan ook of een firewall een positieve bijdrage kan leveren aan de toegang tot applicaties en bedrijfsgegevens. De traditionele functie van een firewall is om hindernissen op te werpen voor ‘slechteriken’. Het nadeel van deze aanpak is dat dit ook problemen oplevert voor de normale gebruikers. Iedereen kent wel het excuus van beveiligingsmanagers: ‘Sorry, maar we zijn even uit de lucht omwille van beveiligingsredenen’. Organisaties en hun eindgebruikers accepteren dit soort excuus echter steeds minder. Veel mensen denken dat technologie voor het detecteren van applicaties voornamelijk wordt ingezet voor het blokkeren van kwaadaardige applicaties. De waarheid is echter dat deze functionaliteit vooral wordt gebruikt om applicaties te identificeren, zodat de toegang van eindgebruikers tot deze applicaties op prioriteit kan worden ingedeeld. Bij SAP-applicaties kan bijvoorbeeld gebruik worden gemaakt van WAN-optimalisatietechnieken om de toegang tot bepaalde onderdelen van het netwerk te versnellen voor de bestandsuitwisseling. Dit is in veel gevallen de belangrijkste reden voor het gebruik van applicatiedetectie. ‘Firewall plus cloud’ Bovenstaand geeft stof tot nadenken. Voorop staat echter dat de cloud een aantal beperkingen van de traditionele firewall of UTM-oplossing, zoals de performance van applicaties, kan wegnemen. De combinatie ‘firewall plus cloud’ brengt voor IT- en security-managers de voordelen samen van UTM zonder dat het ten koste gaat van beveiligingsniveaus. Ook met de komst van cloud zal de firewall een belangrijke rol blijven spelen bij het stroomlijnen van bedrijfsprocessen en het beveiligen van zakelijke gegevens en –applicaties. Nu functionaliteiten zoals applicatiedetectie en het prioriteren van datastromen steeds vaker samensmelten met security, zijn IT-managers beter in staat om de voordelen van cloud ten aanzien van beschikbaarheid en schaalbaarheid effectief te benutten. door Wieland Alge, vice president en directeur EMEA bij Barracuda Networks
Infosecurity magazine - nr. 3 - juni 2013
37
g
Nieuws
Enterprise Marketplace van T-Systems T-Systems gaat via een App Store het gebruik van clouddiensten voor zakelijke klanten verzorgen. Naast de bestaande Business Marketplace, dat al door meer dan 10.000 klanten uit middelgrote bedrijven in gebruik is, komt TSystems nu met de Enterprise Marketplace. Deze marktplaats voor cloud-diensten is speciaal ontwikkeld om in de behoeften van zeer grote organisaties te voorzien. In de App Store kunnen klanten diverse software, hardware en samengestelde pakketoplossingen verkrijgen. Een ontwikkelaarsportaal bevat daarnaast applicaties die voor specifieke doeleinden door gebruikers gemaakt zijn. Oplossingen van de Enterprise Marketplace zijn beschikbaar voor bedrijven met maximaal 99.999 gebruikers. Organisaties kunnen kiezen tussen Software as a Service (SaaS)-oplossingen, vooraf geconfigureerde appliances en configureerbare pakketten, die allemaal eenvoudig samenwerken met bestaande IT-omgevingen. De gebruiker kan alle geselecteerde toepassingen – inclusief de eigen ontwikkelde apps – vinden in een private cloud en kan deze via een beveiligde netwerkverbinding raadplegen. De beschikbare cloud-diensten in de Enterprise Marketplace bevatten: • CA Nimsoft – IT management • TAXOR – fiscaal balansprogramma • doculife – document lifecycle management WeSustain – duurzaamheidsver• slaggeving TIS – bankrekeningen en transac• tiebeheer tibbr van TIBCO – enterprise social • media T-Systems Process Cloud -busi• ness process management powered by Metasonic • SugarCRM – customer relations management Aras Innovator – product lifecycle • management
38
DOOR Ferry Waterkamp
SAP richt zich op
bestrijden van fraude Jaarlijks wordt naar schatting op wereldwijd niveau voor 2,54 biljoen euro aan fraude gepleegd. SAP kondigt daarom de SAP Fraud Management analytische applicatie aan. SAP Fraud Management is gericht op onder andere de verzekeringsbranche, de overheid, banken, de gezondheidszorg en utiliteit. Zij hebben met de oplossing de mogelijkheid om onregelmatigheden of fraude in ‘big data’-omgevingen op te sporen, te onderzoeken, analyseren en voorkomen. Organisaties lopen het risico om tot vijf procent van hun omzet te verliezen aan fraude. Het totale wereldwijde verlies aan fraude in 2011 is geschat op maar liefst
2,54 biljoen euro. SAP Fraud Management helpt bedrijven bij het aanpakken van potentieel grote verliezen door fraude, de hoge kosten en inspanningen die verbonden zijn aan het onderzoeken van fraude en valse alarmen, moeilijkheden bij het vastleggen van veranderend frauduleus gedrag en de inadequate en verouderde detectiemogelijkheden voor fraudepatronen. Als onderdeel van SAP’s bredere portfolio voor oplossingen voor governance, risk en compliance (GRC) is SAP Fraud Management volledig aan te passen op de specifieke eisen en wensen van bedrijven en verschillende industrieën.
Belangrijke kenmerken van SAP Fraud Management zijn: • Opsporen van fraude in een vroeg stadium om financiële schade te beperken. De applicatie levert realtime detectie van fraude door het inzetten van SAP HANA, een platform voor het per direct leveren van operationele, voorspellende en tekstuele analyses van big data. • Nauwkeurigere opsporing tegen lagere kosten: SAP Fraud Management is gericht op het minimaliseren van valse alarmen door gebruik te maken van real-time kalibratie- en simulatiemogelijkheden bij grote hoeveelheden data. • Voorkomt en ontmoedigt fraude: Dankzij een combinatie van regels en voorspellende methoden helpt SAP Fraud Management gebruikers bij het optimaliseren van analyses
van fraudescenario’s en het aanpassen van maatregelen op veranderende fraudepatronen. Hierdoor kunnen zij fraude beter aanpakken. “De opkomst van big data dwingt organisaties hun inspanningen op het gebied van governance, risk en compliance te verbeteren. Om potentiële fraude aan te kunnen pakken, is het noodzakelijk te kunnen controleren wie wat heeft gedaan. Ook is een verdedigbare audit trail onmisbaar”, zegt Mark Raben, Director Innovation & Product Strategy bij SAP Nederland. “Organisaties lopen het risico op enorme schade door fraude. Dit risico wordt groter door de continu toenemende hoeveelheden data die organisaties genereren. Door organisaties te helpen bij het opsporen van de fraude, zelfs bij een fractie hiervan, kunnen zij grote besparingen realiseren.” De hoeveelheid frauduleuze verzekeringsclaims en de kosten die deze claims met zich meebrengen, staan op recordhoogte. Verzekeraars kunnen het zich dan ook niet langer meer veroorloven te vertrouwen op de traditionele fraudedetectiemethoden. SAP heeft daarom in samenwerking met meerdere verzekeringsmaatschappijen SAP Fraud Management for Insurance ontwikkeld. Deze oplossing automatiseert fraudedetectie, vergroot de efficiëntie van fraudeonderzoeken en voorkomt het uitbetalen van frauduleuze claims. Besparingen voor overheden Belastingontduiking en fraude met sociale diensten schaden niet alleen de reputatie van overheidsinstellingen, maar dragen ook bij aan de continu toenemende tekorten op budgetten. SAP Fraud Management is bedoeld om overheden te helpen fraude en non-compliance te verminderen. Hiervoor worden belastingaangiftes of aanvragen voor uitkeringen via applicaties van sociale diensten real-time gecheckt met miljoenen andere gegevens waarover overheden beschikken. Hierdoor is direct duidelijk of een ingediende aanvraag overeenkomt met de data die via andere bronnen beschikbaar is. SAP Fraud Management zet preventieve algoritmes van SAP HANA in op een groot aantal transacties om fraudepatronen te ontdekken en te waarschuwen voor verdachte transacties die door conventionele fraude- en compliance-regelgeving worden gemist.
SOCIAL COLLABORATION RUKT OP Sociale technologieën rukken op binnen het bedrijfsleven, blijkt uit onderzoek van Avanade. Maar op dit moment gebruiken Nederlandse bedrijven nog overwegend op de consument gerichte social media-platforms als Facebook (66 procent), LinkedIn (57 procent) en Twitter (47 procent) om met in- en externe partijen samen te werken. LinkedIn wordt daarbij in Nederland aanzienlijk meer gebruikt dan wereldwijd (32 procent). Oplossingen met een ‘social component’ die specifiek gericht zijn op het bedrijfsleven zoals Microsoft SharePoint blijven nog iets achter met 24 procent in Nederland en 30 procent wereldwijd. Onderzoek laat daarbij zien dat deze trend het komende jaar gaat veranderen in het voordeel van enterprise social collaboration-oplossingen zoals Microsoft SharePoint. Dit staat het komende jaar voor 21 procent van de ondervraagden op het wensenlijstje, vlak na Twitter (28 procent). Opvallend is dat slechts tien procent van de Nederlandse beslissingsbevoegden aangeeft Facebook als prioriteit te zien (wereldwijd is dit 14 procent). “Bedrijven omarmen mobiele en consumententechnologieën binnen hun organisatie om verschillende redenen”, zegt André Huizing, General Manager van Avanade Nederland en Global Collaboration Lead van Avanade. “Denk aan het vergroten van de flexibiliteit en het stimuleren van de productiviteit en sales. De adoptie van consumententechnologie heeft verwachtingen gewekt bij medewerkers over de sociale technologieën die zij binnen en buiten de organisatie kunnen gebruiken om samen te werken. Om het maximale voordeel te halen uit deze technologieën moet het collaboration-beleid nauw aansluiten bij de zakelijke doelstellingen van een organisatie, uitgaan van de behoeften van eindgebruikers en worden ondersteund door de juiste tools, training en richtlijnen om adoptie door de gehele organisatie te stimuleren.” Avanade’s onderzoek laat verder zien dat de groeiende adoptietrend zich voort lijkt te zetten. De meerderheid van de ondervraagden die social collaboration-tools gebruiken ziet duidelijke voordelen en maakt plannen om hier in de toekomst nog meer gebruik van te gaan maken. De meest genoemde voordelen zijn: • informatie is makkelijker te vinden (53 procent) en de samenwerking met klanten, partners en leveranciers verbetert (41 procent) • het maakt het werk leuker (46 procent), sneller uitvoerbaar (35 procent) en de medewerker productiever (28 procent)
Infosecurity.nl magazine - nr. 3 - juni 2013
39
g
Digital Network Packet Forensics (DNPF); reconstrueren van beveiligingsincidenten.
Van de redactie
Deep Packet Investigation
Trainingen Digital Network Packet Forensics (DNPF) analyse vormt een krachtige aanvulling op de instrumenten die traditionele netwerkanalyse biedt. DNPF bouwt voort op de mogelijkheden en technieken die netwerktechnici al gebruiken. Verborgen in de sporen van de data zitten de belangrijkste aanwijzingen die een netwerkbeveiligingsprofessional nodig heeft om te analyseren, te evalueren en de meeste netwerkbeveiligingsincidenten op te lossen. SCOS Software te Hoofddorp (Wireshark Authorized Training Center) organiseert regelmatig trainingen waarin de Digital Network Packet Forensics wordt behandeld.
om dataverkeer te analyseren Het rinkelen van de mobiele telefoon kondigt het nieuws aan dat elke netwerkbeveiligingsprofessional vreest: “Ik denk dat het netwerk is gehackt”. Plotseling moet u antwoord vinden op vijf vragen die u nooit gesteld had willen zien. Die vijf vragen zijn: 1. Welke schade is aangericht? 2. Wie was de indringer? 3. Hoe is de indringer langs de beveiliging gekomen? 4. Heeft de indringer een virus achtergelaten? 5. Heb ik voldoende gegevens om de aanval te analyseren en na te bootsen? De klassieke manier om het dataverkeer van een netwerk te onderzoeken, omvat het ophalen van duizenden data-elementen uit een veelheid van bronnen, zoals firewall logs, router logs, Intrusion Detection Systems (IDS), server logs, harde schijven en system dumps. Het resultaat moet daarna aan elkaar worden gesmeed tot een samenhangend beeld. Het resultaat is vaak onvolledig. Nieuwe techniek Er is echter een nieuwe techniek in opkomst op het gebied van network forensics die aansluit bij de bestaande technieken om dataverkeer te analyseren en zo beveiligingsincidenten te reconstrueren. In dit artikel zullen we deze techniek ‘Digital Network Packet Forensics’ (DNPF) noemen. 40
DNPF-analyse is gebaseerd op de mogelijkheden van bestaande network analyzers zoals Wireshark voor het vastleggen, analyseren en reconstrueren van de gegevensstroom in een computernetwerk. Aangezien dit soort producten is ontworpen om dataverkeer vast te leggen en een gedetailleerde analyse te maken van verschillende gegevenstypen, is het zeer geschikt voor deze extra taak. Dit onderzoek naar de individuele datastromen en de elementen waaruit ze zijn samengesteld, maakt een reconstructie mogelijk van de volgorde van incidenten gedurende een bepaald tijdsbestek. Recontructie endiepte-analyse Als dit geïntegreerd wordt met de nieuwe generatie van high-performance, line-rate capture appliances die veel schijfruimte (meerdere terabyte) bevatten, dan kan de netwerkprofessional met de resterende capture files een beveiligingsincident reconstrueren en een diepte-analyse toepassen tot, indien nodig, op het individuele bit-niveau. Het resultaat van deze analyse kan worden gebruikt voor het beantwoorden van elk van de vijf eerder gestelde vragen. Daarnaast kunnen hiermee alle aangetaste knooppunten in het
netwerk worden geïdentificeerd en kan het zelfs worden gebruikt als basis voor het actualiseren van de bestaande IDS. De DNPF-analyse bouwt voort op enkele belangrijke aspecten van de manier waarop netwerken momenteel worden geanalyseerd. Terwijl de meeste netwerkanalyses bestaan uit het verzamelen en analyseren van statistieken, van bijvoorbeeld het gebruik van het netwerk,prot ocoldistributie en dergelijke, richt DNPF zich op het gedetailleerde gedrag van bepaalde netwerken of knooppunten, vaak binnen een bepaalde periode. Men kan nu de DNPF-analyse inzetten door de volgende zes stappen (afgeleid van de klassieke zes-stappen-probleemoplossingsmethode) te nemen: Stap 1 – Kiezen Het selecteren van de relevante knooppunten, gesprekken en/of datastromen is de kritische eerste stap die de netwerkbeveiliger zet om de eerste signalen uit het netwerk te evalueren en de mogelijke reikwijdte van het beveiligingsincident te bepalen. Alle verdachte afwijkingen in zowel netwerk- of knooppuntprestaties worden genoteerd voor verdere evaluatie. Tijdens deze stap worden de eerste theorieën over het incident in kwestie geformuleerd. Stap 2 – Plaatsen Het opsporen en vaststellen van de be-
trokken trace files kan plaatsvinden na inschatting van de tijd waarop het beveiligingsincident plaatsvond. Vervolgens kunnen de files uit de storage-locatie worden opgehaald. Een storage-locatie kan zich simpelweg in de huidige packet capture buffer bevinden of in de huidige online netwerk data recorders of in een off-line Storage Area Network (SAN). Stap 3 – Analyseren Een analyse van de geselecteerde trace files richt zich op het identificeren en selecteren van de belangrijkste knooppunten, datastromen en gesprekken voor verder onderzoek. Dit kan worden bereikt met behulp van een aantal hulpmiddelen, bijvoorbeeld de eerder genoemde Wireshark. Gedetailleerde analyse kan op verschillende manieren worden uitgevoerd, waaronder het een voor een inspecteren van de databestanden. Deze methode, die de meest gedetailleerde resultaten oplevert, vereist veel deskundigheid op het gebied van data-analyse en is ook zeer tijdrovend. Een alternatief hiervoor is een
visuele analyse en evaluatie van de tracé files, maar dat vereist deskundigheid op het gebied van visuele analyse. Het evalueren van het resultaat vereist gedetailleerd onderzoek naar de vele kenmerken binnen de data, waaronder dataheaders, MAC en netwerklaagadressen, TCP/IP-optievelden. Ook moet, indien aanwezig, de inhoud van de ACSII payload worden onderzocht. Kritieke informatie is doorgaans te vinden in het ASCII payload gedeelte van de data, omdat veel netwerkprotocollen nog steeds hun payload data in dit formaat overbrengen. Stap 4 – Reconstrueren Het herstel en een gedetailleerde evaluatie van het incident is nauw verbonden met de vorige stap en kan worden uitgevoerd met verschillende methoden. De meest effectieve manier om dit te doen is met behulp van visuele payload reconstructietechnieken. Hiermee kan de individuele payload data opnieuw worden opgebouwd tot een eenvoudig coherent beeld dat onderzocht kan worden.
Stap 5 – Construeren Het bouwen en testen van specifieke datafilters, netwerk IDS waarschuwingssystemen en/of capture triggers is erg belangrijk. Hiermee kan de bron van het incident worden geïdentificeerd, alsmede andere geïnfecteerde knooppunten en netwerken die voor verbeteringen in aanmerking komen. Verder kunnen de resultaten van deze tests worden gebruikt om de veiligheid van netwerken, waaronder firewalls en IDS-apparatuur, te wijzigen en bij te werken. Stap 6 – Samenvatten Het samenvatten en rapporteren van bevindingen zijn twee van de meest vergeten aspecten bij het analyseren van dataverkeer. Deze elementen vormen vaak de basis voor toekomstige juridische acties, bieden na afloop doorgaans een grondig inzicht in de veiligheid van het netwerk en worden gebruikt om beveiligingsoplossingen verder te testen en te implementeren.
DNPF richt zich op het gedetailleerde gedrag van bepaalde netwerken of knooppunten Infosecurity magazine - nr. 3 - juni 2013
41
g
Recht & Informatiebeveiliging
De wereld
gaat aan ICT ten onder, tenzij... Digitale technologie is nogal altijd – zelfs in toenemende mate – vet cool. Fantastische telefoons, tablets en zelfs brillen, alles gekoppeld aan Internet. Gebruikers glimmen van genot. De letterlijk honderdduizenden apps maken het nog mooier. Ondertussen rukken, deels sluipend, lerende informatiesystemen, robotisering en het Internet der Dingen op; drie stromingen waar geen mens meer aan te pas komt. Met alle gevolgen dan dien. Technologie maakt ons niet alleen verslavend, maar vooral kwetsbaar. Individu, organisatie en maatschappij hebben ziel en zaligheid opgehangen aan de beschikbaarheid en goede werking van ICT, de beveiliging incluis. Wat doen beleidsmakers?
Een treffend voorbeeld. Onderzoek van McAfee, onderdeel van de Amerikaanse chipproducent Intel, wees onlangs Nederland aan als vrijhandelsplaats voor cybercriminelen en vervolgens roepen politici in koor dat inperking van het recht op bescherming van de persoonlijke levenssfeer de oplossing vormt. Het nieuws was zo groot dat het achtuurjournaal ermee opende. Nederland staat namelijk op de derde plaats van landen — na de VS en de Maagdeneilanden — die cybercrime wereldwijd faciliteert en acteert als ‘paradijs voor internetcriminelen’ die spam versturen en bankgegevens stelen. Dat gebeurt door misbruik van 154 servers ‘om dagelijks honderdduizenden computers over de hele wereld te besturen’. In feite gaat het slechts om een klein percentage van het aantal servers in Nederland. Nog opmerkelijker is de reactie van de politiek. Handhaving heeft last van sterke privacyrechten, waaronder ‘het strikte briefgeheim’, en daarom is deze bescherming doorgeschoten. Dat vraagt om afzwakking van de rechtspositie van de burger! De realiteit is geheel anders. In alle 27 lidstaten geldt een basisniveau aan privacybescherming voor wat betreft de verwerking van persoonsgegevens. Dus niet alleen in Nederland. Alleen Europa kan dat rechtskader aanpassen. Dat gebeurt overigens ook en de privacyrechten worden opvallend genoeg alleen 42
maar sterker. Ook een verwijzing naar het briefgeheim is opvallend, nu onze Grondwet in dit kader nog aangepast moet worden. Meer algemeen repliceren we dat Nederland een aantrekkelijk land voor hosting providers is, omdat Amsterdam al jaren een groot en belangrijk Internet-knooppunt heeft. Wellicht weegt het juridische beginsel van netneutraliteit (geen hogere kosten voor diensten die veel bandbreedte eisen of het ‘afknijpen’ van deze diensten) ook mee.
plichten bij storingen en inbreuken vallen goed beschouwd in dezelfde categorie, nu deze maatregelen vooral dienen om (gevolg)schade te beperken. Vergeet Europa niet. De Europese Commissie heeft samen met de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid een strategie voor cyberbeveiliging gepresenteerd. Tevens ligt er een blauwdruk voor een Europese Richtlijn netwerk- en informatiebeveiliging.
De politiek diskwalificeert de complexe informatiemaatschappij en reduceert haar tot de ‘roept-u-maar-samenleving’. Van alle betrokkenen vragen we dus op de eerste plaats logisch verstand, samen met een holistische benadering van de problematiek; zowel technisch en organisatorisch als juridisch. De waan van alle dag vormt geen basis voor solide beleid. Een gevolg van de verontrustende DigiNotar-zaak (onveilige certificaten voor online transacties) is dat minister Plasterk twee jaar lang een taskforce aan het werk zet om ministeries, gemeenten, provincies en waterschappen te helpen bij het verbeteren van hun informatiebeveiliging. Wat zal het beleid worden?
De taskforce doet er dan ook goed aan alles mee te nemen en vervolgens praktische maatregelen uit te werken, die ook voor de private sector nuttig zijn. Soms liggen deze voor de hand. Zo is het openbare Internet weliswaar een groot goed, maar IP-netwerken kunnen tevens een besloten karakter hebben, zodat organisaties in geval van een DDOS-aanval losgekoppeld van Internet kunnen worden of dat al zijn. Mr. V.A. de Pous is bedrijfsjurist en industrie-analist.
Overheden moeten zich veel meer bewust zijn van het belang van goede beveiliging van hun digitale dienstverlening, luidt het uitgangspunt. Dat weten we al jaren. Ook het voorhanden hebben van een Plan B, wordt aanbevolen. Eveneens een notoir feit. De verplichte meldInfosecurity magazine - nr. 3 - juni 2013
43
You’re safer in our world when you become a strategic partner Unified Threat Management - All of your security issues
Mobile Control - Helping you protect, manage and secure your
covered in a single hardware or virtual appliance.
mobile devices and your data with ease, without slowing people down.
Web Protection - Keeping your users safe wherever they are when browsing the internet, in the office, at home or
Network Protection - Enjoy an infrastructure fully protected
on the road.
through our comprehensive network security. And it lets your users connect safely.
Email Protection - Secures email from every angle, by keeping malware and spam out, and using encryption and DLP to keep your
Data Protection - Lets you securely share sensitive data and
data safe.
satisfy regulators. Wherever your data is we keep it safe
Endpoint Protection - Gives you everything you need to stop malware and protect data. It’s fast, effective and secures users everywhere.
|
Web
|
Email
|
Unified
Endpoint
Sophos B.V. | Hoevestein 11B | 4903 SE Oosterhout NB | Netherlands | Tel: +31 (0) 162 480 240 | www.sophos.com
|
Mobile
|
Network
|
Data