Te land ter zee en in de lucht:
Internet gebruiksrisico’s en beschermingen anno 2013
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
Te land ter zee en in de lucht:
Internet gebruiksrisico’s en beschermingen anno 2013
I
CT en met name het Internet doordringt de samenleving meer en meer. En dat is mogelijk een zegen maar ook een risico voor je organisatie. De risico’s zijn in twee hoofdgroepen te splitsen: user security en platform security. De eerste heeft te maken met geauthenticeerde gebruikers die dingen doen welke je niet gepland had, door verkeerde rechten-afscherming of door loginfraude. En de tweede groep risico’s betreft je hard- en software zelf. Platform security is niet alleen maar bescherming tegen aanvallen maar ook andere deelgebieden, te weten failover en backup voor je systemen en het gebied van data-archivering; bewijzen dat aktiviteit zusen-zo plaatsvond kan immers erg belangrijk zijn in rechtszaken. Tot slot is er nog een buitenbeentje in de hele security, namelijk DLP (Data Loss Prevention). Het wordt soms onder de aanvalsbescherming gerekend omdat sommige aanvallen gericht zijn op datadiefstal en ook via DLP-analyse mede ontdekt kunnen worden. Maar betreft de DLP een medewerker die, uit domheid of moedwil, vertrouwelijke data verzendt dan is dat eigenlijk geen user security noch platform security. Terug naar de aanvalsbescherming, het hoofdonderwerp van dit whitepaper: die richt zich op alle ‘contactpunten’ tussen jouw organisatie en de buitenwereld. En net zoals klassieke militaire grensbewaking zich op land (leger), zee (marine) en hemelse sferen (luchtmacht) richt is aanvalsbescherming daarom gericht op het netwerk én op de losse host-machines (servers en endpoints).
Land, zee en lucht aanvalspatronen Voordat je wat meer leest over de nodige beveiliging is het zinnig om meer te lezen over aanvallen. Want het gaat al lang niet meer om een simpele besmette diskette of een verdacht e-mailtje; aanvallers gebruiken geregeld een commandocentrum voor hun botnet en een arsenaal aan onderling samenwerkende wapens, en dat heeft natuurlijk gevolgen voor je verdedigingsmuren. Eerst een paar voorbeelden en dan een poging daar patronen in te ontwaren. • Poison Ivy. Deze aanvallen gebeurden in 2011 in een aantal verschillende campagnes, door verschillende partijen vermoedelijk; de campagnes kregen bijnamen als ‘Nitro’, ‘Operation Aurora’ en ‘ShadyRAT’. Met hode was altijd dezelfde: eerst werd malware geïnstalleerd op endpoints (desktops of notebooks) van de organisatie. Hij zat verstopt in mails van betrouwbaar lijkende partners: o.a. update-verzoeken voor de Antivirussoftware (écht een wolf in schaapskleren!), updates voor Flash Player of in agenda-uitnodigingen met attachment van bekende bedrijven; soms was eerst de e-mail van dat bedrijf gehackt om massaal deze spam-uitnodigingen te kunnen versturen. Poison Ivy zelf is een remote access ‘server’ voor het endpoint, die via een complexe keten van encryptie en proxies probeert ook bereikbaar te zijn in LAN’s waar via NAT/ proxy naar buiten toe gecommuniceerd wordt. Had de hacker eenmaal toegang tot het endpoint dan werden bijvoorbeeld wachtwoorden afgeluisterd of e-mails of serverbestanden van deze gebruiker gekopieerd, en daarna naar de hackers toegestuurd. Gevolg: heel wat bedrijven in o.a. chemische industrie en defensie kregen ofwel concurrentie met in-depth kennis van bedrijven die een grote research-achterstand hadden, ofwel een interessante e-mail conversatie met pakweg een Russisch hack-collectief die losgeld vroeg voor het teruggeven van de eigen data…
2
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
• Bin Laden voyeur – aanval. Een Facebook link nodigde mensen uit om meer informatie te zien over de toen recente dood van een bekend aanvaller in de fysieke wereld – en diegenen die klikten werden doorgestuurd naar een malware-site die, mede gebruikmakend van niet 100% voor zwakheden gepatchte browsers, ogenblikkelijk de eigen PC infecteerde. • TOR en Bittorrent aanvallen. Dit is niet een specifieke casus doch meer een algemeen patroon. In organisaties met relatief ‘vrije’ endpoints, of bijvoorbeeld toestaan van BYO/inhuurkracht-notebooks binnen het eigen WiFi-LAN, worden regelmatig endpoints aangetroffen waar TOR of vergelijkbare ‘anonymous proxy’ clients geïnstalleerd staan. Initieel vaak vanwege een goedbedoelde reden: de gebruiker moest bijvoorbeeld, vanwege privé of zakelijke redenen, chatten met iemand in een land met strenge censuur. Ook kan er een Bittorrent-client of vergelijkbaar neergezet zijn, denk aan Windows Live Mesh of Gnutella. Wederom met goede bedoelingen: uitwisselen van materiaal op de eigen PC met vakgenoten buiten de organisatie. Beide tools echter lenen zich beter dan men denkt voor misbruik, en als ze eenmaal gehackt zijn (bijvoorbeeld door een met malware besmette via de Bittorrent binnengehaalde video) is het protocol zelf zodanig beveiligd dat standaard firewalls en proxies geen soelaas bieden. Waarna bijvoorbeeld de gehackte file op de fileserver gezet wordt door de nietsvermoedende gebruiker of zelfs automatisch door de malware, andere “Nieuwsgierige Aagjes” vervolgens die file bekijken etc. etc. • Eurograbber aanval. Deze richtte zich niet op de organisatie zelf maar op diens klanten, en volgde het standaard patroon van malware verspreiding: via verleidelijke e-mails, of Facebook-berichten, of zelfs hacks op legitieme sites. Was de malware (een variant van de Zeus trojan) eenmaal geïnstalleerd dan luisterde deze de banktransacties van de klant af, plaatste zich tussen de webpagina en de banksite, en liet de klanten elektronisch signeren voor betalingen die op het scherm correct waren maar tussen scherm-en-site aangepast werden naar pakweg de Bahamas-bankrekening van de hacker! In de beschreven aanvallen, en in de beveiligings-eisen zometeen, zullen we ons verder concentreren op wat je organisatie als ‘Internetclient’ aan risico’s loopt. Als je zelf daarnaast een website hebt, intern of bij een hostingpartij, gelden nog wat aanvullende risico’s zoals server-attacks – denk aan de ‘OWASP attack list’ en Denial of Service. Maar die hebben aanvullende platformtools nodig, waar overigens Check Point ook veel te bieden heeft – en zulke tools vallen buiten dit whitepaper. Telewerk-opties met pakweg toegang op afstand tot je interne Exchange en Sharepoint servers zijn een grensgeval, die komen straks wel aan bod. Iets anders wat buiten boord valt zijn infecties bij je externe klanten. Eurograbber bijvoorbeeld kan je als bank zelf niet in direkte zin voorkomen – je kunt alleen op je site gaan afdwingen dat de klanten-PC’s een geheel up-to-date malwarescanner draaien die dan zo’n Trojan zou kunnen ontdekken, en ook de architectuur optimaliseren om te garanderen dat de klant precies ziet waarvoor hij tekent. Uit deze aanvallen kun je een aantal principes distilleren: • Klassieke checks op malware-handtekeningen blijven nut houden maar zijn ruimschoots onvoldoende geworden, o.a. omdat deze botnet-aanvallen voor een steeds wijzigende handtekening zorgen. Je hebt dus alleen al voor de scans op desktop en netwerk veel meer technieken nodig: heuristische analyse op wat de binnenkomende files qua gedrag doen, scan of er niet tijdens contact met site X ook content wordt gedownload van site Y die op een zwarte malware-lijst staat, intrusion prevention op de packets. • Daarnaast zijn maatregelen aan heel andere kanten van de netwerkcontact nodig. Zoals web (URL) filtering. Niet alleen om te zorgen dat medewerkers op het werk zich ook op werkgerelateerde sites richten maar ook om te garanderen dat hun PC, indien eenmaal geïnfecteerd, niet ver komt bij zijn contact met zijn commandocentrum. En inspectie van alle verkeer (ook non-web) op toegestaan protocolgebruik; elk remote access (zoals Poison Ivy) bijvoorbeeld kan geblokkeerd worden, en gebruikers met pakweg de TOR Anonimyzer hebben eerst wat uit te leggen aan de eigen IT afdeling voordat de link vrijgegeven wordt. • Aan dat ‘inspectie van alle verkeer’ kun je optioneel ook inspectie op inhoud oftewel DLP toevoegen; dit kan namelijk ook ‘onbewust’ lekken van vertrouwelijke informatie, door malware-code op een besmet endpoint, ontdekken. Straks meer hierover, want DLP is in principe een aparte tak van sport waar je als organisatie ook doelbewust voor zou moeten kiezen, met z’n rol voor ‘bewust’ dataverlies (door de medewerkers zelf) op de koop toegenomen.
3
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
• En, last but not least: zo goed mogelijk ‘dichtgetimmerde’ endpoints, zonder browserzwakten waar al patches voor bestaan, helpen ook. Fig. 1: File sharing clients aangetroffen in bedrijfsLAN’s
Marktcategorieen en eisen: aanvalsbeschermingen Nu de aanvallen en risico’s duidelijker zijn kunnen we kijken naar tools die de juiste beveiliging voor Land, Zee- en Luchtaanvallen bieden. En dat doen we in vier subgroepen: bescherming in de netwerkverbinding, bescherking op endpoints (desktops, BYO/telewerk-devices en servers), DLP in het netwerk en DLP op desktops. We be ginnen dus met bescherming in het netwerkstuk. Dat vindt plaats, je raadt het al, in de één of andere ‘gateway’ functie. Want of je nu een bedraad netwerk hebt of WiFi, een cluster gebouwen of een enkel kantoortje, het is erg raadzaam om al het Internetverkeer via één punt naar de provider en via hem naar het WWW te laten lopen. Nu werkt dat natuurlijk sowieso al veelal zo, en geven de providers bij hun Internetmodem of –router slechts een beperkt aantal vaste of dynamische IP adressen uit, maar die adressen moet je dus écht reserveren voor de gatewaykant. Intern gebruik je andere adressen, en er vindt NAT (Network Address Translation) plaats. Op diezelfde tussenlaag kun je dan ook de andere beveiligingsfunctionaliteit laten installeren; dat kan als software op Linux- of Windows servers, als standalone appliances of als komplete VMware/Hyper-V/Xen/KVM Linux-gebaseerde VM appliances. De volgende kernfuncties moeten dan in de gateway geplaatst zijn: 1. NAT, maar dat was boven al genoemd 2. Proxy. Het is namelijk essentieel dat SSL en andere vormen van versleuteld verkeer hier termineren, en daarna mogen ze gerust weer worden opgebouwd; dus bijvoorbeeld https ‘loopt nog steeds van browser tot externe website’, maar het is op de gateway even onderbroken. Bij SSL heet dat ‘bridging’. Alleen hierdoor kan inspectie etc. plaatsvinden. NB: historisch gesproken biedt een proxy ook caching; Apache proxy en Microsoft TMG (voorheen ISA Server) waren hiervoor erg populair. Maar met Web 2.0 zijn steeds minder stukken van websites statisch genoeg om cache-fähig te zijn, dus zowel vanuit security oogpunt als vanuit performance-oogpunt is de caching steeds minder nodig. NB: ook e-mail van buiten naar binnen moet via een proxy-functie lopen omdat hier die andere checks, zoals op malware, moeten plaatsvinden. 4. Firewall. Die bepaalt zowel welke IP ‘ports’ toegestaan zijn als ook tot op zekere hoogte wat er aan packetsoorten toegestaan zijn binnen de nu voor vrijwel alles gebruikte poorten 80 (http) en 443 (https). Maar kan ook veel fijnmaziger controleren dan dit, hij kan bijvoorbeeld werken met lijsten van verdachte IP adressen waarmee geen verkeer toegestaan wordt omdat ze met malware geassocieerd zijn.
4
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
5. URL filtering. Vanwege inhoudelijke redenen maar ook vanwege security, zie boven. 6. Intrusion Detection/Intrusion Prevention. Deze technieken zijn primair ontwikkeld voor inkomend verkeer (naar je eigen sites toe), maar een subset van de controles is ook geschikt om malafide verkeer dat “meelift op bezochte websites” (en op ander inkomend verkeer zoals Skype of telewerkers) eruit te vissen. En tele werk-opties zoals SSL VPN of externe Exchange OWA-toegang hebben veel organisaties toch in het eigen LAN gehost, en speciaal hiervoor is IDS/IPS erg belangrijk. 7. Malwarescanning. Natuurlijk, de meest voor de hand liggende optie als bescherming tegen onwelriekende zaken die via e-mail of websites worden binnengehaald. De scan moet veel verder gaan dan alleen handtekeningen-vergelijking; ook heuristiek is essentieel voor moderne botnets en aanvalspatronen. 8. Antispam – voor sommige organisaties optioneel maar juist omdat spam veel (links naar) malware met zich meedraagt kan het een nuttig extraatje op de gateway zijn. Tot zover de kerntaken vanuit de optiek van aanvalsbescherming. Natuurlijk zijn er ook andere taken mogelijk op de gateway, denk maar aan telewerk-VPN’s zelf; op zichzelf staan ze los van de beschermingsrol (sterker nog, dit voorbeeld heeft ook nadrukkelijke user security-kanten) maar samenwerking qua malwarechecks etc. ermee is wél essentieel. Over naar de endpoints. En we beginnen met een regelmatig in verkoopverhalen genoemde water-in-demond regel: als we erin slagen de endpoints volledig dicht te timmeren, en dus hun enige toegang met de boze buitenwereld via het netwerk is, dan hebben we helemaal geen speciale endpointbescherming nodig. In principe zelfs geen malwarecheck (want die zit al op de gateway), wél natuurlijk volledig gepatchte browsers etc. Helaas is dit beleid door IT alleen aan de gebruikers te verkopen in extreme landschappen zoals Defensie, en voelt 95% van de beheerclubs zich toch gedwongen om lokale ‘zijdeuren’ zoals de USB poorten en Bluetooth open te zetten vanwege o.a. de smartphone of USB stick datatransport. Vandaar ook hier een lijstje functionaliteit die je toch graag neerzet op alle endpoints: 1. Malwarechecks. De klassieke theorie luidt dat deze persé van een ander merk moet zijn dan de checks op de gateway, zodat ‘beide blinde vlekken elkaar compenseren’. Maar er zijn ook genoeg moderne adviesrapporten die dit weer tegenspreken, o.a. vanwege de dubbele beheerinspanning in zo’n tweevendoren-model en het afgenomen belang van pure malwarescanning; IPS en firewall op de gateway zijn minstens even belangrijk nu. 2. Lockdown van devices voorzover dat in je organisatie kan – je zou bijvoorbeeld alleen encrypted USB sticks kunnen toelaten van specifieke typen. 3. Endpointbewaking middels bijvoorbeeld Windows NAP (Network Access Protection). Dit sluit het endpoint van het LAN af als geen up-to-date Windows patchniveau aanwezig is en up-to-date malwarechecker; erg handig voor bijvoorbeeld notebooks die ook buiten het LAN zwerven en aldaar besmet geraakt kunnen zijn. 4. Dit waren de echt vereiste componenten. Firewall en IPS voor een endpoint bestaan natuurlijk, maar voor een normale desktop zijn ze eigenlijk overbodig omdat je op de gateway-checks kunt leunen. Is het echter een notebook, die in non-docked modus hele andere IP settings heeft en direkt het Net opgaat, dan zijn ze wél erg nuttig. Maar dit verhaal is niet kompleet zonder kort te kijken naar twee andere soorten endpoints. Ten eerste de servers – ook die zijn ‘endpoint’ in TCP/IP zin en tot op zekere hoogte kwetsbaar. Zorg er dus in ieder geval voor dat je fileserver ook malwarechecks draait; in de aanvalsscenario’s boven fungeert hij vaak, door domme gebruikers of door expliciete akties van (remote control) hackers, als tussenstation voor verdere verspreiding in het LAN van besmette bestanden. En ten tweede de BYO apparaten – zowel in het LAN (zoals notebooks van inhuurkrachten) als telewerk-plekken in huiskamers of Internetcafe’s. Zorg ervoor dat deze wanneer er ook maar enige toegang tot data van je organisatie mogelijk is aan goede beveiligingseisen voldoen. Bijvoorbeeld door afgedwongen malwarecheck (NAP) en patchniveau. En door voor telewerkers op het VPN veel af te dwingen, van firewall/IPS toe tot ‘sandbox’ werken in hun SSL VPN-browsers waardoor bedrijfsdata nooit echt op een lokale (en onbetrouwbare) harddisk belandt.
5
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
Marktcategorieen en eisen: Data Loss Prevention DLP is zoals je boven al las in principe een heel aparte tak van sport, maar wel eentje die veel raakvlakken heeft met platform security. Vandaar dat we hem hier ook met enige diepgang bespreken. Eerst weer de netwerk dimensie van DLP. De missie van dit soort tools is simpeler dan die van aanvalsbescherming, maar qua diepgang en variatie zijn er toch veel catches. De missie is ‘signaleer en blokkeer (met override-optie voor bevoegde staf) lekkage van vertrouwelijke data’. Dat signaleren en blokkeren gebeurt via alle e-mail (SMTP) en http (o.a. webmail en Dropboxachtigen) routes, en eist net zoals bij de aanvalsbescherming een installatie van het DLP tool in een proxy-rol. Op de inhoudelijke kant van het signaleren zitten de verschillen tussen de tools op de markt, dus hier een aantal basiseisen plus aardige extra’s. Basis moet toch minimaal zijn dat bepaalde (combinaties) van sleutelwoorden verdacht zijn in samenhang met de identiteit van de ontvanger – ze mogen dus pakweg wel naar de bedrijfsadvocaat gemailed worden maar aan niemand anders. Iets gevanceerder dan sleutelwoorden is om hele reeksen bestanden te ‘fingerprinten’ (vingerafdruk opslaan) en deze als gevoelig te beschouwen; ongeacht de feitelijk gekozen bewaarvorm (bijvoorbeeld in ZIP verpakt) moet DLP ze dan blokkeren. En minstens even belangrijk is ook de ‘data pattern’ optie, welke dan geassocieerd moet zijn met regels voor specifieke branches en regelgevingen. Credit card nummers bijvoorbeeld mogen nooit een organisatie met een webwinkel verlaten, BSN- en patiëntnummers zijn cruciaal bij medische instellingen, etc. etc. En de derde en meest geavanceerde categorie checks gaat nog wat dieper in de fileherkenning, bijvoorbeeld OCR-scans voor teksten verstopt in een imagebestand en fingerprinten van hele reeksen database-records als gevoelige info (ook als ze pakweg als Excel of CSV bestand verpakt zijn). Of voegt scan binnen de interne mailserver toe, waardoor je ook bijvoorbeeld kunt beslissen dat gegevens over fusies nooit voorbij de ‘Chinese Wall’ van de juridische afdeling mogen belanden. Nog zo’n luxe extraatje is file-encryptie: o.a. MS- Office en Acrobat staan toe om dit zodanig te doen dat bij elke lees-operatie op het document, ongeacht waar op Internet het zich bevindt, kontakt gezocht moet worden met een authenticatieserver. Dit is dus zelfs DRP (Data Read Protection) ongeacht waar het document inmiddels beland is, nog iets mooier dan eenmalige DLP. Fig. 2: Dashboard Check Point gateway
Dan de endpointdimensie van DLP; die betreft echt alleen desktops/notebooks, want voor servers en BYO apparaten zijn er geen specifieke datalek-risico’s; natuurlijk ervan uitgaande dat in de BYO-sandbox voor telewerkers überhaupt nooit data de sandbox verlaten. En natuurlijk speelt DLP hier alleen voor die 95% van de organisaties die níet de endpoints totaal mogen dichttimmeren, en op die systemen dus ook malwarechecks nodig hebben. Wel, ook hier is er een basiseis en weer wat meer luxe extra’s. De basis-eis is dat dezelfde controles die de netwerk-DLP doet ook voor lokaal datatransport, via USB (of zelfs nog CD/DVD) en Bluetooth, gelden; van lichte sleutelwoorden via data patterns tot aan OCR en database fingerprint toe. En meer luxe extra’s zijn bijvoorbeeld encryptie van de harddisk zelf; Windows kan dit uitstekend maar niet altijd op de meest gebruikersvriendelijke manier. Of encryptie van removable media zoals de USB sticks.
6
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
Voorbeeldinvulling aanvalsbescherming: Check Point Om het beeld kompleet te krijgen nu een voorbeeldleverancier. Check Point is pionier op de markt voor (inkomende) firewalls, en gezien zijn wortels in Israel kun je een hoge standaard van veiligheidsbewustzijn verwachten. Toen de markt ook desktopfirewalls en DLP ging vragen is men keurig met die trend meegegaan, en Check Point is ook regelmatig pionier in nieuwe technieken zoals scan-intelligentie in de eigen ‘ThreadCloud’. De huidige produktstrategie heet ‘3D Security’: beveiliging gebaseerd op centrale policies, afdwinging aan alle vereiste ‘enforcement’ kanten (land zee en lucht) en met gebruikersafhankelijke regels. Interessant is de opzet: het zijn allemaal losse bouwstenen, de ‘Software Blades’, die naar wens samengevoegd worden in de voor jouw situatie optimale kombinatie. Hierdoor is zelfs het verschil tussen beveiliging voor Internetclient-zijde (onze scope) en voor server/website-zijde niet zo groot als het vroeger was; en mits je perimeter-architectuur erop aangepast wordt zou je zelfs eenzelfde Check Point IDS/IPS-module kunnen inzetten voor het uitgaande verkeer en voor de inkomende ‘Mobile Access’ SSL VPN-module! Hosting is ook flexibel: op de Check Point appliances, op je eigen Linux/Windows-systemen, als VMware VM’s en op het endpoint voor de desktopbeveiliging. Eerst een samenvatting van wat er aan netwerksecurity mogelijk is: • Firewall, ook optimaal inzetbaar voor Internetclient-gebruik • Intrusion Prevention • Filtering. Dit zijn de ‘URL filtering’ en ‘Application Control’ opties; de tweede gaat beduidend dieper dan website-niveau, en bepaalt bijvoorbeeld welke delen van Facebook wel en niet toegestaan zijn • Malwarecheck. Dit is de ‘Antivirus’ optie, OEM-technologie, en daarnaast ‘Threat Emulation’ wat een eigen Check Point -module is. De sandbox kan op de lokale appliance/blade draaien maar ook centraal in de ‘ThreadCloud’. Een mooi extraatje is wat men ‘Anti-Bot’ noemt: bovenop Firewall, IPS en filtering extra logica plaatsen die detecteert dat er in je LAN machines geïnfecteerd zijn en contact zoeken met een botnet. • Anti-spam, voor de e-mail inhoud; hieraan gekoppeld ook weer malwarecontrole op de attachments en de HTML5-berichtinhoud. • VoIP – ook voor Internettelefonie bestaan inmiddels aanvals- en malwarepatronen en Check Point beschermt daartegen; verder helpt deze module ook voor QoS-bandbreedtebewaking van je hele Internetverbinding. En hier bovenop vind je natuurlijk centraal management en de Identiteitsgerichte integratie met je LDAP/Active Directory-userkennis. En telewerk-oplossingen, voor IPSec en voor SSL VPN (‘Mobile Access’), welke uitstekend geïntegreerd zijn met de rest van de modulen. Het SSL VPN heeft een uitstekende Mobile App die zorgt dat er nooit data achterblijft op het telewerk-endpoint na verlaten van de sessie. Fig. 3: Endpoint Security client
Voor de endpoint (op Windows) biedt Check Point de essentieele subset. Ten eerste malwarecheck en firewall. Die kan wat verder gaan dan op de gateway omdat je op het endpoint met ‘Program Control’ echt een whitelist kunt aanhouden van toegestane applicaties; dit bovenop de Group Policy-lockdown die je zonodig op Windows zelf al gezet hebt. Check Point volgt de trend van één enkele malwarebescherming aanbieden op desktop en gateway, met de boven genoemde voordelen naast de beperkingen; maar wie die beperkingen hinderlijk vindt
7
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
is natuurlijk vrij om alsnog een apart desktop antivirus-tool erbij te kopen. Andere blade-modulen zijn encryptie van alle removable media (inclusief ‘port control’ logging wat er precies per USB port gebeurt), poorten desgewenst dichtzetten, en volledige harddisk-encryptie. En een IPSec VPN-client, de tegenhanger van de gateway telewerk-oplossing die je boven zag. De tussenconclusie voor de Check Point aanvalsbescherming is dat ze top-notch zijn, en op alle punten van de communicatie bescherming kunnen bieden. Met natuurlijk wel een selectief modulaire bundeling. Wil je tegen alle soorten malware-aanvallen beschermd zijn dan moet je drie losse modules afnemen; voordeel is dat eventuele meerprijzen vergeleken met prijsstunters in de markt duidelijk verklaarbaar zijn, voor puur de antivirus-bewaking kan men daardoor een competitieve basisprijs rekenen.
Check Point DLP Zoals eerder gemeld is Data Loss Prevention niet persé een security-deelterrein, maar zijn er wel overlappen. Het dataverlies kan immers veroorzaakt zijn door een moedwillige aktie van je medewerker of door een besmette PC die in-opdracht-van-de-hacker data naar buiten gaat smokkelen. Ook hier zag je in dit document dat checks op de gateway essentieel zijn, en op het endpoint zelf vaak ook nog nodig zijn. Bij Check Point gaat het (net als bij aanvalsbescherming) in de kern om dezelfde module, maar met andere settings. Eerst de gatewayfuncties. Die scannen e-mails en websitegedrag (inclusief webmail) op sleutelwoord-combinaties en ook vele mogelijke ‘data patterns’ afhankelijk van de branche waar je werkt. Unieke extra’s daarbovenop zijn ook e-mail scans binnen je bedrijf, zodat je regels kunt stellen voor pakweg Chinese Wall-afdelingen; om dit mogelijk te maken moet de DLP blade dan op een interne LAN-server draaien. Eveneens vrij uniek is de ‘Document Security’: via de encryptie-opties van o.a. Office en Acrobat wordt elk op de desktop gemaakt document automatisch versleuteld. Die versleuteling ‘volgt het document overal’: als bijvoorbeeld een zakenrelatie hem wil bekijken op het eigen machinepark, Windows of Mac, dan moet deze eerst van de documentverzender een userid/wachtwoord hebben gekregen of zelfs zwaardere authenticatie. Ontsleutelen gebeurt namelijk na check met de Document Security server in de cloud. Fig. 4: Events Management console
Voor de endpoints biedt Check Point minder functies. DLP zelf kan niet plaatsvinden voor filetransport naar USB sticks etc. Wél biedt men encryptie van het hele endpoint en van de USB media; en natuurlijk heb je als je Document Security inschakelt beduidend minder behoefte aan data-analyse bij transport naar de USB stick, omdat je ook buiten je fysieke grenzen nog controle hebt op wie het document gaat lezen. Ook voor het DLPstuk een tussenconclusie: Check Point mikt hier echt op het middensegment van de markt, zonder bepaalde luxe-opties zoals database fingerprint en OCR. Ook is endpoint-bescherming beperkt, maar de mogelijkheden om intern mailverkeer te checken en voor file-encryptie die het bestand volgt met realtime user-check zijn dan weer superdeluxe.
8
Te land ter zee en in de lucht: Internet gebruiksrisico’s en beschermingen anno 2013
Afronding Een totale beveiligingsstrategie, waar ook DLP onderdeel van kan uitmaken, richt zich op: • Zowel je netwerkverbinding als de losse endpoints, inclusief eventuele telewerkers en BYO apparaten in het LAN • Alle mogelijke ‘verdedigingstechnieken’ op die diverse grenzen van je eigen IT-domein. Kort samengevat firewall, IPS, fijnmazig webfilter, spamcontrole en malwarecontrole en inclusief bijzondere protocollen zoals VoIP. En daarbovenop dus desgewenst DLP als je non-security redenen daartoe hebt en/of bang bent voor IT-inbraken bedoeld om jouw vertrouwelijke data buit te maken. • Dit alles natuurlijk naast de strategie qua inrichting van je servers en endpoints; een optimale lockdown (liefst inclusief USB-poorten en disk-encryptie) en up-to-date patchniveau hiervan is een essentieele basis waarbovenop je dan tools zoals de genoemde inzet. En zoals uit de beschrijving blijkt is Check Point een uitstekende optie voor al deze deelterreinen. Het is één der weinigen die een totaalfilosofie met beveiliging te land, ter zee en in de lucht kan bieden met consistent kwaliteitsniveau en centrale aansturing!
9
