Informatie moet door wasstraat heen

Een virusaanval is een voorbeeld van een incident waarbij de continuïteit van ICT-middelen en soms ook de vertrouwelijkheid van informatie in het geding kunnen zijn.
Recent onderzoek van organisaties als Govcert en Surfnet heeft uitgewezen dat de meerderheid van de malware die via internet probeert binnen te dringen, niet wordt herkend. Dat ook de vertrouwelijkheid van informatie een aandachtspunt zou moeten zijn, bewijzen incidenten bij verschillende overheidsinstellingen naar aanleiding van gelekte gegevens, onder meer via e-mail- en filesharingprogramma’s. Maar denk hierbij ook aan phishingaanvallen, waar klanten van grote Nederlandse banken als de Postbank en Rabobank mee geconfronteerd zijn. Kortom, digitaal beschikbare informatie wordt op veel fronten bedreigd, terwijl maatregelen tot op heden vaak te kort lijken te schieten.

Maatregelen
Niet alle dreigingen vereisen meteen maatregelen. Een kwetsbaarheidsanalyse kan hierbij helderheid bieden. Wel kan generiek gesteld worden dat de integriteit van informatie niet altijd meer vanzelfsprekend geacht wordt. Als maatregelen nodig zijn is er een veelheid van oplossingen om de onderkende risico’s te beperken. Deze oplossingen worden vaak in combinatie met elkaar ingezet. Zo zijn virusscanners gemeengoed en voor het merendeel van de computers geldt dat ze door een firewall gescheiden worden van het internet. Feitelijk kunnen we de oplossingen onderverdelen in preventieve of repressieve maatregelen enerzijds en curatieve middelen anderzijds. Een traditionele firewall is een voorbeeld van een repressieve maatregel die veelal zonder kennis van de inhoud bepaalde verkeerstromen tegenhoudt. Dit is ook het geval bij een verbod op het gebruik van USB-sticks of bij de verwijdering van cd-romspelers. Een virusscanner of spamfilter kan eventueel als ‘reservemaatregel’ worden ingezet, deze plaatsen we in de categorie curatieve middelen. Veel van deze oplossingen focussen echter op een deelgebied van de genoemde bedreigingen.
Maar zelfs als de zojuist genoemde maatregelen allemaal gebruikt worden, is er nog steeds het risico van aantasting van de integriteit van vertrouwelijke informatie. Voor grote organisaties is een gelaagde oplossing op meerdere niveaus gewenst, waarbij vaak ook sprake is van een dual-vendorstrategie (zie kader). Als een organisatie al deze maatregelen nodig acht om de risico’s te beperken, ontstaat een kluit aan componenten, die elkaar helaas ook nog wel eens in de weg kunnen zitten. Dit verdient dus speciale aandacht.

Jargon
Langzamerhand ontstaat een groeiend aantal oplossingen dat de bovengenoemde maatregelen in één oplossing bundelt. De door IDC in het leven geroepen term Unified Threat Management (UTM) is een term die in dit kader steeds vaker wordt genoemd. Naast de genoemde virusscanner, anti-spyware, spamfilter en firewall bevat een complete UTM-oplossing ook een intrusion-detectionsysteem (IDS) en URL-filter. Maar UTM is niet de enige term, fabrikanten verzinnen hun eigen marketingtermen en proberen de klant met superlatieven te overdonderen. Voorbeelden van andere gebruikte termen zijn: deep content inspection, content filtering, behaviour-based web security en web gateway security. Fabrikanten zouden er goed aan doen om afscheid te nemen van hun jargon en standaarden af te spreken over de gebruikte terminologie.
Als alle genoemde maatregelen worden genomen, dan wordt informatie als het ware door een wasstraat heen gehaald. Als eerste wordt alle inhoud langs een proxy gezonden, waar veelvuldig opgevraagde content bewaard kan worden, zodat deze niet opnieuw geanalyseerd hoeft te worden. Daarna wordt de informatie via het URL-filter geclassificeerd en eventueel geblokkeerd. Vervolgens wordt echt naar de inhoud gekeken. Hier doen de bekende virusscanners of eventueel spamfilters hun werk. Daarnaast wordt bekeken of de informatie wel volgens de officiële standaarden wordt gepresenteerd. Zo kunnen bijvoorbeeld buffer overflows voorkomen worden, een aanval waarbij onvolkomenheden in de programmering aangewend worden om een computer door de aanvaller ontwikkelde code uit te laten voeren. Eventueel kan nu ook nog censuur worden toegepast. Webpagina’s kunnen geblokkeerd worden, maar de ongewenste delen (bijvoorbeeld stukjes programmacode) kunnen ook gecensureerd worden. Dit is overigens wel een risico, nu steeds meer pagina’s complexe code in zich dragen. Voorbeelden hiervan zijn websites als die van Gmail, Flickr of Outlook Web Access, die een interactieve opmaak kennen.

Volgende stap
Gezien het volwassenheidsniveau van de aangeboden oplossingen staat er nog een hoop te gebeuren. Nu al is een duidelijke trend zichtbaar om daarbij ook het ongecontroleerd verspreiden van gevoelige informatie tegen te gaan (information leakage). Zo wordt niet alleen de beschikbaarheid van informatie verhoogd, maar worden ook maatregelen genomen op het gebied van vertrouwelijkheid. Authenticiteit is mogelijk de volgende stap.
Naast het gebruik van gespecialiseerde hardware zouden aanbieders peer-to-peertechnologie in kunnen zetten om de nog steeds toenemende behoefte aan rekenkracht op de lokale werkplekken te bundelen.
Wat ons gezien de hernieuwde aandacht voor het ASP-model te wachten staat is het inspecteren en eventueel blokkeren of filteren van informatie in een managed-servicesmodel. Dit aanbod bestaat al voor particulieren en enkele specifieke doelgroepen. Het wachten is op een compleet aanbod voor andere marktsegmenten. Dit zou een logische uitbreiding van bestaande spamfiltering- en virusscanningdiensten zijn.

Maarten Oosterink en Coen de Jonge zijn beiden als consultant werkzaam bij Capgemini Nederland. Binnen de practice Infrastructure & Architecture Services richten zij zich vooral op Identity Management en Security.