IT-beveiliging: Wedloop gaat in 2006 door

De snelst groeiende vorm van computercriminaliteit is identiteitsdiefstal, zegt David Lynch, vice-president marketing van Apani Networks. De waarde van gegevens neemt toe, waardoor de verleiding om misbruik te maken groter wordt. Persoonsgegevens leveren op de zwarte markt 4 tot 100 dollar per ‘record’ op. Verder is de traditionele hoeksteen van IT-security, bescherming van de netwerkgrens (perimeter), aan erosie onderhevig. Organisaties krijgen steeds meer externe relaties. Dat vereist openingen in de verdedigingslinie._ "De perimeter is poreus. Je verliest de gateway waar je controle kunt uitoefenen", aldus Lynch. "Bedrijven moeten zich voorbereiden op een netwerk zonder grenzen. Ze moeten hun data gaan beschermen in plaats van hun perimeter." De bestaande methoden om informatie te beschermen zijn steeds minder toereikend. Paul Galwas, productmanager van het Britse bedrijf nCipher, wijst erop dat vorig jaar alleen al in de Verenigde Staten bij honderd incidenten 52 miljoen records met persoonsgegevens zijn gestolen. Het mantra voor 2006 dient dan ook te zijn: ‘identificatie, bescherming en compliance’, meent Galwas. Bedrijven moeten bepalen welke gegevens van kritiek belang zijn en wie ze mag bekijken. Tegelijk moeten data tegen geknoei worden beschermd (integriteit). Tot voor kort was versleuteling van gegevens een niche-toepassing. Daar komt verandering in, stelt Galwas: "Er is groeiend bewijs dat encryptie de enige oplossing is voor de groeiende eisen aan beveiliging." Virtueel patchen Bedrijven en consumenten patchen zich suf om hun systemen te beschermen tegen nieuw ontdekte beveiligingslekken. De traditionele aanpak is het snel ontwikkelen van tegengif in de vorm van patches en updates die gebaseerd zijn op de specifieke ‘digitale handtekening’ van de kwaadaardige software. Voor ieder virus en elke variant is een aangepaste patch nodig. Het Amerikaanse beveiligingsbedrijf Internet Security Systems vindt dat die aanpak onvoldoende bescherming biedt. De praktijk van de laatste jaren leert volgens Richard Millar, vice-president Europa van ISS, dat firewalls en antivirussoftware niet waren opgewassen tegen bijvoorbeeld Slammer, Code Red, Nimda en andere kwelgeesten. Millar: "Alle dreigingen exploiteren bugs in de software. Het X-Force team van ISS doet veel onderzoek naar deze kwetsbaarheden en bouwt dan virtuele patches. Zo’n schild maakt het onmogelijk een kwetsbaarheid uit te buiten, ook als het systeem nog niet van een op de handtekening gebaseerde patch is voorzien." Volgens Millar heeft ISS op die manier zijn klanten onder andere behoed voor schadelijke effecten van de Zotob-worm, die in augustus 2005 toesloeg. Antivirusleveranciers verspreidden daarop patches, gebaseerd op de ‘vingerafdruk’ van de worm. Millar: "Daags daarna doken al varianten van Zotob op. Die werden niet door de gangbare patches tegengehouden, maar wel door onze virtuele patch." Instant messaging E-mail was de afgelopen jaren het aangewezen verbreidingsmechanisme voor malware. Dankzij de populariteit van chat-netwerken als MSN neemt ‘instant messaging’ (IM) die rol steeds meer over. Door het instant-karakter van IM kan een aanval zich nog sneller verspreiden dan via e-mail. Postini heeft een unieke database van het elektronische berichtenverkeer. Dagelijks verzamelt dit Amerikaanse beveiligingsbedrijf informatie over een miljard e-mailtjes en IM-berichten van ruim 9 miljoen eindgebruikers. "Met een groeicijfer van 1700 procent was 2005 het jaar van de IM-virussen", constateert Andrew Lochart, marketingdirecteur van Postini. Zijn bedrijf telde 2400 IM-aanvallen, waarbij MSN verreweg aan kop ging (57 procent), gevolgd door AOL (34 procent) en Yahoo (9 procent). Waarom instant messaging? Lochart: "IM-gebruikers zijn niet zo achterdochtig als e-mail-gebruikers. Ze klikken makkelijker op een link die een buddy ze heeft toegestuurd." Lochart waarschuwt dat niet alleen consumenten kwetsbaar zijn: Ook bedrijven zien namelijk steeds meer het nut in van instant messaging._ Integratie Bundeling van diverse beveiligingsfuncties in één apparaat is een andere trend voor 2006. IDC-analist Charles Kolodgy heeft hiervoor de term ‘unified threat management’ (UTM) bedacht. Organisaties willen alle securityzaken integraal aanpakken en zo het beheer vereenvoudigen. "De markt voor firewalls en virtual private networks (VPN’s) verschuift nu al naar UTM. Een firewall wordt gewoon één feature van zo’n apparaat", zegt Tareque Choudhury, technisch directeur EMEA van Secure Computing. Andere functies die in een UTM-toestel worden geïntegreerd zijn onder andere detectie en preventie van indringers (IDS, IPS), wegfilteren van spam, scannen van http-verkeer op de applicatielaag, controleren van beveiligde SSL-verbindingen (https-scanning) en virusbestrijding op de gateway. Choudhury verwacht dat er plaats blijft voor losse beveiligingsapparaten. Banken bijvoorbeeld, die zowel hoge veiligheid als hoge snelheid eisen, kiezen voor iedere beveiligingsfunctie het beste dat er te koop is (‘best of breed’). "Dat is heel moeilijk in één kast te verenigen", aldus Choudhury. Identiteiten Een ander heet hangijzer in IT-security is het beheer van identiteiten binnen bedrijfsnetwerken en op internet. Uitbesteding is hier een nieuwe trend. Het Britse bedrijf Signify levert authenticatie als ‘managed service’ voor circa 20.000 eindgebruikers bij 200 bedrijven. Een bezwaar van traditionele vormen van authenticatie, vertelt directeur John Stewart, is dat identiteit gebonden is aan een systeem, niet aan een persoon. Ook is een online-identiteit vaak beperkt tot de eigen organisatie en niet bruikbaar voor klanten, toeleveranciers en andere externe partijen. _ Wachtwoorden zijn volgens Stewart inherent onveilig. Ze zijn makkelijk te stelen, of liever gezegd te kopiëren, zonder dat het opvalt. Ook vormen ze een groot probleem voor het afleggen van rekenschap (accountability): een gebruiker kan altijd ontkennen dat hij iets verkeerds heeft gedaan door het vermoeden uit te spreken dat iemand anders zijn wachtwoord wel zal hebben misbruikt. Wachtwoorden brengen ook hoge kosten met zich mee - tweederde van alle telefoontjes naar helpdesks gaat over problemen met wachtwoorden. Stewart is dan ook een voorstander van sterke authenticatie, ook wel 2-factorauthenticatie genoemd. De gebruiker toont daarbij zijn identiteit aan met zowel ‘iets dat hij weet’ als ‘iets dat hij bezit’. Dat laatste kan bijvoorbeeld een smartcard zijn of een RSA-sleutel, een soort calculatortje (token) dat wisselende inlogcodes genereert. Het managen van verschillende identiteiten vormt nog wel een probleem. Gebruikers zitten niet te wachten op een halssnoer vol tokens, aldus Stewart. Daarom is loskoppeling van identiteit en authenticatie voor de betreffende diensten noodzakelijk. Het ideaal is een enkele aanmelding voor alle gebruikte online services (‘single log-on). Stewart verwacht dat een deel hiervan binnen twee tot drie jaar kan worden gerealiseerd, onder meer met voorzieningen die in het toekomstige besturingssysteem Windows Vista zijn ingebouwd. Infosecurity 2006 Infosecurity Europe is de grootste vakbeurs op het gebied van IT-beveiliging in Europa. De editie 2006 wordt gehouden van 25-27 april in het Olympia-gebouw in Londen. Beursorganisator Reed Exhibitions verwacht 11.000 bezoekers, ongeveer evenveel als vorig jaar. Op de beurs staan ruim 300 bedrijven en instellingen. Nieuw dit jaar zijn paviljoens over biometrie en forensisch onderzoek. Ook bedrijven uit Zuid-Korea en de Verenigde Staten hebben eigen paviljoens. Op het programma staan verder tientallen lezingen en seminars, zowel vanuit een zakelijke als een technische invalshoek. Naast het evenement in Londen zijn dit jaar nog tien edities elders in Europa, Noord-Amerika en Azië gepland. In Nederland wordt Infosecurity dit jaar gehouden op 11 en 12 november in Utrecht. Reed Exhibitions benadrukt dat de beurs in Londen niet puur voor de Britse markt is bedoeld, maar een pan-Europees karakter heeft. http://www.infosec.co.uk