Beheer

Security
monitor wereld

Monitoring steeds belangrijker in beveiliging SDN

Kasteelaanpak in beveiliging is achterhaald.

© Pixabay CC0
7 mei 2014

Software Defined Networking kan de netwerkindustrie flink op zijn kop zetten. Functies die nu in hardware zijn uitgevoerd kunnen straks veel slimmer als softwaretoepassing op de controllerlaag ingrijpen. In de netwerkbeveiliging bijvoorbeeld ligt zo'n verschuiving voor de hand.

Internet of Things (IoT) en Bring Your Own Device (BYOD) leveren nieuwe uitdagingen op wat betreft beveiliging van netwerken en de gevoelige gegevens die daar op rond gaan. Tot nog toe is de kasteelaanpak de populairste aanpak van beveiliging. Een organisatie heeft een virtuele equivalent van een dikke muur en een slotgracht ter bescherming en de firewall dient als ophaalbrug waarover alleen verkeer wordt toegelaten dat is gecontroleerd en goedgekeurd.

Met de nieuwe trends voldoet die aanpak niet meer. Allerlei apparatuur komt het bedrijf binnen en meldt zich aan op het netwerk waardoor de beveiliging van binnenuit wordt uitgehold.  De oplossing ligt in het inrichten van zero trust networking. Alle apparatuur waar eindgebruikers toegang toe heeft, is bij voorbaat verdacht. Een nieuwe krachtiger ring van beveiliging komt om het datacentrum te liggen. "De firewall krijgt een belangrijke nieuwe positie tussen de clients en de servers", zegt Rhett Oudkerk Pool, oprichter en partner van IT-beveiliger Kahuna. Hij noemt dit de hotel-aanpak als contrast met de kasteel-aanpak. In een hotel zijn in tegenstelling tot een kasteel alle gasten welkom. Binnen de muren van het hotel zijn echter de cruciale ruimten afgesloten en goed beveiligd. 

Van preventie naar detectie

Die nieuwe ring van beveiliging kan bestaan uit hardware firewalls, maar Software Defined Networking biedt ook nieuwe kansen voor beveiliging. Het karakter van beveiliging verschuift onder invloed van BYOD en IoT van preventie naar detectie, verwacht Oudkerk Pool. Absolute veiligheid bestaat namelijk niet en de best denkbare beveiliging is kostbaar. Dus is beveiliging altijd een afweging tussen het gepercipieerd risico in combinatie met de impact van het doorbreken van de gekozen beveiliging en de kosten die voor die beveiliging moeten worden gemaakt. De gevolgen van een beveiligingsdoorbraak kunnen flink worden teruggebracht wanneer een beveiligingsprobleem snel wordt ontdekt. Op die manier kan er onmiddellijk tegen worden opgetreden. Met een goede detectie kunnen de kosten van preventie dan ook omlaag.

Dit besef dringt steeds verder door in de beveiligingsindustrie. IT-beveiligers Palo Alto Networks en Trend Micro bijvoorbeeld werken intensief samen met VMware om API's te ontwikkelen op diens software controlelaag waarmee de gevirtualiseerde machines worden beheerd. Zo werken meer gespecialiseerde IT-beveiligers aan dit concept. Maar ook de grote bekende anti-malwareproducenten maken een ommezwaai. Begin mei bijvoorbeeld verkondigde Symantec de antivirus-software dood, een industrie die het bedrijf zelf heeft helpen bouwen. De boude stelling was het startschot voor de nieuwe strategie van Symantec waarin detectie de belangrijkste pijler is.

Indicatoren zijn er genoeg

Volgens Oudkerk Pool zijn er veel signalen waaraan organisaties problemen kunnen detecteren, maar wordt er maar weinig gebruik van gemaakt. Hij noemt de continue druk op firewalls vanuit het internet waarbij poorten worden gescand. "Je zou steeds de laatste miljoen aanvallers bij kunnen houden en bijvoorbeeld geen retourverkeer toestaan naar de IP-adressen waar die aanval vandaan kwam. Iedere organisatie kan de loggegevens van de firewall gebruiken, maar slechts een zeer klein percentage van de Nederlandse ondernemingen doet er ook echt wat mee."

Ook geldt in iedere organisatie dat het beheer op een machine alleen plaatsvindt wanneer er een geplande patchronde wordt uitgevoerd. In alle andere gevallen is er sprake van een hack of moet er een calamiteit worden opgelost. Zorg dus dat er een alarm afgaat wanneer er geprobeerd wordt beheerhandelingen uit te voeren op machines zonder dat daar een accordering voor is.
Daarbij moeten de verantwoordelijkheden altijd gescheiden worden. In de beveiligingsindustrie moet altijd het 'vier ogen'-principe gelden. Er is altijd een uitvoerder en een onafhankelijk toezichthouder.

Standaardisering indicatoren noodzakelijk

De trend die met de virtualisatie van datacentra is ingezet, om steeds meer beheertaken te automatiseren is in de ogen van Oudkerk Pool onontkoombaar. Het maakt het beheer goedkoper en minder foutgevoelig. Om de beveiliging ook mee te laten gaan in die automatiseringsslag, moet er nog veel gebeuren aan standaardisering van wat hij noemt de 'indicators of compromise'. Heel veel apparaten houden logs bij van wat er gebeurt. Die zijn echter alleen geschikt om te kijken of het apparaat zelf goed functioneert en eventuele fouten op te sporen. "Wanneer die gegevens uit het proces gehaald kunnen worden en aan standaarden voldoen, kun je ze gaan uitwisselen met anderen en gebruiken voor het vastleggen van patronen. Die kunnen dan weer gebruikt worden voor automatische detectie."

Daarnaast is ook de ontwikkeling van intelligentere systemen noodzakelijk die gebeurtenissen kunnen plaatsen in hun context. Oudkerk Pool noemt het voorbeeld van een foto uit de beveiligingscamera in een bankfiliaal. Als daarop een man te zien is met een bivakmuts en een helm op, is de eerste gedachte dat het om een overval gaat. "Wanneer je daarbij weet dat het buiten die dag 36 graden vriest, is het opeens gewoon een klant die net binnen is komen lopen." 

Beveiliging dreigt weer sluitpost te worden

De aandacht bij de ontwikkelaars van Software Defined Networking richt zich op dit moment nog vooral op flexibilisering en eenvoudiger en goedkoper beheer. Beveiliging is een ondergeschoven kindje, zoals vaak bij de ontwikkeling van nieuwe technologie omdat het niet direct een economisch voordeel oplevert. Het gevaar dreigt opnieuw dat beveiliging pas later wordt toegevoegd en daarom niet zo goed geregeld kan worden als dat het nu tot een integraal onderdeel van de nieuwe opzet wordt gemaakt, waarschuwt Oudkerk Pool.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!