Development

Dit is een bijdrage van SentinelOne
Security
Thuiswerken

Snel opschalen van veilige thuiswerk-infrastructuur?

Voorkom concessies in beveiliging van de VDI omgeving

 

30 maart 2020
Door: SentinelOne, partner

Voorkom concessies in beveiliging van de VDI omgeving

 

Door Eric van Sommeren, Sales Directeur Noord-Europa, SentinelOne

Vanuit huis kunnen werken met alle zakelijke applicaties die je ook op kantoor gebruikt. Werken op afstand maakt al langere tijd een gestage groei door en in tijden van crisis plotseling een “must”. Maar effectief thuiswerken is enkel mogelijk als medewerkers ook daadwerkelijk bij hun data en applicaties kunnen. Tegelijkertijd vraagt de IT-security professional zich af hoe hij dat alles gaat beveiligen. Hoe krijg je zicht, laat staan controle over privé-laptops waarmee de gebruiker het bedrijfsnetwerk gaat benaderen? De Virtual Desktop Infrastructure (VDI) biedt mogelijkheden, maar zorgt nog wel voor de nodige hoofdbrekens. 

Desktopvirtualisatie is bijzonder handig vanwege de grote flexibiliteit, de eenvoud in beheer en de kosten-efficiëntie. Door zoveel mogelijk simultane applicatie-sessies op zo min mogelijk virtuele server resources onder te brengen, valt veel te besparen. Helaas blijkt maar al te vaak de klassieke antivirus-oplossing roet in het eten te gooien.

Traditionele antivirus past in de kern heel slecht in een gevirtualiseerde desktopomgeving. Dit komt doordat antivirus oplossingen volledig afhankelijk zijn van de aanwezigheid van voorkennis over een specifieke dreiging. Zodra een stuk malware ergens ter wereld wordt ontmaskerd als kwaadaardig, zal hier een virusdefinitie aan worden toegekend. Deze virusdefinitie wordt vervolgens gedistribueerd over alle organisaties die gebruikmaken van de antivirus tool. Gezien de enorme hoeveelheid ‘malware’ die in de loop der jaren is aangetroffen, houdt een gemiddelde antivirus-oplossing inmiddels dan ook miljoenen virusdefinities bij. Uiteraard wordt de waarde van deze antivirus database bepaald door de actualiteit ervan. 

En daar zit hem nu juist het probleem. Bij het opstarten van elke nieuwe VDI-sessie is deze database per definitie achterhaald, doordat de VDI-sessie is gebaseerd op een ‘golden image’ blauwdruk van weken of zelfs maanden daarvoor. Hierdoor dient de database met virusdefinities dus allereerst te worden geactualiseerd. Verlies van kostbare tijd en resources is het gevolg. Wanneer de (non-persistent) VDI-sessie aan het eind van de dag weer wordt afgesloten, wordt de geactualiseerde antivirus-database in feite weer weggegooid. De volgende dag herhaalt dit proces zich uiteraard opnieuw. Voor elke sessie. Elke dag.

Onverantwoordelijke concessies

Om al te grote budgetoverschrijdingen te vermijden en mede onder druk van de bedrijfsvoering, kiezen IT-afdelingen er regelmatig voor om de security-maatregelen op hun VDI-servers sterk te reduceren. Hierdoor kunnen er tenslotte meer gebruikers worden bediend zonder extra servercapaciteit te hoeven aanschaffen. Meer dan eens betreft het hier niet zomaar de ‘nice to have’ security features, maar worden er willens en wetens onverantwoordelijke concessies gedaan aan het securityniveau binnen de organisatie. Zeker als er opeens meer mensen thuis of elders aan de slag gaan.

In de praktijk zoeken veel organisaties naar oplossingen voor dit terugkerende probleem. Sommige kiezen voor investering in meer servercapaciteit, maar dat brengt hogere kosten met zich mee (die men juist wilde drukken middels virtualisatie). Er zijn dan ook CISO’s die zich genoodzaakt voelen om de hele antivirus-oplossing maar uit te zetten, zodat de gebruikers in ieder geval hun werk kunnen doen. Allebei geen goed idee.

Behalve de performance-uitdagingen die traditionele antivirus-oplossingen met zich meebrengen, bieden deze oplossingen allang geen goede bescherming meer tegen de moderne aanvalstechnieken waar kwaadwillenden zich van bedienen. Een klassieke antivirus-oplossing kijkt tenslotte alleen naar bedreigingen die verpakt zijn in een bestand. En dat dan vaak enkel voor bestanden die eerder zijn gezien. Cybercriminelen weten dat, en zorgen ervoor dat hun bestanden simpelweg regelmatig van gedaante veranderen of nog vaker kiezen ze voor aanvallen die helemaal geen bestand nodig hebben als aflevermechanisme – de zogenaamde ‘file-less attacks’.

Een veilige VDI omgeving

Toch is VDI wel degelijk een oplossing als de juiste keuzes qua security worden gemaakt. Hierbij 6 handreikingen om dat te doen:

1. Vertrouw niet op security-oplossingen die afhankelijk zijn van virusdefinitie-updates.
Het kost tijd en performance, elke dag weer. Next-generation endpoint-bescherming is inmiddels zeer goed in staat om malware te herkennen op basis van verdachte gedragingen op het systeem, waardoor bescherming wordt geboden tegen zowel bestands-gebaseerde als bestandsloze dreigingen, ongeacht of deze eerder zijn gezien. Ze zijn up-to-date bij het opstarten van een VDI-sessie; hetgeen niet alleen veiliger is, maar ook tijdswinst oplevert.

2. Kies voor eenvoudig beheer.
In VDI-omgevingen kan bijvoorbeeld de “naamgeving” van apparaten niet altijd gestandaardiseerd worden. Dit zorgt vaak voor conflicten met antivirus-oplossingen die vertrouwen op naamgeving om apparaten en gebruikers te herkennen. Ook is het van belang om afgesloten sessies daadwerkelijk af te voeren uit de beheeromgeving. We zien vaak vele ‘spook-apparaten’ die het beeld vertroebelen.

3. Zorg voor base image scans
Door met een kraakheldere basis te beginnen, voorkom je dat er steeds opnieuw malware wordt meegenomen in elke nieuwe VDI-sessie. Oplossingen die malware pas herkennen zodra het wordt neergezet, zijn feitelijk een stap te laat, en vergroten de ‘attack surface’.

4. Laat beveiliging en VDI-geschiktheid even zwaar wegen
Sommige “dedicated” agents voor VDI beknibbelen op de functionaliteit. Hier is geen reden voor, behalve als een antivirus-leverancier het zichzelf gemakkelijk wil maken. Bescherming, zichtbaarheid, response moeten allemaal op orde zijn. Ook moeten VDI-endpoints toegankelijk zijn voor SOC-analisten voor threat hunting doeleinden, om bij de kern van eventuele problemen te komen.

5. Let op de performance
Een VDI implementatie bespaart op hardware en operationele kosten. Sommige antivirus-oplossingen vragen echter zoveel resources van een systeem, waardoor veel toegevoegde waarde van VDI verloren gaat. De performance wordt ook bepaald door het aantal applicaties dat op de base image moet worden geïnstalleerd. Een lichtgewicht endpoint-bescherming vraagt minder capaciteit van de computer, en van het geduld van de gebruiker. Let erop dat veruit de meeste endpoint security oplossingen de installatie van meerdere software agents vereisen. Uiteraard drukt dit ook weer op de systeem resources.

6. Bereken de werkelijke kosten
De feitelijke bemensing van uw endpoint security oplossing beslaat een groot deel van de gemaakte kosten. Hoeveel tijd is uw IT operations team kwijt aan het up-to-date houden van virusdefinities? Hoe groot is de stapel laptops die na een infectie opnieuw ingespoeld dient te worden? Hoeveel uur besteedt uw security operations aan het in kaart brengen van verdachte activiteit? Moderne endpoint security maakt optimaal gebruik van kunstmatige intelligentie, waardoor de rol van het security team eindelijk kan opschuiven van reactief en operationeel tot proactief en veel strategischer.

Maak met een gerust hart gebruik van VDI om uw thuiswerkinfrastructuur in rap tempo op te schalen. Probeer hierbij concessies aan uw digitale veiligheid te vermijden. Functionaliteit en beveiliging kunnen prima hand in hand gaan als de juiste keuzes worden gemaakt.

Reactie toevoegen