infosecurity
JAARGANG 12 - DECEMBER 2013 - WWW.INFOSECURITYMAGAZINE.NL
MAGAZINE
SECURITY IN 2014:
21 EXPERTVISIES VAN BEVEILIGINGSSPECIALISTEN
EN VERDER:
MARKTONDERZOEKER EN ANALIST PETER VERMEULEN VAN PB7 RESEARCH:
‘BEDRIJVEN, CYBERCRIMINELEN EN OVERHEDEN ZIJN VERWIKKELD
IN DIGITALE WERELDOORLOG’
TSTC – de Security Opleider van Nederland
g
Colofon - Editorial
- Diginotar, Facebook, KPN gehackt!
Infosecurity magazine is het enige onafhankelijke vakblad in de Benelux dat zich
expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het
hekwerk tot in de boardroom. Toezending
van Infosecurity magazine vindt plaats op
basis van abonnementen en controlled
circulation. Vraag uw abonnement aan via
[email protected].
Bent u de volgende?
- En wat is dan uw reputatie- en/of financiële schade?
- Vormt uw Blackberry of iPhone een security risico?
Herkent u bovenstaande vragen?
Deze tijd vraagt om oplossingen en kennis van zaken.
Uitgever
Jos Raaphorst
06 - 34 73 54 24
[email protected]
Zorg dat u goed getraind bent, kijk gauw op
www.tstc.nl/training/security
Hoofdredacteur
Robbert Hoeffnagel
06 - 51 28 20 40
[email protected]
Een greep uit onze security certificeringen:
Advertentie-exploitatie
Will Manusiwa
06 - 38 06 57 75
[email protected]
Certified Ethical Hacker (CEH)
Computer Hacking Forensic Investigator (CHFI)
Certified Security Analyst (ECSA)
Eindredactie/traffic
Ab Muilwijk
Licensed Penetration Tester (LPT)
Certified Information Systems Security Professional (CISSP)
Vormgeving
Media Service Uitgeest
Certified Information Security Manager (CISM)
Druk
Grafia Media Groep
Certified Information Systems Auditor (CISA)
Cloud Security Audit and Compliance (CSAC)
Certified Risk Manager ISO 27005/31000
of the Year
ATC
TSTC - 6e jaar op rij de beste EC-Council Security Opleider Europa!
Infosecurity magazine
is een uitgave van
FenceWorks BV
Beatrixstraat 2
2712 CK Zoetermeer
079 - 500 05 59
[email protected]
© 2013
Niets uit deze uitgave mag op
enigerlei wijze worden overgenomen
zonder uitdrukkelijke toestemming
van de uitgever.
Meer informatie:
www.infosecuritymagazine.nl
Want security start bij mensen!!
2
W W W.T STC .NL
Bomen en het bos
Iedereen die zich met security en IT bezighoudt weet hoe erg
het ‘out there’ is. Lees bijvoorbeeld de blog Krebs On Security maar eens. Of We Live Security. Dag in dag uit komt daar
een schijnvaar eindeloze reeks van voorbeelden langs hoe
cybercriminelen er in slagen om bedrijven en privépersonen
geld afhandig te maken.
Wat met name opvalt is het technische
raffinement dat cybercriminelen aan de
dag leggen. Wat bijvoorbeeld te denken
van fraudcheck[dot]cc. Veel bedrijven
maken gebruik van online diensten op
het gebied van fraudepreventie, dus deze
service klinkt ook prima. Toch? Nou nee.
Dit is namelijk een underground service
die bedoeld is voor cybercriminelen die
zeker willen weten dat degene die hun
lijsten met gestolen namen en wacht-
een hectisch jaar vol security-incidenten
achter de rug. En 2014 belooft wat dat
betreft niet veel beter te worden. Voor
de Chief Security Officer wordt de uitdaging om de ‘bad guys’ buiten de deur te
houden zo langzamerhand wel erg groot.
Hoe blijven we bij met de razendsnelle
technische ontwikkelingen? Wie kunnen
we inhuren om een security-beleid op
te stellen? En welke aanbieder levert nu
precies wat? Niet alleen welke technische oplossing leveren al die bedrijven,
Een groot aantal securityspecialisten geven in deze editie
aan welke stukken van de securitypuzzel zij voor u kunnen invullen
woorden willen kopen of gebruik willen
maken van gestolen identiteitsgegevens,
botnets en dergelijke wel te maken hebben met een - hoe ironisch - ‘legitimite’
cybercrimineel. Anders gezegd: ook criminelen willen zeker weten dat zij met
een heuse klant te maken hebben en niet
met een of andere ‘good guy’ die werkt
voor een politie-eenheid of een security-firma. Net als een webshop een aantal
checks kan uitvoeren die bedoeld zijn
om te bepalen dat de persoon die iets wil
kopen wel degene is wiens naam op de
credit card staat, zo kunnen cybercriminelen zelf ook checken of de persoon die
voor een paar uur een botnet wil huren
wel ‘legit’ is.
Dat is de wereld anno 2013. We hebben
maar ook: hoe passen al die producten
en diensten nu in de security-aanpak die
we hebben gekozen?
Deze speciale editie van Infosecurity
magazine helpt u door de bomen het
bos weer te zien. Een groot aantal security-specialisten geven in deze editie
aan welke stukken van de security-puzzel zij voor u kunnen invullen - en welke
ook niet. Daarmee is deze laatste editie
van Infosecurity magazine van 2013 een
erg handig hulpmiddel voor iedere Chief
Security Officer die zijn organisatie veilig
wil houden - ook in het nieuwe jaar.
Robbert Hoeffnagel
Hoofdredacteur Infosecurity magazine
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
3
INHOUD
TRENDS IN SECURITY 2014
10 CA TECHNOLOGIES
Identity en access management maken
cloud zeer veilig en productief
14 CISCO
Bescherming tegen cyberaanvallen-opmaat
16 DATA CORE
Storage-virtualisatie: nieuw wapen in
strijd tegen cybercriminelen
21 E-QUIPMENT
Cloud versus secure storage
22 HP
Cybercrime vraagt om security nieuwe
stijl
24 INSIGHT
Gebruik mobile
devices maakt
beveiliging
complex
26 KAHUNA
Security Visualizer geeft direct inzicht
28 KASPERSKY LAB
2014: de belangrijkste security-trends
30 LANCOM
Veilige IT-netwerken zijn essentieel voor
de detailhandel
CLOUD COMPUTING:
BETER EN VEILIGER
Security is een belangrijk punt als het gaat om cloud computing, en terecht. Club
Cloud Computing helpt cloud providers, it-dienstverleners en professionele cloud
gebruikers om hun cloud computing initiatieven beter en veiliger te maken.
CCSK ‘Certificate of Cloud Security Knowledge’ training
Op 20 en 21 januari 2014 geeft Club
Cloud Computing een tweedaagse cloud
security training in Utrecht. Deze handson training geeft u een fundamenteel en
praktisch inzicht in cloud computing security, en bereidt u voor op het wereldwijd
erkende CCSK examen van de Cloud Security Alliance.
Cloud GRC training
Cloud Governance Risk management and
Compliance is een intensieve 2-daagse
training die u direct toepasbare vaar-
digheden aanleert over governance, risk
management en compliance. Na afloop
bent u in staat om uw eigen GRC programma te ontwikkelen. De eerstvolgende Cloud GRC training is op 30 en 31
januari 2014 in Utrecht.
Cloud Business Innovation
Op 16 januari 2014 kunt u in een
eendaagse inleidende workshop cloud
computing beter in uw organisatie leren
zetten. Het is geen technische workshop. Na deze workshop kunnen deelnemers de voordelen en risico’s van cloud
computing beter inschatten waardoor ze
meer kansen creëren voor hun organisatie
en tegelijk minder risico gaan lopen. Deze
workshop wordt in Utrecht gehouden.
Over de trainer
Dr. Peter H.J. van Eijk is coach, spreker
en schrijver op het gebied van cloud computing. Hij is één van ’s werelds meest
ervaren onafhankelijke cloud-trainers.
32 MCAFEE
Beveiliging wordt eindelijk een businessthema
34 NORMAN
Veilige cloud-opslag voor bedrijven
36 PALO ALTO NETWORKS
Bouwstenen voor een proactieve
cybersecurity-strategie
SECURITY IN 2014
6
In 2013 leek het
alleen maar te
gaan om de onthullingen van Edward Snowden. Ineens was de
grootste cybercrimineel
ter wereld gevonden: de
NSA. Iedereen valt van
verontwaardiging over
elkaar heen. VN-moties zijn in de maak en
privacy-activisten
halen eindelijk hun gelijk. Intussen wijzen de
Amerikanen en Australiërs Huawei de deur,
wijzen de Canadezen
Lenovo de deur inzake
Blackberry, zetten de
BRIC-landen een alternatief Internet op om aan de Amerikaanse invloed te ontkomen en zou Rusland
gevaarlijke USB-sticks op de G-20 top hebben uitgedeeld. Met alles wat we
inmiddels weten over virussen als Stuxnet, kunnen we vaststellen dat er een
koude digitale wereldoorlog volop aan de gang is waarbij grootmachten over
een indrukwekkend en groeiend arsenaal van digitale wapens beschikken. Tegelijkertijd ontbreekt het aan een democratische controle op deze middelen,
waardoor men de bevoegdheden nogal ruim lijkt te interpreteren, met onder
meer het gevaar van bedrijfsspionage als gevolg.
38 SOGETI
Veilig voelen of veilig zijn
40 SOLCON
Samenwerking Solcon en Bit biedt
datacenterklanten veiligheid
42 TREND MICRO
Vooruitkijken is essentieel om de digitale
wereld veiliger te maken
44 T-SYSTEMS
‘Merkel-telefoon’ is innovatief en zeer
veilig
46 WATCHGUARD
Big Data geeft uitstekend inzicht in
status security
48 WIBU-Systems
Ghanezen stemmen via biometrische
identificatie
CENTRIC
INFORMATIEBEVEILIGING: GEEN
SLUITPOST, MAAR SLEUTELROL
12
Organisaties zijn in toenemende mate afhankelijk
van de informatievoorziening. Zonder informatie
liggen processen stil en is bedrijfsvoering niet mogelijk.
Als de informatie waarmee wordt gewerkt onjuist is, niet
beschikbaar is of op straat komt te liggen, kan dit grote
gevolgen hebben voor de organisatie. Gerard Stroeve,
manager Security & Continuity Services binnen Centric,
geeft samen met zijn collega’s dagelijks advies aan organisaties over de bescherming van bedrijfsinformatie. “Informatiebeveiliging is niet langer een sluitpost, maar vervult een sleutelrol binnen de bedrijfsvoering.”
DIMENSION DATA
’SECURITY: ALLEEN EEN INTEGRALE AANPAK
HELPT U DE CONTROLE TE BEHOUDEN’
Voor meer informatie kijk op
http://www.clubcloudcomputing.com/ism/
18
50 ZYXEL
Nieuwe ethernet technologie cruciaal
voor veilig draadloos netwerk
4
PETER VERMEULEN VAN PB7 RESEARCH OVER:
“Een ICT-project zonder gedegen security is als
een huis zonder fundament waarin deuren en
ramen ontbreken”, zegt Mohamed Al Ayachi, Line of
Business Manager Network Integration & Security bij
Dimension Data. Hij pleit ervoor security een integraal
onderdeel te maken van ICT-projecten. Volledig inzicht
in bestaande situatie, wensen, eisen en omgevingsfactoren van opdrachtgever zijn hiervoor essentieel.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
5
DOOR PETER VERMEULEN
TRENDS IN SECURITY 2014
Denk niet
Foto: Rena Schild - www.shutterstock.com
UITDAGING 1: PRIVACY
We kunnen er niet omheen: privacy opent
de rij. De afgelopen jaren bleek uit diverse incidenten dat organisaties onzorgvuldig omgaan met privégegevens van
klanten, werknemers en burgers. Bij veel
organisaties ontbreekt het simpelweg
aan het bewustzijn: wat mag er eigenlijk
wel en vooral ook niet met persoonlijke
gegevens? Hoe lang mag je persoonlijke
data bewaren en gebruiken? Welke data
heb ik eigenlijk en waar is die opgeslagen? Welke maatregelen word je geacht
te nemen om data te beschermen? De
roep van klokkenluiders om hier wat aan
te doen, moest het voornamelijk hebben
(streng gereguleerde sectoren daargelaten) van het waarschuwen voor imagoschade, iets wat pas echt tastbaar wordt
voor organisaties als het een keer goed
misgaat.
dat u wèl
veilig bent...
In 2013 leek het alleen maar te gaan om de onthullingen
van Edward Snowden. Ineens was de grootste cybercrimineel ter wereld gevonden: de NSA. Iedereen valt van verontwaardiging over elkaar heen. VN-moties zijn in de maak
en privacy-activisten halen eindelijk hun gelijk. Intussen wijzen de Amerikanen en Australiërs Huawei de deur, wijzen
de Canadezen Lenovo de deur inzake Blackberry, zetten de
BRIC-landen een alternatief Internet op om aan de Amerikaanse invloed te ontkomen en zou Rusland gevaarlijke
USB-sticks op de G-20 top hebben uitgedeeld.
Met alles wat we inmiddels weten over virussen als Stuxnet, kunnen we vaststellen
dat er een koude digitale wereldoorlog
volop aan de gang is waarbij grootmachten over een indrukwekkend en groeiend
arsenaal van digitale wapens beschikken.
Tegelijkertijd ontbreekt het aan een democratische controle op deze middelen,
waardoor men de bevoegdheden nogal ruim lijkt te interpreteren, met onder
meer het gevaar van bedrijfsspionage
als gevolg.
In de security-wereld vindt men het al-
tijd prettig als het bewustzijn rond informatiebeveiliging binnen de organisatie,
of klantorganisatie, wordt versterkt door
opvallende incidenten. Maar de mate
waarin deze kwestie het bewustzijn is
gaan domineren, leidt de aandacht af van
dreigingen die veel meer schade berokkenen aan organisaties. Kijken we bijvoorbeeld naar de hoeveelheid incidenten waarbij het Nationaal Cyber Security
Centrum (NCSC) is betrokken binnen
de overheid, dan zien we dat het aantal
incidenten per kwartaal wat fluctueert,
Figuur 1: Ontwikkeling incidenten bij de overheid (NCSC), percentage van totaal
Bron: Nationaal Cyber Security Centrum, 2013 “Cybersecuritybeeld Nederland, CSBN-3”
6
maar ook duidelijk toeneemt. Binnen het
type incidenten zijn bovendien sterke
verschuivingen waar te nemen. Was tijdens de vorige meting (van het tweede
kwartaal van 2011 tot en met het eerste
kwartaal van 2012) de malware-infectie
al het meest voorkomende incident, een
jaar later is een zeer sterke toename van
deze incidenten zichtbaar. En terwijl bijvoorbeeld phishing voor het eerst wat
afnam - als gevolg van ‘het nieuwe pinnen’ - en ook het uitlekken van informatie
verminderde dankzij de nodige maatregelen, nam het aantal hack-pogingen juist
weer sterk toe.
Terwijl privacy de publieke discussie domineert en aan het security-veld trekt, is
het dus zeker niet de enige uitdaging die
sterk aan het groeien is. Aan de ene kant
komen cybercriminelen, die steeds beter georganiseerd zijn, almaar met nieuwe, steeds complexere dreigingen die
steeds meer schade kunnen berokkenen.
Aan de andere kant staat de klantorganisatie, die altijd, overal en op ieder apparaat toegang wil tot gevoelige bedrijfs- en
klantinformatie en vindt dat IT dat zonder
gezeur zou moeten accepteren. Het is
dan ook niet vreemd dat security in 2013
en ook weer in 2014 bovenaan het lijstje
staat van geplande IT-investeringen bij
Nederlandse bedrijven.
Laten we de belangrijkste uitdagingen
van de Chief Security Officer voor 2014
op een rijtje zetten.
De klokkenluider krijgt in 2014 veel meer
munitie. In Europa is al enige jaren een
ontwikkeling gaande om data beter te
beschermen. Sinds 2012 is er een meldplicht van kracht voor datalekken van
elektronische communicatienetwerken
en -diensten met boetes die op kunnen
lopen tot EUR 450.000. Inmiddels staat
een veel bredere meldplicht op stapel
die van toepassing is op iedere publieke
en private organisatie, waarbij dezelfde
boete kan worden opgelegd aan iedere
organisatie die zich niet aan de meldplicht houdt. Daar houdt het echter niet
op. Naar verwachting treedt in de EU begin 2014 de Algemene Verordening Gegevensbescherming (AVG) in werking
die de bestaande meldplichten vervangt.
Bij dataverlies kunnen organisaties torenhoge boetes krijgen van maximaal 5%
van de wereldwijde jaaromzet tot EUR 100
miljoen (ja, de bedragen zijn op het laatst
nog verder omhoog geschroefd), afhankelijk van wat het hoogste is. Organisaties
die de gegevens van meer dan 5000 personen verwerken worden bovendien geacht om een privacy officer aan te stellen
en er dient een pro-actief privacybeleid
te worden gevoerd dat wordt vastgelegd
zodat het gecontroleerd kan worden.
De meeste Nederlandse bedrijven zijn
hierdoor wel wakker geschud (zie figuur
2) en geven een duidelijke tot hoge prioriteit aan het onderwerp. Ze hebben
duidelijk op de radar dat ze er nog niet
klaar voor zijn. Maar één op de vier geeft
verder aan dat ze al voldoende hebben
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
7
TRENDS IN SECURITY 2014
Figuur 2: Prioriteit Algemene Verordening Gegevensbescherming, Nederlandse organisaties met 50 of meer medewerkers. Bron: Pb7 Research, September 2013
geïnvesteerd in toegangs- en identiteitsbeheer ter voorbereiding, terwijl 60%
aangeeft concrete plannen te hebben of
aan het uitzoeken is welke maatregelen
noodzakelijk zijn.
UITDAGING 2: PRIORITEIT VAN
SECURITY IN DE BUSINESS
De meeste organisaties beschouwen
security als een IT-probleem: het is aan
IT of de IT-leverancier om de informatievoorziening veilig te houden en er
wordt te gemakkelijk vanuit gegaan dat
de veiligheid ook daadwerkelijk in orde
is. Je ziet dit bij de grootste bedrijven –
denk bijvoorbeeld aan KPN die vorig jaar
struikelde over verouderde software in
servers en routers, maar misschien nog
wel het meest bij kleine bedrijven.
In een onderzoek onder bedrijven met
maximaal tien PC’s, ontdekte Pb7 dat
deze bedrijven onrealistisch klein inschatten dat ze in de komende 2 jaar met
een beveiligingsincident te maken krij-
gen. Bij 4 op de 10 kleine bedrijven schat
de eigenaar/directeur de kans op schade
door cybercrime lager dan 1% in de komende twee jaar. Met andere woorden,
deze organisaties denken ze dat minder
dan eens in de 200 jaar schade door cybercrime zullen ondervinden. Nog eens
32% denkt dat de kans tussen de 1 en de
5% ligt, dus eens in de 40 tot 200 jaar.
UITDAGING 3: DIGITALISERING
VAN BEDRIJFSPROCESSEN
De realiteit is dat beveiligingsincidenten
steeds meer impact hebben. Nederlandse organisaties zijn volop bezig om bedrijfsprocessen verder te digitaliseren,
worden daardoor steeds afhankelijker
van IT en verzamelen en delen steeds
meer bedrijfs- en privacygevoelige data
op hun netwerk. De impact van bijvoorbeeld een DDoS-aanval, of een andere
vorm van cybersabotage, op de continuïteit van bedrijfsprocessen wordt daarom
steeds groter. Bovendien is het steeds
Figuur 3: Hoe groot acht u de kans dat u in de komende twee jaar door cybercrime wordt
getroffen, waarbij uw organisatie daadwerkelijk schade oploopt? Bron: Pb7 Research i.o.v.
G Data, Juli 2013
8
meer de moeite waard om systemen illegaal binnen te dringen en data te ontfutselen.
Aangezien ook steeds meer “industriële” data en besturingssystemen worden
ontsloten op netwerken, liggen nieuwe
gevaren op de loer. Het afgelopen jaar
zagen we een spectaculaire hack van de
terminalcomputer in de Antwerpse haven, waardoor criminelen de kranen van
de containerhaven konden gebruiken
om een drugscontainer te laten verdwijnen. Het is een aankondiging van een
nieuwe golf van geavanceerde cybercrime, voor zover we het nog cybercrime kunnen noemen. We zien in feite dat
cybercrime een geïntegreerd onderdeel
aan het worden is van de georganiseerde
misdaad, terwijl maar weinig van deze
“industriële” systemen echt “secure by
design” zijn.
UITDAGING 4:
DE MOBIELE EXPLOSIE
De tijd dat de PC dominant was om toegang te krijgen tot de informatievoorziening is definitief voorbij. Hoewel PC’s nog
altijd een belangrijke rol spelen en zullen
blijven spelen in het zakelijke landschap,
is de PC niet meer alleen en steeds vaker
ook niet meer het apparaat van de voorkeur. Hoewel de meeste IT-afdelingen en
verantwoordelijken inmiddels overstag
zijn gegaan en van alles en nog wat aan
slimme apparaten achter de firewall toelaten, hebben ze de nodige moeite om
alles goed onder controle te krijgen en
te houden. Terwijl in een rap tempo slimme apparaten als smartphones en tablets
een vaste rol opeisen in bedrijfsprocessen, zijn er qua beheer en beveiliging
nog wel de nodige uitdagingen.
Terwijl in rap tempo nieuwe en verbeterde Mobile Device Management (MDM)-oplossingen over elkaar heen duikelen, hebben veel organisaties de grootste
moeite om goede afspraken met gebruikers over veilig gedrag af te spreken. Dat
wordt bemoeilijkt door de druk vanuit
gebruikers om eigen apparatuur toegang tot het netwerk te geven (Bring Your
Own Device). Terwijl veel managers dat
uiteindelijk toelaten, ontstaat er wel onduidelijkheid over wie er verantwoordelijk is voor de beveiliging. Veel organisaties (in de figuur worden de antwoorden
van organisaties met 1 tot 10 PC’s weergegeven) zeggen dat ze zelf voor de beveiliging zorgen. Maar een grote groep
organisaties schuift deze verantwoorde-
logischerwijs vrijwel altijd achter de feiten aan. Belangrijker is dat het security
denken stevig ingebed wordt (of blijft)
binnen de organisatie: dat duidelijk beleid wordt opgesteld, gebruikers erin
worden getraind en dat innovatie zoveel
mogelijk op basis van ‘secure by design’
plaatsvindt.
Figuur 4: Worden aan deze apparaten beveiligingseisen gesteld? Bron: Pb7 Research
i.o.v. G Data, Juli 2013
lijkheid terug naar de gebruiker, terwijl
de aansprakelijkheid toch bij de organisatie ligt. Bovendien lijkt het er sterk op
dat bij veel organisaties de beveiligingsmaatregelen erg gebruikersonvriendelijk, want te rigide, of juist nogal beperkt
zijn en een schijnzekerheid creëren. De
komende jaren zullen organisaties op
zoek moeten naar de juiste balans tussen
toegang en gebruikersvriendelijkheid
versus veiligheid.
UITDAGING 5: SCHADUW-IT
Veel IT managers en beveiligers hebben het gevoel dat het hek van de dam
is. Het begon met een zeurende manager en zijn Blackberry. Het werd gevolgd
door een losgeslagen horde modieuze
smartphones en tablets. Deze gebruikers namen vervolgens allerlei apps en
clouddiensten mee de organisatie binnen, waardoor nu uiteindelijk hele business units IT-oplossingen uit de cloud
afnemen buiten de IT-afdeling om. Waar
bedrijven er niet in slagen om hier een
lijn in te brengen, dreigen veel van deze
schaduw-oplossingen niet te voldoen aan
de minimale eisen die uw organisatie aan
beveiliging stelt of moet stellen op basis
van wet- en regelgeving.
Met de komst van de AVG, worden organisaties feitelijk gedwongen om paal en
perk te stellen aan deze wildgroei, omdat de gevolgen van falende schaduw-IT
wel eens heel direct in de portemonnee
te voelen zouden zijn. Simpelweg verbieden is geen lange termijnoplossing.
Daarom zien we gelukkig dat steeds
meer organisaties beleid beginnen te
ontwikkelen rond schaduw-IT en Bring
Your Own Software (BYOS) en op zoek
gaan naar aggregatie-oplossingen, waarbij de nadruk in eerste instantie vooral
op identiteits- en toegangsmanagement
wordt gelegd.
VOORUITBLIK
Met het jaar wordt het ‘aantrekkelijker’
om als cybercrimineel je brood te verdienen en ‘leuker’ om de cyber-vandaal
of -activist uit te hangen: de hoeveelheid
Terug naar de waan van de dag: het komend jaar zullen we veel diensten zien
die met veel bombarie worden aangekondigd om je organisatie NSA-proof te
maken. Deutsche Telekom heeft de aftrap
gedaan en is een “clean pipe” dienst aan
het voorbereiden die ook bereikbaar is
voor het MKB om buitenlandse pottenkijkers buiten de deur te houden. Maar
ook de Amerikaanse giganten als Yahoo!,
Google, AWS en Microsoft laten van zich
horen: ze zetten zich openlijk af tegen de
spionagepraktijken van de Amerikaanse
overheid en rollen plannen uit om spionage te bemoeilijken. Ook vergroten ze
hun investeringen in datacenters binnen
EU-landen om Europese klanten tegemoet te komen bij het voldoen aan wet-
Veel IT-managers
en beveiligers hebben
het gevoel dat het hek
van de dam is
data die de moeite van het stelen waard
is, neemt exponentieel toe en de verstoring die je kan realiseren met een aanval
heeft een steeds grotere impact op organisaties, gebruikers van diensten en zelfs
de maatschappij. Tegelijkertijd liggen er
grote gaten in de beveiliging, doordat
organisaties er veel moeite mee hebben
om schaduw-IT en BYOD onder controle
te krijgen. Ook in 2014 is de gebruiker
een van de grootste beveiligingsrisico’s
en het is een utopie dat gedragsregels
daar een sluitende oplossing voor kunnen bieden.
De belangrijkste vriend en vijand tegelijk
van de CSO is de AVG. De AVG is de stok
achter de deur om de controle terug te
krijgen over de IT-omgeving. Tegelijkertijd moeten organisaties uitkijken dat ze
zich niet teveel laten leiden door de vereisten van wet- en regelgeving. Wet- en
regelgeving is noodzakelijk, maar loopt
en regelgeving. Willen ze hun marktaandelen buiten de V.S. beschermen, dan
zullen ze wel moeten. De slag om het Europese dataverkeer is begonnen.
Peter Vermeulen is directeur van onderzoeksbureau Pb7 Research
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
9
EXPERTVISIE CA TECHNOLOGIES
TRENDS IN SECURITY 2014
IDENTITY EN
ACCESS MANAGEMENT
MAKEN CLOUD ZEER
VEILIG EN PRODUCTIEF
Als we IT-managers vragen naar hun visie op cloud en security,
dan zien we vaak iets opmerkelijks gebeuren: men maakt zich
enerzijds grote zorgen over de security-aspecten bij gebruik van
cloud services, terwijl men tegelijkertijd in cloud misschien wel
dé oplossing voor veel security-problemen ziet. Met name dankzij
oplossingen voor identity en access management als CA CloudMinder is het gebruik van cloud nu zeer veilig.
Eerder dit jaar heeft CA Technologies
uitgebreid onderzoek laten doen naar de
adoptie van cloud services door middelgrote en grote organisaties. Dit heeft geleid tot de publicatie van een belangrijke
whitepaper getiteld ‘Cloud Succeeds.
Now What?’. Hierin krijgt de lezer een
uitstekend inzicht in niet alleen de voordelen van cloud computing, maar vooral
ook in de randvoorwaarden die hiervoor
geschapen moeten worden. Een succesvol gebruik van cloud vereist namelijk wel een goede voorbereiding, zowel
technisch als organisatorisch.
HOE MEER HOE BETER
Tegelijkertijd komen we in deze whitepaper tot een aantal interessante conclusies. Zo blijkt dat organisaties die reeds
enige tijd met cloud services werken tot
de conclusie komen dat het gebruik van
cloud steeds succesvoller wordt naarmate de organisatie meer ervaring met
cloud-diensten opdoet en bovendien
meer applicaties naar de cloud brengt of
vanuit de cloud gaat afnemen.
Een andere toch wel opmerkelijke conclusie is dat veel mensen in zowel be-
Van de ondervraagde organisaties gaf 59 procent aan dat de cloud-diensten die zij in
gebruik hebben voldoen aan hun verwachtingen op het gebied van security of deze zelfs
overtreffen.
10
gebied van security was juist een belangrijke reden waarom de respondenten
zo enthousiast bleken over cloud (zie
figuur).
drijfsleven als overheid zich nog altijd
zorgen maken over de veiligheid van
cloud. Opmerkelijk genoeg zien we echter dat veel IT-managers tegelijkertijd in
cloud ook dé oplossing voor veel security-problemen zien.
BETER DAN VERWACHT
Het onderzoek is uitgevoerd door Luth
Research en Vanson Bourne onder 542
bedrijven en overheidsinstellingen in Europa en de Verenigde Staten. Van de ondervraagde organisaties gaf 59 procent
aan dat de cloud-diensten die zij in gebruik hebben voldoen aan hun verwachtingen op het gebied van security of deze
zelfs overtreffen. Hierbij maakt het niet
uit of men SaaS, IaaS of PaaS in gebruik
heeft. Bovendien gaf nog eens een derde van de respondenten aan dat security
veel minder een issue was gebleken dan
men vooraf had ingeschat. Sterker nog,
de beter dan verwachte prestaties op het
De houding van veel IT-managers ten
aanzien van cloud en security is nog
steeds enigszins dubbel. Ja, men maakt
zich zorgen over veiligheid, maar tegelijkertijd stelt 38 procent van zowel de IaaSals de PaaS-gebruikers dat zij met deze
cloud services aan de slag zijn gegaan
juist vanwege de behoefte die men voelt
om IT-security naar een hoger niveau te
brengen. Een mening die gedeeld wordt
door 41 procent van de SaaS-gebruikers.
IDENTITY EN ACCESS
MANAGEMENT
Het lijkt er op dat we in de hele discussie over cloud en security een belangrijk
kantelpunt hebben bereikt. Niet langer
overheerst het idee dat cloud gevaarlijk
is. De houding is nu veel meer dat cloud
services tot een belangrijke verbetering
van de security van de organisatie leiden
- niet alleen ten aanzien van de beveiliging van de cloud services zelf, maar
juist ook als men kijkt naar het beveiligingsniveau over zowel traditionele als
cloud-IT heen.
Een belangrijke reden voor deze verschuiving in de houding ten aanzien van
cloud en security is de opkomst van uitstekende oplossingen voor identity en
access management IAM) als CA CloudMinder.
INTERNE SECURITY
In steeds meer organisaties is men er
inmiddels wel van overtuigd dat het simpelweg ‘nog meer sloten op de deur
monteren’ geen oplossing is voor het
security-vraagstuk. Cybercriminelen of
kwaadwillende eigen medewerkers zullen altijd een weg weten te vinden door al
dit soort maatregelen. Veel belangrijker
is het dat we de toegang tot applicaties
en bedrijfsgegevens goed reguleren. Voldoende ‘sloten op de deur’ zijn belangrijk maar we zullen ook binnen de firewall
aan de slag moeten om gegevens en applicaties te beschermen tegen gebruik
door onbevoegden. Per applicatie of dataset moet exact vastliggen welke personen of welke functiegroepen (rollen) toegang tot deze programma’s en informatie
mogen hebben. Daarnaast moeten we
per persoon heel goed vastleggen welke
programmatuur en welke gegevens men
nodig heeft om goed te functioneren. Er
is geen reden om hen toegang te geven
tot andere IT-voorzieningen dan dit vaak
verrassend korte lijstje.
Wie de principes van identity en access
management goed toepast, komt tot de
ontdekking dat security helemaal geen
probleem hoeft te zijn. Noch in traditionele IT-omgevingen, noch bij gebruik van
cloud-diensten. Natuurlijk moeten we wel
heel gestructureerd te werk gaan. Rechten tot applicaties en gegevens toekennen moet weloverwogen gebeuren - net
als het weer intrekken van die rechten.
Cloud en security worden vaak in één
adem genoemd. Tot voor kort ging de
discussie dan meestal over zorgen rond
beveiliging. Het wordt tijd dat we hier verandering in brengen: cloud en security
passen uitstekend bij elkaar, omdat dankzij het gebruik van uitstekend beveiligde
cloud services het totale security-niveau
van de organisatie drastisch kan worden
verbeterd.
ORTELIUSLAAN 1001
3528 BE UTRECHT
T 030 - 604 83 45
E [email protected]
I WWW.CA.COM/NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
11
EXPERTVISIE CENTRIC
TRENDS IN SECURITY 2014
Centric-expert Gerard Stroeve over
het belang van passende informatiebeveiliging
INFORMATIEBEVEILIGING:
GEEN SLUITPOST, MAAR SLEUTELROL
Organisaties zijn in toenemende mate afhankelijk van de informatievoorziening. Zonder informatie liggen processen stil en is
bedrijfsvoering niet mogelijk. Als de informatie waarmee wordt
gewerkt onjuist is, niet beschikbaar is of op straat komt te liggen,
kan dit grote gevolgen hebben voor de organisatie.
Gerard Stroeve, manager Security & Continuity Services binnen
Centric, geeft samen met zijn collega’s dagelijks advies aan organisaties over de bescherming van bedrijfsinformatie. “Informatiebeveiliging is niet langer een sluitpost, maar vervult een sleutelrol
binnen de bedrijfsvoering.”
“Ik zie dat de risico’s ten aanzien van
informatievoorziening toenemen als gevolg van de ontwikkelingen van deze tijd.
Denk daarbij aan trends als social media,
mobiel werken, BYOD, cloud computing
en big data. Niet zelden wordt de uitdaging om informatie goed te beschermen
op ad-hoc-basis aangepakt en is de aandacht nagenoeg uitsluitend gericht op de
digitale informatievoorziening. Er worden als het ware pleisters geplakt die op
enig moment weer loslaten. In de praktijk
resulteert deze aanpak in een beperkte
aanpak van de issues en bovendien in
een willekeurig uitgavenpatroon.”
Gerard Stroeve is als manager
Security & Continuity Services bij
Centric verantwoordelijk voor de
diensten die Centric levert op het
gebied van informatiebeveiliging en
continuïteitsmanagement. Als expert
voor Centric blogt hij regelmatig over
security-vraagstukken. Voor meer
informatie over Gerard, zijn blogs en
de whitepaper van Centric over
informatiebeveiliging gaat u naar
www.centric.eu/gerardstroeve.
12
IN CONTROL ZIJN
“Met het toenemen van de afhankelijkheid van informatie neemt het belang
van een betrouwbare informatievoorziening toe. Om daadwerkelijk ‘in control’ te
zijn, is het raadzaam continu en op een
gestructureerde wijze integrale aandacht
te geven aan de bescherming van informatie. Informatie moet op een weloverwogen, passende wijze beschermd worden, afgestemd op de aanwezige risico’s.
Daarbij wordt idealiter procesmatig een
antwoord gevonden op de volgende vragen:
• Welke informatie moet er beschermd worden?
• Welke dreigingen zijn er en wat is
de impact van een eventuele verstoring?
• Welke mate van bescherming is
passend?
• Welke beheersmaatregelen moeten
worden genomen?
Door structureel antwoord te zoeken op
deze vragen, wordt het beschermen van
informatie onderdeel van de bedrijfsvoering en organisatiecultuur. Informatiebeveiliging is niet langer een sluitpost, maar
vervult een sleutelrol binnen de diverse
processen.”
VISIE OP INFORMATIEBEVEILIGING
“Vanuit onze jarenlange ervaring met
informatiebeveiliging bij uiteenlopende
organisaties, hebben wij een heldere visie op de beveiliging van informatie ontwikkeld. Deze visie kenmerkt zich door
een aantal uitgangspunten. Voor Centric
is informatiebeveiliging breder dan IT en
is het een proces en geen project. Daarnaast is informatiebeveiligingsbewustzijn
binnen uw organisatie en bij uw medewerkers essentieel. Hierna licht ik deze
drie uitgangspunten nader toe.”
INFORMATIEBEVEILIGING
IS BREDER DAN IT
“Een van de belangrijkste pijlers van informatiebeveiliging is naar mijn overtuiging beleid. Het hoogste management
moet het beleid formuleren, dragen en
uitdragen naar de rest van de organisatie.
Niet omdat derden dat eisen, maar vanuit
een oprechte, intrinsieke motivatie. Een
valkuil is het concentreren van de aandacht op enkel de IT-aspecten van informatiebeveiliging en/of op het vertrouwelijkheidaspect van digitale informatie. Het
gaat echter om informatiebeveiliging in
de breedste zin van het woord.”
INFORMATIEBEVEILIGING
IS EEN PROCES, GEEN PROJECT
“De kern van goede informatiebeveiliging is om continu te beoordelen welke
maatregelen passend zijn en deze, waar
nodig, bij te stellen. De basis voor passende informatiebeveiliging wordt daarom gelegd door het inrichten van een
proces, het Information Security Management System (ISMS).
Het ISMS vormt binnen de informatiebeveiligingsorganisatie het kwaliteitsproces
rond (de inrichting van) informatiebeveiliging. Het proces omvat typisch de
stappen Plan, Do, Check en Act (PDCAcyclus). Vanuit deze fasen kun je de diverse activiteiten om te komen tot passende
informatiebeveiliging periodiek en in onderlinge samenhang uitvoeren. Vanuit de
diverse fasen kunnen er uiteraard projecten worden geïnitieerd om tot uitvoering
van de activiteiten te komen.
Om informatiebeveiliging als proces te
laten werken, dient uw organisatie dat
proces te ondersteunen. Dit betekent dat
functies, rollen, taken en verantwoordelijkheden gekoppeld moeten worden aan
personen. Een belangrijke coördinerende functie is die van (informatie)beveiligingsfunctionaris. Het heeft de voorkeur
deze rol niet binnen de afdeling IT te beleggen, maar op een algemeen, breder
niveau. Een managementforum kan de
diverse onderdelen van de organisatie
vertegenwoordigen en tijdens periodieke bijeenkomsten het proces evalueren,
incidenten bespreken en leerpunten formuleren.”
INFORMATIEBEVEILIGINGSBEWUSTZIJN IS ESSENTIEEL
“Informatiebeveiligingsbewustzijn bij het
hoogste management én de medewerkers is essentieel. Het fundament voor
informatiebeveiliging wordt gevormd
door het draagvlak vanuit het (hoogste)
management. Om dit draagvlak te creëren is inzicht nodig in de risico’s rond de
informatievoorziening en de gevolgen
die een bedreiging voor de organisatie
kan hebben.
Daarnaast is binnen het stelsel van beheersmaatregelen de factor mens een
kwetsbare pijler. Het bewustzijn rondom
informatiebeveiliging draagt voor een
groot deel bij aan het verstevigen van
deze pijler. In de optimale situatie is de
aandacht voor het passend omgaan met
de informatie als een tweede natuur aanwezig bij elk van uw medewerkers.”
ANTWERPSEWEG 8
2803 PB GOUDA
T 0182 64 80 00
E [email protected]
I WWW.CENTRIC.EU/SECURITY
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
13
EXPERTVISIE CISCO
TRENDS IN SECURITY 2014
Cisco Cyber Threat Defense Solution:
BESCHERMING
TEGEN CYBERAANVALLEN-OP-MAAT
Cybercriminelen maken graag gebruik van standaard off-the-shelf
methoden en scripts om hun aanvallen uit te voeren. Nog veel gevaarlijker zijn echter de geheel op maat van specifieke doelwitten
ontwikkelde aanvalstools die nog niet bekend zijn bij security-firma’s. De kans is groot dat zo’n aanval niet kan worden tegengehouden of zelfs niet eens bij de eigen IT-afdeling opvalt. Cisco Cyber Threat Defense Solution biedt hier echter een oplossing voor.
Veel security-bedreigingen waarmee
bedrijven en overheidsorganisaties worden geconfronteerd, bestaan uit aanvalsmethoden die goed bekend zijn bij
beveiligingsdeskundigen. Deze kunnen
in de regel worden tegengehouden met
bekende tools als firewalls, antivirus-producten, anti-malware tools, intrusion detection-systemen en dergelijke.
Een veel grotere uitdaging vormen de
aanvallen waarbij de cybercriminelen
speciaal voor een bepaald bedrijf of
doelwit een geheel nieuwe aanvalsmethodiek ontwikkelen. Hierbij worden
vaak zeer geavanceerde methoden en
software-tools gebruikt die bovendien
gebruik maken van bugs en problemen
in veelgebruikte programmatuur die nog
niet gepubliceerd zijn, maar in de ‘underworld’ al wel ontdekt en verspreid zijn. In
andere gevallen komen zij binnen’ via
social engineering en passeren zij dus
zonder problemen de klassieke security-maatregelen.
BINNEN DE ‘SLOTWAL’
Het is dus logisch dat veel security-firma’s nog geen kennis hebben van dit
soort aanvalsmethoden en deze aanvallen dus ook niet kunnen tegenhouden.
De aanvallen zijn vaak gemodelleerd
op basis van de specifieke kenmerken
van het doelwit. Aangezien standaard
security-tools de aanval niet herkennen,
hebben de cybercriminelen vaak weken- of maandenlang toegang tot bepaalde netwerken of informatie - zonder dat
de eigen IT- of business-organisatie dit
opmerkt. De schade kan hierdoor zeer
groot uitvallen.
De uitdaging waarmee we hier te maken
hebben, is dat klassieke security-tools
een verdedigingswal rondom de te beschermen organisatie optrekken, maar
nauwelijks zicht hebben op wat er binnen
de ‘slotwal’ gebeurt. Vaak start zo’n aanval bovendien met social engineering of
bijvoorbeeld het gebruik van onbekende
externe media als USB-sticks. Hierdoor
kan ingebroken worden, ondanks een
prima firewall, uitstekende antivirus-aanpak of consequent patchen van softwareprogramma’s.
In dit soort situaties is de enige oplossing
een aanpak waarbij gezocht wordt naar
patronen in het netwerkverkeer. Dit soort
patronen worden ook wel ‘fingerprints’
genoemd en maken verdacht dataverkeer zichtbaar. Het is dus zaak dat deze
tools het dataverkeer binnen de organisatie kunnen volgen en analyseren. Afwijkingen in dat verkeer behoeven echter niet per definitie te betekenen dat er
sprake is van een aanval, maar dit dient
wel met zekerheid te worden vastgesteld.
Met andere woorden: van iedere afwijking moet worden bepaald of het om een
aanval gaat of slechts een nieuw patroon
binnen het normale netwerkverkeer.
CISCO CYBER THREAT
DEFENSE SOLUTION
Hoe doen dit soort zeer geavanceerde
security-oplossingen dat? Cisco’s Cyber Threat Defense Solution is een goed
voorbeeld van zo’n modern en op nog
onbekende bedreigingen afgestemde
oplossing. Het bestaat uit een aantal elementen:
Een mechanisme dat het netwerkverkeer
volgt. Deze zogeheten ‘network telemetry’ is gebaseerd op de NetFlow-technologie in Cisco’s Catalyst switches, Cisco
routers, NetFlow Next Generation Appliances en NetFlow Security Event Logging
van de Cisco ASA 5500 security appliances.
14
Daarnaast is sprake van een engine die
zorgt voor het analyseren van het netwerkverkeer. Deze is gebaseerd op het
Lancope StealthWatch System.
Tenslotte is informatie nodig over de
in gebruik zijnde identities binnen het
netwerk, evenals de binnen het netwerk
toegepaste security-maatregelen en applicaties.
SECURITY-ANALYSE
Op basis van deze combinatie van tools
en informatie heeft een security-analist
vanuit een centraal dashboard een uitstekend beeld van het dataverkeer in het netwerk, maar ook van eventuele verdachte
afwijkingen die zich daarin voordoen. Het
dashboard maakt deze afwijking zichtbaar en biedt alle mogelijkheden om te
‘down-drillen’ en zo te ontdekken welke
gebruiker, welk netwerksegment, welke
applicatie en dergelijke dit afwijkende
verkeer veroorzaakt.
Hierna kan de analist vaststellen wat er
precies aan de hand is. Gaat het bijvoorbeeld om:
• Een poging van cybercriminelen om
het netwerk in kaart te brengen?
• Of om een poging om malware binnen het netwerk te verspreiden?
• Gaat het bij het verdachte dataverkeer om zogeheten ‘command and
•
control traffic’ tussen geïnfecteerde
computers binnen de firewall en de
cybercriminelen buiten de organisatie?
Of is sprake van gevoelige bedrijfsgegevens die worden weggesluisd?
DE PRAKTIJK
Achter het dashboard van de Cisco Cyber Threat Defense Solution gaat veel
technologische innovatie schuil. Maar wat
kunnen we in de praktijk daar nu precies
mee?
De voordelen van Cisco’s Cyber Threat
Defense Solution zijn groot. Deze oplossing richt zich namelijk op de meeste
complexe en gevaarlijke security-bedreigingen. Dat zijn de aanvallen die soms al
maanden of jaren in netwerken plaatsvinden, zonder dat de organisatie dit in de
gaten heeft. Soms gaat het om het stelen
van informatie, maar in andere gevallen
wil men geld stelen of de operatie van de
organisatie negatief beïnvloeden. De oplossing van Cisco maakt het mogelijk dit
soort bedreigingen zichtbaar te maken
en bovendien deze aanvallen te stoppen.
•
•
•
•
Het detecteert bedreigingen direct
op de plaats waar deze plaatsvindt,
waardoor de schade kan worden geminimaliseerd en verdere verspreiding direct kan worden voorkomen.
Het zorgt voor een schaalbaar,
breed inzetbaar en kosteneffectief
meet- en analysesysteem binnen het
gehele netwerk.
Cisco Cyber Threat Defense Solution voorziet in een drastische vereenvoudiging van voorheen veelal
handmatig uitgevoerde onderzoeken. Deze onderzoeken kostten
voorheen niet alleen veel mankracht,
maar kenden ook een grote kans op
fouten en waren hierdoor onnodig
duur.
Het maakt gebruik van de reeds
in het netwerk opgenomen Cisconetwerkapparatuur.
Michel Schaalje, Technisch Directeur,
Cisco Nederland
Als we de voordelen op een rij zetten:
• Cisco Cyber Threat Defense Solution biedt een uitstekende verdediging van het netwerk binnen de
firewall.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
15
EXPERTVISIE DATACORE SOFTWARE
TRENDS IN SECURITY 2014
Leg de focus vooral op business continuity
STORAGEVIRTUALISATIE:
NIEUW WAPEN IN STRIJD
TEGEN CYBERCRIMINELEN
Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie
van een bedrijf of overheidsorganisatie negatief te beïnvloeden,
reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business
continuity bekijkt, komt al snel tot de conclusie dat zij daarmee
een belangrijk wapen in de strijd tegen de cybercriminelen over
het hoofd zien: storage-virtualisatie. Deze relatief nieuwe technologie is immers als geen ander in staat om de beschikbaarheid
van applicaties en data te garanderen, welke disruptie er ook mag
plaatsvinden.
DataCore Software is een aanbieder van
oplossingen voor storage-virtualisatie.
Wij helpen bedrijven en overheidsorganisaties met het ontwikkelen van een
IT-infrastructuur die er voor zorgt dat gebruikers altijd kunnen beschikken over
hun applicaties en hun gegevens. In die
rol zijn wij vaak nauw betrokken bij het
opstellen en testen van plannen voor
disaster recovery. Dit soort plannen zijn
in de regel zeer goed opgezet, maar tegelijkertijd ook vaak gericht op een te
beperkte groep van - zeg maar - rampenscenario’s. Men bereid zich voor op
de klassieke problemen: overstromingen,
brand, neerstortende vliegtuigen. Dat
heeft natuurlijk alles te maken met de historische achtergrond van dit type IT-oplossingen: het draaide altijd om ‘disasters’
van natuurlijke aard.
DISASTERS DOOR CRIMINELEN
Tegenwoordig zien we echter ook - zeg
maar - ‘disasters van menselijke aard’
optreden. Anders gezegd: cybercriminelen die door middel van een denial of
service attack of via malware en andere
technieken proberen de operatie van de
organisatie zodanig te beïnvloeden dat
zij er zelf beter van worden. Soms zetten
zij DDoS in om de reputatie van een bedrijf of overheidsorganisatie negatief te
beïnvloeden. In andere gevallen gebruikt
men dit soort aanvallen om financiële
IT-systemen tijdelijk voor de rechtmatige
gebruikers onbereikbaar te maken zodat
zij in die tijd illegale financiële transacties
kunnen doen.
Wat het doel van de cybercriminelen ook
mag zijn, het is onze ervaring dat veel
IT-afdelingen op dit soort incidenten reageren door het inzetten van klassieke
security-tools. Men investeert nog meer
geld in next-generation firewalls, gaat
met Application Delivery Controllers aan
de slag en legt daar desnoods nog een
extra laag Intrusion Detection overheen.
Dat zijn goede stappen, maar ze zijn tegelijkertijd te zeer gericht op een traditionele manier van werken. Men is te zeer
gericht op technische maatregelen om
de cybercriminelen buiten de deur te
houden. Natuurlijk is dat zeer belangrijk,
maar redenerend vanuit de organisatie
en zijn doelstellingen kan dat nooit het
ultieme doel zijn. Ook het management
van de organisatie wil uiteraard de ‘bad
guys’ buiten de deur houden, maar zij is
natuurlijk nog veel meer geïnteresseerd
in een continuïteit van de operatie. Klanten moeten bediend worden, hebben
service- en onderhoudsverzoeken, de
verkoop dient door te gaan - ook als er
sprake is van een incident. Of het daarbij gaat om een disaster van natuurlijke
of van menselijke aard is daarbij niet zo
relevant.
BUSINESS CONTINUITY
Vanuit onze achtergrond als aanbieder
van innovatieve oplossingen op het ge-
16
bied van storage-virtualisatie leggen wij
een sterke focus op business continuity. Wij helpen onze klanten om op basis van onze software-oplossingen een
IT-infrastructuur te ontwikkelen die altijd
maximaal presteert en bestand is tegen
ieder denkbaar incident. De aard van die
disasters kan wat ons betreft heel breed
gekozen worden. Denk aan:
• Stroomstoringen
• Wateroverlast
• Fysieke ongelukken binnen of buiten de faciliteit
• Brand
• Inbraak, zowel fysiek als virtueel
• Technische storingen
• Terroristische aanvallen
• Storingen in de telecom-verbindingen
Wij maken hierbij dus geen onderscheid
tussen problemen die te maken hebben met - zeg maar - klassieke disaster
recovery en incidenten of storingen die
zich voordoen aan de kant van IT-security. Bij klanten zien wij echter dat dit
onderscheid vaak (nog) wel wordt gemaakt. Dat is jammer, want daarmee
behalen veel IT-afdelingen slechts een
suboptimaal resultaat als het gaat om de
beschikbaarheid van applicaties en bedrijfsdata. Bovendien investeren zij hierdoor vaak onnodig veel geld in voorzieningen voor disaster recovery en uitwijk.
Daarnaast neemt men tal van technische
maatregelen om cybercrimelen buiten
de deur te houden, zonder dat men dit in
voldoende mate doet vanuit het oogpunt
van business continuity. Het ontbreekt
aan een koppeling tussen beide maatregelen. Met storage-virtualisatie legt men
die koppeling wèl.
GEGARANDEERD
Waarom is storage-virtualisatie hierbij nu
zo’n goede oplossing? Bij storage-virtualisatie knippen we als het ware de directe
link tussen applicatie en storage-systeem
door. Door een abstractielaag tussen
storage-hardware en applicatie-software
te leggen, kunnen zowel de bedrijfsgegevens als de applicatie naar believen
worden verplaatst, zonder dat dit voor de
gebruiker consequenties heeft.
In dat concept zit natuurlijk ook een geweldig interessant security-idee. Als door
wat voor disaster dan ook - brand, waterschade of DDoS-attack - een bepaalde
applicatie of set van bedrijfsgegevens
onbereikbaar dreigt te worden, is de
software die deze abstractielaag regelt
uitstekend in staat om applicatie, bedrijfsgegevens of desnoods beide te verplaatsen naar een andere locatie in het datacenter. Terwijl de cyber attack doorgaat
en de traditionele security-tools worden
ingezet om deze aanval af te slaan, zorgt
storage-virtualisatie er voor dat de bedreigde data en applicaties normaal bereikbaar zijn en het gewenste prestatieniveau kennen. Met andere woorden, de
business continuity is gegarandeerd, ook
al doen cybercriminelen nog zo hun best
de operatie te verstoren.
AVNET TECHNOLOGY SOLUTIONS
T 036 – 547 82 00
E [email protected]
HAMMER NETHERLANDS
T 036 303 06 00
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
17
EXPERTVISIE DIMENSION DATA
TRENDS IN SECURITY 2014
“SECURITY:
ALLEEN EEN INTEGRALE
AANPAK HELPT U DE
CONTROLE TE BEHOUDEN”
“Een ICT-project zonder gedegen security is als een huis zonder
fundament waarin deuren en ramen ontbreken”, zegt Mohamed
Al Ayachi, Line of Business Manager Network Integration & Security bij Dimension Data. Hij pleit ervoor security een integraal onderdeel te maken van ICT-projecten. Volledig inzicht in bestaande
situatie, wensen, eisen en omgevingsfactoren van opdrachtgever
zijn hiervoor essentieel.
“De ICT-revolutie, zit in een stroomversnelling”, zegt security-expert Mohamed
Al Ayachi van Dimension Data. “Bedrijven
zijn zo druk bezig om achter de nieuwe
ICT-feiten aan te lopen, dat ze vergeten
om van security een integraal onderdeel
te maken van het beleid en de ICT-besluitvormingstrajecten. Dat gebrek aan
focus kan bedrijven duur komen te staan.
Pas als een bedrijf te maken krijgt met
dataverlies en -diefstal, compliancy-boetes, fraude, downtime en imagoschade, is
het een issue in de bestuurskamer.”
TRENDS
Al Ayachi onderscheidt op dit moment
drie grote trends in de ICT: de cloud,
mobility en big data. Alle drie brengen
ze voor bedrijven grote uitdagingen met
zich mee. De cloud is een klikobegrip
voor het consolideren van data, diensten en applicaties in private of publieke
clouds. Bedrijven zien de meerwaarde in
de schaalbaarheid van cloud, omdat het
de recovery van bedrijfskritische data en
applicaties eenvoudiger maakt. Die zijn
namelijk tijd- en plaatsonafhankelijk te
benaderen. Maar hoe zit het met beveiliging van data in de cloud? De tweede
trend, mobility, betreft het ontsluiten van
diensten voor fysieke, niet-draadgebonden devices. Het aantal apparaten zal
tussen nu en 2015 verdrievoudigen; het
aantal gebruikers van mobiele apparaten
zal tot 2015 verdubbelen. Hoe zorgen we
ervoor dat we controle behouden over
een diversiteit van devices, identiteiten,
netwerken, systemen en applicaties? De
derde trend is het gevolg van mobility:
big data. Alle devices en apps genereren data. Dit leidt tot een lawine van gegevens. De hoeveelheid data zal de komende twee jaar verzesvoudigen. Hoe
18
kunnen we de bulk data veilig opslaan,
beheren en gebruiken?
POSITIEF
Al Ayachi ziet de nabije toekomst positief
tegemoet. “Bedrijven hebben als gevolg
van deze trends te maken met forse uitdagingen, zeker op het gebied van security. Maar in plaats daarvan kijk ik liever
naar de kansen die ze bieden: nieuwe
businessmodellen, efficiency, productiviteit, concurrentievoordeel en klanttevredenheid.”
NETWERK ALS HET PLATFORM
De basis voor alles in de ICT en dus ook
voor deze drie trends is het netwerk. Dit
moet stabiel, flexibel en betrouwbaar
zijn. En wil je de controle behouden over
je volledige infrastructuur, dan zijn inzicht
over de volle breedte, bewustwording en
een integrale aanpak essentieel.
Al Ayachi: “Security staat nooit op zichzelf, het is een integraal onderdeel van
het complete ICT-systeem. De vraag
naar beschikbaarheid raakt direct security. Het is niet meer verantwoord om
een technische oplossing te implementeren bij bedrijven zonder het expliciete
doel of de context helder te hebben. Een
ICT-oplossing is niet compleet zonder
aan security te denken. Je bouwt immers
ook geen huis zonder fundering en vergeet vervolgens deuren en ramen mee te
nemen. Het is zaak om op de risico´s te
wijzen en net zo lang door te vragen tot
het nut van de ramen en deuren aan bod
komt. Die zouden moeten voldoen aan
de normen om een politiekeurmerk te
krijgen. Alleen het beste is goed genoeg.
Het moet niet moeilijk zijn om bedrijven
hiervan te overtuigen. Het gaat immers
om hun bedrijfskapitaal: bedrijfskritische
data en uiteindelijk het imago.”
OVERZICHT EN INZICHT
Een belangrijke pijler binnen security is
volgens Al Ayachi visibility. “Het is cruciaal om een veilig en identiteitsbewust
netwerk te implementeren bij bedrijven.
Je wilt overzicht en inzicht. Op hardware- en softwarevlak betekent dit dat je
in kaart brengt via assessments wat de
huidige situatie is bij een bedrijf en zijn
informatie en event managementsystemen. Vaak is een systeem door de jaren
heen tot stand gekomen en daarmee een
lappendeken van servers, switches, routers, firewalls en intrusion detection-systemen. Voor al deze individuele systemen dienen het informatiemanagement
en de bijbehorende rapportages onder
controle te worden gebracht. Hiermee
wordt het nodige inzicht verschaft. Daarnaast wil je weten welke medewerkers
toegang hebben tot het netwerk, en wanneer, en waarom ze erop zitten? Je moet
als security-expert inzicht hebben over
wat er gebeurt tussen gebruiker en server. Waar liggen de risico’s, welke data of
systemen zijn bedrijfskritisch en welke
niet? Het heeft geen zin om veel geld uit
te geven aan een firewall-, antivirus- en
anti-spamoplossing als je niet weet wat
je moet beschermen. Je wilt alle risico’s
minimaliseren met security, maar je kunt
niet beveiligen wat je niet ziet en weet.”
INVENTARISATIE TEN BEHOEVE
VAN INTEGRALE AANPAK
Met het verschafte inzicht kan het volgens
Al Ayachi heel goed zijn dat de opdrachtgever iets anders nodig heeft dan waarom
hij heeft gevraagd. “Als adviseur moet je
dat durven benoemen. Veel ICT-bedrijven gaan uit van de techniek. Vertrouw
geen leverancier die zonder gedegen
inventarisatie met technische maatregelen komt. Een optimale en integrale
security-oplossing kun je alleen implementeren als je weet wat je kwetsbaarheden zijn, de risico’s en de impact op
je business-doelstellingen kent. Dit heeft
alles te maken met de tijd nemen voor je
klant en samen met hem op zoek gaan
naar de kernbehoefte. Met zo’n gedegen
onderbouwing kun je ook aantonen wat
de effecten zijn op de bedrijfsvoering, de
omzet en de beveiliging. Je kunt hiermee
concluderen dat het inventarisatietraject
bestaande uit het in kaart brengen van de
wensen, eisen en omgevingsfactoren van
de opdrachtgever het belangrijkste deel
is geworden van een ICT-project.”
VEEMWEG 23/25
3771 MT BARNEVELD
T 0342-402 400
E [email protected]
I WWW.DIMENSIONDATA.COM/NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
19
DATAC
GREEN IT
SECURITY
SLA
VIRTUALISATIE
APPS
LAAS
PRIVATE LAAS
GREEN IT
SECURITY
PUBLIC
SAAS
PAAS
MIGRATIE
PRIVATE APPS
CONVERSION
HYBRIDE
CLOUDCOMPUTING
IT MANAGEMENT
CLOUD
VERSUS SECURE
STORAGE
SECURITY
STORAGE
SOLUTIONS
PAAS
MIGRATIE
SOLUTIONS
STORAGE
VIRTUALISATIE
MIGRATIE
CLOUDCOMPUTING
CLOUDSHOPPING
In onze turbulente wereld zien we gebruikers die meegaan met de
cloud-hype, zonder dat ze de risico’s kennen. Deze personen krijgen goed bedoelde adviezen van IT bedrijven om hun bedrijf in de
cloud te zetten. Maar niemand weet waar z’n data daadwerkelijk
geparkeerd is. En als achteraf blijkt dat er bepaalde Amerikaanse
bedrijven hebben zitten grasduinen in de data van zogenaamd verdachte bedrijven is dat een vervelende ontwikkeling.
rijk zijn reputatie en tevens zijn ego op
peil te houden door ergens electronisch
‘in te breken’!
PRIVATE
LAAS
CONVERSION
PUBLIC
HYBRIDE IT MANAGEMENT
GREEN IT
[email protected]
Feiten en fictie in kaart gebracht
20
EXPERTVISIE E-QUIPMENT
TRENDS IN SECURITY 2014
Het gevoel dat de door jou verzamelde
data door iemand anders bekeken zou
kunnen worden, is niet prettig. Het is
daarom zaak om ervoor te zorgen dat de
informatie goed beschermd is. Het inzetten van een solide firewall is een goede
eerste stap. Alleen is deze stap allang niet
meer afdoende, aangezien kwaadaardige software op vele manieren binnen uw
organisatie terecht kan komen, en informatie kan weglekken uit uw organisatie.
Gelukkig zijn er hackers; een groeiende
populatie, waarvan de meeste gelukkig
op een positieve manier bijdragen leveren aan de veiligheid van netwerken. Dit
zijn zogenaamde pentesters of ethische
hackers. Een ander deel vind het belang-
DATACENTER
Data in de cloud staat ergens in een datacenter opgeslagen. Een datacenter
is een faciliteit waar de beschikbaarheid van stroom en internetverbinding
meestal dubbel is uitgevoerd. Ook is er
een beveiligingsdienst die bijhoudt wie
er wanneer bij de opslagsystemen mag
komen. Binnen staan honderden servers
opgesteld in server racks. De reputatie
van een datacenter is erg belangrijk, omdat deze valt en staat met het vertrouwen
om er daadwerkelijk bedrijfsdata aan
toe te vertrouwen. Security is misschien
wel het belangrijkste onderdeel van die
reputatie. Er zijn bedrijven die ervoor
zorgen dat via de cloud uw bedrijfsgegevens worden gebackupped, zodat u een
reserve kopie heeft in geval van een incident op uw eigen server. Sinds een paar
weken laait de discussie weer op over
de Amerikaanse NSA, die van 200.000
Nederlanders informatie heeft getapt en
1,8 miljoen telefoongesprekken heeft afgeluisterd. Google en Facebook zijn ook
gewillige bronnen voor de NSA om data
te verzamelen, zo lees ik online!
GEEN REDEN
Er zijn veel bedrijven die hun data liever
binnenshuis houden, onder andere vanwege concurrentie die op de loer ligt.
Deze professionele bedrijven kiezen ervoor hun netwerk te voorzien van encryptie en mobiele data op te slaan op secure
storage oplossingen. Deze oplossingen
werken met encryptie (versleutelen
van gegevens) en zijn beschermd door
wachtwoorden of andere vormen van
authenticatie. De eerste winst is te behalen door het elimineren van het gebruik
van onbeveiligde USB sticks, hoe handig
ze ook zijn in het dagelijks gebruik. Zij
vormen het grootste risico op lekkage
van data omdat ze worden gebruikt door
mensen en menselijk falen is helaas het
grootste risico op fouten. Eigenlijk is er
voor bedrijven geen reden meer om
geen enkele actie te ondernemen, al was
het maar omdat security-producten om
data te versleutelen zeer betaalbaar en
eenvoudig in gebruik zijn geworden.
Jan Peters, Managing Director, E-quipment
BONAIREPIER 9
1339 KG ALMERE
T 036 - 5250024
E [email protected]
I WWW.E-QUIPMENT.EU
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
21
EXPERTVISIE HP
TRENDS IN SECURITY 2014
CYBERCRIME
VRAAGT OM SECURITY
NIEUWE STIJL
Oude concepten kunnen probleem niet meer oplossen
Cloud computing en mobility-concepten maken consumenten vrijer, werknemers productiever, bedrijven concurrerender en overheden effectiever. Er ontstaat een nieuwe wereld, een nieuwe
economie en een ‘new style of IT’. In die wereld is het ondenkbaar dat de factor ‘veiligheid’ niet de aandacht krijgt die het verdient. Waar de strijd tegen cybercriminelen langzamerhand niet
te winnen lijkt, hebben overheden en bedrijven een plicht richting
hun medewerkers, burgers en consumenten om er in elk geval
alles aan te doen om onwetendheid, IT-versnippering en een reactieve houding ten opzichte van security los te laten. Bestrijden
van cybercrime draait niet alleen om technologie, maar ook om
risk management, governance, mensen en cultuur. Tijd voor een
eye-opener en gerichte antwoorden op de vraag: wat kan ik er als
bedrijf dan aan doen?
Begin met simpele logica. Zo lang de ‘omzet en winstgevendheid’ van cybercrime
jaar over jaar alleen maar stijgt, zullen de
investeringen in cybercrime blijven toenemen. Daardoor zit cybercrime in de lift.
Cybercriminelen zijn steeds beter georganiseerd, specialiseren zich in het doorontwikkelen van de aanvalsmethodieken
en - een recente ontwikkeling - delen
steeds vaker kennis en kunde onderling
via ‘marktplaats’-achtige omgevingen.
Hacktivisten, criminelen en zelfs landen
werken zodoende vaak nauw samen, of
ze nou dezelfde ideologie ondersteunen
of niet.
Tegelijkertijd krijgen ‘beveiligers’ relatief
weinig mankracht en budget, waardoor
KNOW YOUR ENEMY
HP helpt organisaties ook meer inzicht
te krijgen in hoe cybercriminelen werken en welke criminele welke technieken gebruiken. Meer inzicht, beter
voorbereid.
22
zij (te) reactief en gefragmenteerd moeten werken. Veel organisaties werken
zonder overkoepelend security-beleid
dat ook risk management en governance
omvat. Zonder plan waarin niet alleen de
technologie, maar ook de organisatie en
de medewerkers worden voorbereid op
dreigingen. Nog steeds is de menselijke
maat bij security het grootste risico.
GRIP OP VEILIGHEID
We trekken een realistische maar tegelijkertijd keiharde conclusie: online technologie zal nooit 100 procent waterdicht
zijn. Maar dat hoeft niet te betekenen dat
we de cybercrime-tornado niet kunnen
overleven of ontregelen. Ten eerste zullen
we in alle stappen van het IT-proces het
security-bewustzijn moeten verhogen,
bijvoorbeeld met de proactieve security
services die HP biedt. Dat gaat van architect tot programmeur, van gebruiker
tot beheerder. Een lastig proces, mede
omdat de professionals hiervoor vaak
niet zijn opgeleid en vertrouwen op het
werk van hun collega´s en leveranciers.
Gebruikers verwachten dat alles wat er
op hun PC, laptop, tablet of smartphone
bruikbaar is ook te vertrouwen is. Een
begrijpelijke, maar volledig misplaatste
verwachting.
Bedenk ten tweede dat slechts 10 procent
van alle op dit moment gebruikte firewalls zogenaamde ‘next generation’-security-technieken gebruikt. Bij een deel
van de firewalls is dit euvel verholpen
door een Intrusion Prevention Systeem
(IPS) te combineren met de bestaande
firewall, maar bij veel organisaties komt
‘next generation’ pas in beeld bij het vervangen van de huidige firewall-hardware.
Combineer de huidige kostenbeheersing met de bekende IT-mentaliteit ‘we
vervangen iets pas als het kapot is’ en je
bent te laat met je beveiliging. Terwijl criminelen, zoals genoemd, investeren in de
doorontwikkeling van hun aanvalsmethodieken, moet je als organisatie en IT-manager zorgen dat je op zijn minst beschikt
over nieuwe technologie die is ge-update
volgens de laatste specificaties.
Ten derde speelt 80 procent van de geslaagde cyber-attacks zich inmiddels af
op de applicatie-laag. Iedereen die software schrijft krijgt daarmee een extra
verantwoordelijkheid om security-testing
onderdeel te maken van het Application Lifecycle Management-proces. Een
investering in kwaliteit van software die
inmiddels onmisbaar is, maar vaak nog
geldt als sluitpost van een software-ontwikkelingstraject. Achteraf oplossen is
echter niet alleen duurder en vervelen-
der, maar qua security is het tegenwoordig ook funest.
Als laatste blijkt dat een security-probleem gemiddeld pas na 200 (!) dagen
wordt ontdekt. Dus zelfs wanneer het gebruik van log-bestanden vanwege wet- of
regelgeving verplicht is, beschermen ze
ons geenszins als je er niet geautomatiseerde rapportages uit genereert. En
voor overheden en bedrijven die nog
een stap verder willen gaan: pas als je de
verzamelde gegevens van verschillende
bronnen op een intelligente manier kunt
correleren kom je tot een real-time alarmeringssysteem.
INTEGRALE SECURITY-ROADMAP
Vanuit HP zetten we ons hele portfolio aan
security-oplossingen in met maar één
doel: met een integrale benadering het
criminelen zo onaantrekkelijk en moeilijk
mogelijk maken onze klanten te raken.
Dat betekent enerzijds dat we security
workshops en vulnerability assessment
services aanbieden om IT-specialisten te
helpen om een volledige security-roadmap te ontwikkelen. Natuurlijk gericht
op de technologie, maar ook om hen te
helpen hun (business) management te
overtuigen van het belang van een bredere culturele en organisatorische aanpak. Tegelijkertijd hebben we een breed
aantal security-producten waarmee we
het security-niveau verhogen ten aanzien
van zowel het netwerk (TippingPoint),
de applicaties (Fortify) als de informatie
(Arcsight).
De opbrengst van cybercrime zal altijd
een veelvoud zijn van wat bedrijven en
overheden kunnen uitgeven aan het bestrijden ervan en dat betekent dat je per
definitie een ongelijke strijd voert. Een
bedrijf of overheid die security dan ook
nog eens ziet als sluitpost op de IT-begroting neemt een onverantwoord risico. Dat
is de mening van HP en met die gedachte werken we samen met overheden en
bedrijven. Een IT-project kan niet zonder
security-roadmap. Een bedrijf kan niet
zonder security roadmap. De overheid
kan niet zonder security roadmap. De
wereld verandert, de IT verandert. En de
IT-nieuwe-stijl heeft behoefte aan security-nieuwe-stijl.
Henk Janssen, Security Specialist
HP Software
STARTBAAN 16
1187 XR AMSTELVEEN
E [email protected]
I WWW.HP.COM/SECURITY
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
23
EXPERTVISIE INSIGHT
TRENDS IN SECURITY 2014
GEBRUIK
MOBILE DEVICES
MAAKT BEVEILIGING
COMPLEX
Het gebruik van mobile devices heeft verregaande consequenties
voor het security-beleid van IT-afdelingen. Niet alleen worden toestellen zowel binnen als buiten het netwerk van de onderneming
gebruikt, ook maakt de inzet ervan het IT-beheer complex. Dit vergroot de kans op kwetsbaarheden.
MAAIKE JAMOEL & INSIGHT
Maaike Jamoel is vanaf 1 december 2013
verantwoordelijk voor het ontwikkelen
van de mobility strategy bij Insight. Insight Enterprises Inc. is leverancier van
hardware, software en serviceoplossingen. Het bedrijf richt zich op zakelijke
klanten en overheden in Noord-Amerika, Europa, het Midden-Oosten, Afrika
en Azië. Insight helpt organisaties bij het
nastreven van hun technologische doelen op het gebied van cloud computing,
virtualisatie, datacenter, Unified Communications & Collaboration, netwerken
en beveiliging, dataprotectie, mobiliteit
& point of sale (POS) en kantoorproductiviteit.
“De problemen voor het IT-management
van organisaties stapelen zich op als
smartphones en tablets worden ingezet”,
zegt Maaike Jamoel, Business Development Manager Mobility bij IT-aanbieder
Insight. En niet voor niets: “De impact is
veel groter dan uitsluitend de inzet van
de devices.”
Met een tablet of smartphone kan een
gebruiker continu switchen tussen zakelijke en privétoepassingen. En daarmee
dus op elke gewenste plek zowel vertrouwelijke Excel-bestanden openen, als
social media gebruiken of games spelen. Om dit zo veilig mogelijk te maken,
moet een IT-afdeling het gebruik van de
devices goed regelen en beheren. “Eenvoudig is het beheer namelijk niet door
het grote aantal platforms dat met het
mobiel werken gemoeid is”, legt Jamoel
uit. De wereld van de IT-manager was tot
voor kort in één opzicht overzichtelijk: de
pc’s en notebooks van de meeste gebruikers draaiden op Windows. Nu het aantal
mobiele apparaten sterk stijgt, komt een
bonte waaier van besturingssystemen, in
verschillende versies, op hem of haar af.
Het beheer wordt, kortom, een uitdaging.
MOBILE DEVICE
MANAGEMENT ONONTBEERLIJK
Jamoel onderstreept het belang van specifiek op mobiele apparaten toegesneden toestelbeheer. Voor dit beheer is
een goed ingericht Mobile Device Management (MDM) onontbeerlijk. “Je moet
als ICT-verantwoordelijke allereerst een
strategie bepalen. Staan we gaming toe
op onze toestellen? Welke social media
zetten we in, welke apps beschouwen we
als veilig en welke weren we omwille van
onze security- of privacyrichtlijnen”, licht
Jamoel verder toe. “Vanuit die strategie
monitor je dan continu welke apps er op
een mobiel apparaat worden gebruikt en
beheers je het gebruik van de toestellen.
Bij sommige merken kun je op afstand
een app verwijderen, in andere gevallen
zul je de gebruiker eraan moeten herinneren.” Met specifieke managementsoftware is het eenvoudig apps te verwijderen van toestellen als de gebruiker ervan
niet meer bij het bedrijf werkt.
Voor een veilige dataoverdracht is access management onontbeerlijk. “Ga ik
ermee akkoord dat medewerkers in het
buitenland van roaming gebruikmaken,
of mag het toestel dan automatisch slechts
via WiFi communiceren? Of nog specifieker: wil ik dat gegevens uitsluitend met
VPN worden verstuurd - en zo ja, hoe zet
ik dat dan op?” Jamoel geeft de talrijke
opties weer om duidelijk te maken dat
een beheerder keuzes moet en kán maken. Maar ze schetst tevens dat alle beveiliging zinloos is als mensen geen betrouwbaar password instellen. Dit geldt
ook voor het gebruik van collaboration
tools. “Bijvoorbeeld Dropbox en Google
Docs zijn niet erg goed beveiligde omgevingen. Er zijn beslist veiliger alternatieven. Zorg dus dat medewerkers over de
veiligste apps beschikken. Die moeten in
elk geval encryptie toestaan.” Ook moet
de beheerder de monitoring zo opzetten,
dat men automatisch een waarschuwing
krijgt als gebruikers in het buitenland zijn
of vakantie hebben. “Maak dan bijvoorbeeld voor bepaalde medewerkers het
verzenden van data onmogelijk.” Essentieel is ook dat het IT-beheer jailbreaks
detecteert, omdat daarmee een toestel
onveiliger wordt. “Zodra je dit registreert,
is het raadzaam direct essentiële data te
wissen en het mailaccount automatisch af
te sluiten.” Al deze problemen op het gebied van beheer en security moeten zo
vaak mogelijk opgelost worden zonder
dat de gebruiker minder flexibel wordt
en niet het maximale uit zijn of haar toestel kan halen.
GEBRUIKER HEEFT
VERANTWOORDELIJKHEID
Uit de uitspraken van Jamoel blijkt, dat
security beslist een verantwoordelijkheid is van de IT-afdeling, maar dat ge-
24
bruikers zeker niet vrijuit gaan. “Wereldwijd zijn er meer dan een miljard
e-mailgebruikers en de gemiddelde zakelijke gebruiker verstuurt en ontvangt
tientallen mailberichten per dag.” Ze wil
ermee aangeven dat het versturen van
een bericht een soort tweede natuur is
geworden, waardoor gebruikers zich
niet continu zullen realiseren dat er security-gevaren met dit dagelijkse gebruik
verbonden zijn. “Medewerkers moeten
steeds weer geïnformeerd worden over
nieuwe virussen of andere bedreigingen.
Dat is van belang voor het veilig beheren
van hun accounts.”
Ook aan het gebruik van de eigen mobiele apparaten kleeft een risico. Jamoel
ziet steeds weer dat werknemers vaak
niet weten of, en in hoeverre de toestel-
len die ze gebruiken, beveiligd zijn. “Ze
zien op hun scherm weliswaar updates
van toepassingen verschijnen, maar zijn
zich er niet van bewust dat deze updates
de beveiliging van hun apparaat en data
verbeteren. Het regelmatig installeren
van updates zorgt ervoor dat ondernemingen zich beter kunnen weren tegen
bedreigingen.”
JOHN M. KEYNESPLEIN 10
1066 EP AMSTERDAM
T 055 538 23 20
E [email protected]
I HTTP://NL.INSIGHT.COM/NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
25
EXPERTVISIE KAHUNA
TRENDS IN SECURITY 2014
Dashboards geven goed beeld van
veiligheid eigen netwerk zonder grote investeringen
SECURITY
VISUALIZER
GEEFT DIRECT INZICHT
Niet alle organisaties hebben een volledig geïntegreerd platform
dat de veiligheid van netwerk en data monitort. Toch willen ze
graag weten of hun netwerk veilig is en of ze wellicht het doelwit
zijn van cybercriminelen. Ze willen best investeren in een veilige
omgeving, maar weten niet goed waarin. “Door de implementatie
van enkele dashboards kan binnen twee weken inzicht worden gekregen in de status van de security zonder grote investeringen”,
zegt Rhett Oudkerk Pool van Kahuna.
Het grootste probleem voor veel organisaties is het articuleren van de vraag,
zoals Oudkerk Pool het noemt. “Het visueel maken van de status van de security geeft ze inzicht in de knelpunten en
welke maatregelen er genomen zouden
moeten worden om het netwerk veiliger
te maken. Het helpt ze bij het goed articuleren van hun vragen en leidt tot zin-
26
volle en onderbouwde aanpak van informatiebeveiliging.” Kahuna heeft daarvoor
een aantal dashboards gecreëerd, die
ieder een eigen facet van informatiebeveiliging bestrijken.
TOP 10 VAN AANVALLERS
In feite is de security visualizer een grote
stap in de richting van security monito-
ring. “De dashboards zijn gebouwd op
basis van ervaringen bij andere klanten.
Bovendien zijn ze relatief simpel te implementeren,” zegt hij. “Ze hoeven ook
niet direct allemaal te worden gebouwd;
we kiezen voor de dashboards die we
gemakkelijk en snel binnen 10 dagen
kunnen implementeren. Blijkt er één te
ingewikkeld te zijn om binnen die tijd
te bouwen, dan slaan we die in eerste
instantie over. Er blijven genoeg dashboards over om de organisatie een goed
en helder beeld te geven van de eigen
security.” De security visualizer werkt
volgens het bekende 80/20-principe: het
laaghangende fruit wordt snel zichtbaar
gemaakt, net als de grootste bedreigingen.
Een van de onderdelen van deze aanpak is het opstellen van een 5 dagen
tabel van aanvallers op het netwerk van
de klant. “Op een dashboard maken we
zichtbaar of er uitgaande verbindingen
zijn naar een of meer van de betreffende IP-adressen. Als er plotseling wordt
gecommuniceerd met de aanvallers, is er
duidelijk iets misgegaan. Hoe die verbinding precies is ontstaan is niet belangrijk,
maar ergens heeft een firewall of antivirus-product niet goed gewerkt. Met die
wetenschap kun je de bron lokaliseren en
die vervolgens onderzoeken op virussen
of malware.”
Als ander voorbeeld noemt hij het ‘in
en uit dienst’ dashboard, dat nauwgezet
toont welke user accounts er zijn aangemaakt en welke zijn verwijderd – of dat
er ex-medewerkers zijn die nog steeds
over een geldig account beschikken. Een
andere mogelijkheid is Asset Modeling.
“Daaronder verstaan we het registreren
van alle servers en die vervolgens allemaal voorzien van een duidelijk profiel.
Dat is een van de meest belangrijke onderdelen bij de implementatie van een
security-infrastructuur, zodat je snel kunt
vaststellen of een alert gaat om een testof productiesysteem. Je wilt iemand niet
’s nachts uit bed bellen voor een probleempje met een testomgeving.”
OPSCHONINGSFASE
De security visualizer levert niet altijd
antwoorden op, maar wel gerichte vragen. “De organisatie krijgt immers eindelijk zicht op security en wat er allemaal
gebeurt in de infrastructuur. Het geeft
bijvoorbeeld ook inzicht in wat er nooit
is opgeruimd. Dat maakt de rapportages
in het begin wel wat troebel, maar die
fase moet je door om uiteindelijk tot een
situatie te komen van stabiele rapportages.” Ter verduidelijking geeft Oudkerk
Pool het volgende voorbeeld: “Stel, IT
heeft twee jaar geleden bepaalde servers uitgezet. Maar de back-up server
logt nog steeds iedere nacht in omdat hij
van dat systeem een back-up wil maken.
Dat geeft een failed log-in in het back-up
proces en in de security monitoring. Dat
is op zich niet erg, maar vervuilt wel de
rapportages. Je kunt het probleem direct
oplossen, door de configuratie van het
back-up systeem te wijzigen. Maar dat
is niet altijd even gemakkelijk te realiseren. We bouwen daar dan ook in eerste
instantie filters op.”
Bij de implementatie van de security visualizer hoort dus een soort basis-opschoningsfase. Een essentieel onderdeel van
het traject. “De security visualizer helpt
de klant een grote stap voorwaarts te
zetten. Het laat de medewerkers wennen
aan dit soort tools, het helpt kennisoverdracht te organiseren, het laaghangende
fruit te rapporteren, en het geeft waanzinnig veel inzicht - die ervaring hebben we
bij onze klanten.”
TOT SLOT
Bij veel organisaties ziet Oudkerk Pool
nog steeds dat er voorkeur is voor de
meest hippe oplossing die op dat moment verkrijgbaar is. Dat is niet altijd de
beste keuze. Optimaliseren van de bestaande maatregelen middels de security
visualizer bewijst daarbij goede diensten
en het levert inzicht waar de volgende investering noodzakelijk is.
Voor sommige bedrijven geeft de security visualizer voldoende inzicht, andere
zullen er wellicht voor kiezen de security
visualizer verder uit te bouwen naar een
integrale infrastructuur voor security monitoring. Dat kan, maar hoeft niet.”
HENRY DUNANTSTRAAT 36A
3822 XE AMERSFOORT
T 033 450 03 70
E [email protected]
W WWW.KAHUNA.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
27
EXPERTVISIE KASPERSKY LAB
TRENDS IN SECURITY 2014
2014:
DE BELANGRIJKSTE
drijven die veel investeren in innovatie
en productontwikkeling. Dat zien we bij
Kaspersky Lab in de praktijk. Met de
gestolen ontwikkelinformatie wordt er
volgens in lagelonenlanden goedkoop
geproduceerd.”
SECURITY-TRENDS
Wat zijn de belangrijkste ontwikkelingen op het gebied van ITsecurity? Een korte terugblik op 2013 en een vooruitblik op wat
ons te wachten staat. Van hacktivism tot ‘cyber mercenaries’ en
van mobiele beveiliging tot de terugkeer van encryptie.
“Als we naar 2013 kijken, zien we drie
belangrijke trends. Ten eerste is de dreiging van mobiele malware groter geworden. Ten tweede is hacktivisme, dus
het hacken om puur politieke redenen,
toegenomen. En ten slotte is het aantal
gevallen van cyberspionage gestegen”,
zegt Martijn van Lom, General Manager,
Kaspersky Lab Benelux and Nordic.
GROOTSCHALIGE
CYBERSPIONAGE
Vooral rond e-spionage was er in het afgelopen jaar veel media-aandacht. Enkele zaken deden veel stof opwaaien.
De grootschalige digitale spionagepraktijken van de Amerikaanse inlichtingendienst NSA, die klokkenluider Snowden
aan het licht bracht, zijn het belangrijkste
voorbeeld. Ook Red October was voorpaginanieuws. Bij deze cyberspionagecampagne van ongekende schaal bleken wereldwijd honderden organisaties,
van overheidsinstanties en diplomatieke
organisaties tot kerncentrales en handelsbedrijven, geïnfecteerd met zeer
geavanceerde malware. De campagne
werd pas begin 2013 ontdekt, maar is
waarschijnlijk al sinds 2008 aan de gang.
MEER DIGITALE
BEDRIJFSSPIONAGE
In 2014 zullen deze bedreigingen zich
opnieuw manifesteren. Van Lom: “Alle
trends zullen zich voortzetten. Zo verwachten we dat naast de digitale spionage tussen landen, ook die tussen bedrijven zal toenemen. Bijvoorbeeld om de
hand te leggen op financiële gegevens
van beursgenoteerde bedrijven, de reputatie van organisaties te beschadigen
of om waardevolle ontwikkelinformatie
te stelen. In het laatste geval lopen niet
alleen hoogtechnologische bedrijven
die bijvoorbeeld software of vliegtuigen
maken, het risico op dit soort aanvallen.
Het geldt ook voor heel ‘gewone’ be-
28
CYBERHUURLINGEN
EN DETECTIVES
“Bij de cyberspionage zal steeds vaker gebruik worden gemaakt van ‘cyber mercenaries’”, voorspelt Van Lom.
Dit zijn kleine groepen specialistische
huurlingen die gerichte acties uitvoeren
in opdracht van organisaties of landen.
In het verlengde van deze huurlingen
zullen ook ‘cyber detectives’ meer naar
voren treden. Dit zijn IT-specialisten die
bedrijven helpen om zwakke punten in
hun beveiliging bloot te leggen en aanvallen af te weren. Van Lom heeft daar zijn
bedenkingen bij. “Ik raad bedrijven aan
om heel voorzichtig te zijn met het inhuren van dit soort specialisten en hun achtergrond goed te checken. Er zijn immers
nog geen erkenningen of certificeringen
waar je op kunt vertrouwen. Voor je het
weet, haal je iemand uit het hackermilieu
binnen.”
BYOD VERGT BETERE
BESCHERMING
De toename van ontwikkelingen als Bring
Your Own Device (BYOD) zullen de veiligheidsrisico’s in 2014 verder vergroten.
Van Lom: “BYOD was natuurlijk wel een
‘toverwoord’ in de afgelopen jaren, maar
neemt steeds concretere vormen aan en
zal zich verder doorzetten. Eindgebruikers en hun toestellen zijn de zwakste
schakel in de IT-keten. Als ze met hun tablet of hun smartphone thuis op de bank
of in de trein zitten, denken ze er niet aan
dat ze niet veilig zijn.” Van Lom pleit er
dan ook voor om álle mobiele toestellen
die aan het bedrijfsnetwerk zijn gekoppeld, te beveiligen. Ook bijvoorbeeld van
medewerkers die via hun privésmartphone zakelijke e-mail kunnen ontvangen.
Van Lom: “Maar dan ben je er nog niet,
je moet er ook rekening mee houden dat
zo iemand zijn telefoon kwijt kan raken.
Dan moet je een oplossing hebben om
die op afstand leeg te halen. En wat doe
je met de privédata? Daarmee kom je op
het gebied van privacybescherming. Het
zijn allemaal dingen waar je over na moet
denken.”
VEILIGER IN DE CLOUD
Ook het sterk groeiende gebruik van
cloudservices zal de IT-security in 2014
beïnvloeden. Van Lom: “Ik denk dan bijvoorbeeld aan iets simpels als Dropbox.
Hoe ga je daar als bedrijf mee om? Voor
een vertegenwoordiger die bij een klant
een presentatie op zijn tablet wil geven, is
dat natuurlijk een ideale oplossing. Maar
voor de beveiliging ligt dit helemaal anders. Je wilt als bedrijf niet dat je gegevens via zo’n service op straat komen te
liggen. Daar moet je maatregelen voor
nemen. Door alle publiciteit rond cybercriminaliteit zijn bedrijven zich daar gelukkig beter bewust van”, zegt Van Lom.
HERONTDEKKING
VERSLEUTELING
Vanuit het licht van deze ontwikkeling
voorziet Van Lom dat encryptie in 2014
zal worden herontdekt. “Op dit moment
versleutelen nog maar weinig organisaties hun gegevens voordat ze die verzenden, maar in 2014 zal het echt een ‘hot
topic’ zijn. Encryptie is niet alleen goed
voor de bescherming van hun data en
intellectueel eigendom, maar ook voor
hun imago. Ze laten hun klanten en stakeholders duidelijk zien dat ze werk maken
van hun IT-security en dat ze geen onnodige risico’s lopen. Dat schept vertrouwen.” Ook consumenten zullen in 2014
meer gebruik gaan maken van encryptie
of kiezen voor een veilige VPN-verbinding. Van Lom: “Door de recente ont-
wikkelingen, zoals de afluisterpraktijken
van de NSA, zijn ze zich eveneens meer
bewust van de risico’s en willen ze hun
privacy, bankrekening en online identiteit
beschermen.”
LIEVER GEEN BITCOINS
Een laatste belangrijke trend voor 2014
is die van de bitcoin. De koers van dit
virtuele geld gaat momenteel door het
plafond. Van Lom: “Steeds meer mensen zullen bitcoins gaan gebruiken, ook
buiten de virtuele wereld.” Vanuit veiligheidsoogpunt is hij echter niet enthousiast over de ontwikkeling. “Je bewaart je
bitcoins in een portemonnee die zich ergens in een gigantisch netwerk bevindt.
De veiligheid is niet gegarandeerd. Bij
Kaspersky Lab hebben we al veel aanwijzingen dat mensen grote risico’s lopen
met zo’n ‘bitcoin wallet’. Daarom raden
wij aan om er voorzichtig mee te zijn”,
aldus Van Lom.
Kitty Döppenbecker
PAPENDORPSEWEG 79
3528 BJ, UTRECHT
T 030 752 9500
I WWW.KASPERSKY.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
29
EXPERTVISIE LANCOM
TRENDS IN SECURITY 2014
VEILIGE
IT-NETWERKEN ZIJN
ESSENTIEEL VOOR DE
DETAILHANDEL
Digitale toepassingen worden steeds belangrijker voor de retailketens. Daarmee neemt de impact van cybercriminaliteit toe en
worden ondernemingen vatbaarder voor digitale spionage of sabotage. Winkelketens zijn daarom op werkoplossingen aangewezen die maximale veiligheid voor data en processen bieden.
De detailhandel staat aan de vooravond
van een nieuwe digitaliseringsgolf - en
niet alleen door de snelle opmars van
het online-winkelen. In fysieke winkelfilialen werken detaillisten steeds vaker
met digitale technologieën, zoals touchscreens, Digital Signage, elektronische
bewakingssystemen of oplossingen voor
Unified Communications. Door deze ontwikkelingen nemen de eisen die door de
ondernemers aan de netwerk-infrastructuur worden gesteld toe. De IT-afdelingen van winkelondernemingen moeten
tegenwoordig vooral twee uitdagingen
het hoofd bieden: aan de ene kant moet
de performance en de continuïteit van de
digitale toepassingen optimaal zijn, aan
de andere kant moet het netwerk tegen
bedreigingen van buitenaf beschermd
worden.
De bedreigingen door cybercriminaliteit
namen in de afgelopen jaren sterk toe
ROUTERS ZONDER BACKDOOR
D e D u i t s e n e t we rk l eve ra n c i e r
LANCOM Systems stelt de hoogst mogelijke beveiliging van de apparatuur
die ze levert centraal. Zo draait op de
producten van de Duitse fabrikant een
eigen, gesloten besturingssysteem en
ontbreken backdoors. Het Duitse Federale Kantoor voor Informatiebeveiliging (BSI) certificeerde de fabrikant
om die reden onlangs.
30
en houden ook veel detailhandelsondernemingen bezig. Tot de grootste risico’s
horen portscanning en sniffing: door het
afluisteren of aftappen van gevoelige
spraak-, data- en videoverbindingen binnen onvoldoende beveiligde netwerken
is bedrijfsspionage mogelijk zonder dat
de eigenaar van het netwerk dit merkt.
Criminelen verschaffen zich daarnaast
steeds vaker toegang tot vertrouwelijke bedrijfsinformatie door zogenaamde
‘man-in-the-middle’ aanvallen. Cybercriminelen zijn dan onder een valse identiteit
op het bedrijfsnetwerk actief en hebben
toegang tot interne data. Verder is het zo
dat ondernemingen hun IT-infrastructuur
ook tegen gerichte sabotage moeten beschermen. Denial-of-Service-aanvallen
(DoS) kunnen netwerken tijdelijk verlammen en daarmee voor grote storingen in
het bedrijfsproces zorgen.
VEILIG NETWERK TUSSEN
FILIALEN
Een optimale en in alle opzichten goed
op elkaar afgestemde netwerkbeveiliging voor retailketens start met het veilig opzetten van de verbindingen tussen
de verschillende filialen. Gateways in het
rekencentrum van de onderneming vormen het knooppunt van het netwerk en
worden via afgeschermde VPN-tunnels
met de routers van de afzonderlijke filialen verbonden. Als verbinding tussen de
lokale netwerken aan de ene kant en het
internet aan de andere kant, zijn het juist
de routers die een grote rol spelen bij het
afweren van cyberaanvallen.
Het zijn vooral de routers in de verschillende filialen, die vaak de zwakke schakel vormen in een netwerk dat de verschillende filialen met elkaar verbindt. Te
vaak worden goedkope consumentenproducten ingezet, die echter niet over
de beveiligingsfuncties beschikken die
het gebruik binnen een ondernemingsnetwerk vereist. In een retailomgeving
zijn bijvoorbeeld simultane VPN-kanalen
van belang voor het contact met externe beveiligingsdiensten, maar ook voor
aanbieders van Digital Signage die marketinguitingen op displays in een filiaal
verzorgen. Een router die wordt ingezet
in een professionele omgeving moet ook
beschikken over een geïntegreerde firewall met intrusion detection en DoS Protection, naast de mogelijkheid tot het beheren van digitale security-certificaten.
EENVOUDIG TOEGANG
VIA BACKDOORS
Ook professionele routers kunnen echter
een fundamenteel security-gat hebben.
Dat geldt voor de modellen met een zogenaamde backdoor, die fabrikanten
als interface gebruiken voor updates en
services. Deze backdoor kan ook politie- en justitie of inlichtingendiensten toegang bieden tot de communicatie over
het netwerk. De zogenaamde Patriot Act
schrijft Amerikaanse fabrikanten van netwerk apparatuur zelfs voor in dergelijke
backdoors te voorzien. Ook apparaten
die naar Europa geëxporteerd worden
kunnen een dergelijke interface hebben.
Het grote gevaar van de backdoors is, dat
ze ook hackers een eenvoudig te openen
toegang bieden tot de IT-netwerken van
ondernemingen en de data die op het
netwerk zijn opgeslagen. Alleen al om
die reden verdient het aanbeveling zorg-
vuldig na te gaan waar een netwerkapparaat werd geproduceerd. Zo zullen Duitse
fabrikanten moeten voldoen aan de in
Duitsland geldende privacyrichtlijnen,
die bijzonder streng zijn. Apparatuur die
aan deze regelgeving voldoet beschermt
tegen Cyber-aanvallen en houdt afluisteren sabotagepraktijken buiten de deur.
De detailhandel heeft echter niet alleen te
maken met verbindingen tussen een centrale en verschillende filialen, ook binnen
een winkel worden steeds hogere eisen
gesteld aan de digitale beveiliging.
Veel winkels beschikken tegenwoordig
over multi-service-netwerken, waarbij
verschillende toepassingen of gebruikers streng van elkaar gescheiden zijn.
Denk bijvoorbeeld aan shop-in-shop
concepten. Een dergelijk netwerk is op
te bouwen door op basis van een fysiek
netwerk verschillende, onafhankelijk van
elkaar bestaande subnetwerken (in de
vorm van VLAN’s) in te richten. Tot die
subnetten hebben dan steeds uitsluitend
daartoe bevoegde gebruikers toegang.
Door verschillende virtuele netwerken
op te bouwen op een enkel vast netwerk
wordt een forse kostenbesparing gereali-
seerd en wordt de security vergroot.
Ook voor de meer gebruikelijke
WLAN-omgevingen kan netwerkvirtualisatie een rol spelen. Ook hier moet het
security-aspect niet onderschat worden.
In veel filialen van winkelketens zijn tegenwoordig barcode-scanners, camera’s
of mobile betaalsystemen in een draadloos netwerk opgenomen. Daarnaast
bieden detaillisten hun klanten vaak Wifi
aan, dat dan meteen voor instore-marketing-acties gebruikt kan worden. Bij het
opzetten van een WLAN-infrastructuur
die al deze activiteiten aan kan, moet op
een veilige aansturing van al deze verschillende activiteiten gelet worden. Zo is
het bijvoorbeeld aan te raden het publieke WLAN (Wifi) veilig op te bouwen en te
scheiden van de communicatie door de
mobiele kassasystemen. Voor die communicatie kan gebruik worden gemaakt
van een PCI-compatible infrastructuur.
Maximale veiligheid, tegen lage beheerskosten, wordt bereikt als de verschillende
filialen niet op zichzelf opereren, maar
er voorzien wordt in een IT-infrastructuur
die over de hele winkelketen heen werkt.
De IT-organisatie moet in staat zijn net-
werkcomponenten op afstand te besturen, te bewaken en te beheren. Dit bevordert niet alleen de security, maar zorgt er
ook voor dat beheer en monitoring met
weinig personeel kan worden verzorgd.
Digitalisering biedt de retailbranche een
groot potentieel. Bij het opzetten van
netwerk infrastructuren moeten IT-afdelingen echter het thema security op alle
niveaus adresseren. Alleen op die manier
zijn de filialen in staat nieuwe innovaties
te omarmen, zoals location based service, indoor-navigatie en mobiel betalen.
Ralf Koenzen, Founder en Managing
Director van Lancom
POSTBUS 163
1560 AD KROMMENIE
T +49 (0) 2405 49936-243
E [email protected]
I WWW.LANCOMSYSTEMS.DE
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
31
EXPERTVISIE MCAFEE
TRENDS IN SECURITY 2014
2014:
BEVEILIGING WORDT
EINDELIJK EEN
BUSINESSTHEMA
Wat kunnen we de komende twaalf maanden verwachten op het
gebied van beveiliging en cybercriminaliteit? Waar moeten organisaties echt meer aandacht aan besteden en wat voor nieuwe
ontwikkelingen zijn er gaande? Een ding is zeker: het zal zeker
geen ‘business as usual’ zijn.
HET JAAR VAN HET INTERNET OF
THINGS
2014 wordt het jaar dat het Internet of
Things (IoT) echt invulling gaat krijgen.
Nadat het een aantal jaren vooral ging
over de prachtige nieuwe mogelijkheden
en zakelijke kansen die het IoT ons gaat
brengen, denk ik dat we volgend jaar de
eerste concrete toepassingen en diensten gaan zien. Dit betekent echter ook
dat de systemen en sensoren die het IoT
vormen, aantrekkelijke doelwitten worden voor cybercriminelen en hackers.
Een voorbeeld: stel dat de essentiële
infrastructuur van een gebied wordt aangestuurd via intelligente systemen, die
beslissingen nemen op basis van informatie afkomstig van talloze sensoren in
dat gebied - denk bijvoorbeeld aan het
automatisch optimaliseren van de verkeerslichten op basis van het actuele verkeersaanbod. Dan zou het voor cybercriminelen of hackers heel aantrekkelijk
32
kunnen zijn om dat systeem te verstoren
door ‘valse’ sensorinformatie te genereren. Plotseling staan op een kruispunt
alle stoplichten tegelijkertijd op rood (of
groen!), of ze gaan zich totaal onverwacht
gedragen. De gevolgen laten zich raden.
We moeten dus heel goed nadenken
over hoe we dat IoT optimaal kunnen
beveiligen. En we bevinden ons nu in de
positie om dat van meet af aan goed aan
te pakken, in plaats van eerst complete
systemen te bouwen en daar vervolgens
de beveiliging als extra aan toe te voegen. Nee, dit vraagt om geïntegreerde,
intelligente en real-time beveiligingsoplossingen die al standaard ‘embedded’
zijn ingebouwd in de hardware- en softwaresystemen die het Internet of Things
vormen. Alleen dan kan het IoT ons ook
daadwerkelijk die voordelen bieden die
in theorie mogelijk zijn, zonder dat de risico’s te groot worden.
GEAVANCEERDE DREIGINGEN
Maar ook op het meer ‘traditionele’ beveiligingsvlak zal er in 2014 het nodige
gebeuren. Het afgelopen jaar werd al
duidelijk dat geavanceerde dreigingen
- Advanced Persistent Threats (APT’s) steeds gevaarlijker worden en in aantal
toenemen. We hebben het dan over dreigingen die zeer moeilijk te detecteren en
te verwijderen zijn, zoals rootkits en malware dat het BIOS van systemen besmet.
Deze kunnen alleen effectief bestreden
worden door de beveiliging op een andere manier in te richten. Bijvoorbeeld door
ervoor te zorgen dat de beveiliging al op
een eerder moment actief wordt dan pas
tijdens het starten van het besturingssysteem. Ook ‘whitelisting’, waarbij alleen
toepassingen gestart kunnen worden die
zijn goedgekeurd, zal het komende jaar
een steeds grotere rol gaan spelen.
De dreigingen en risico’s waar organisaties mee te maken krijgen, zijn inmiddels
dermate complex en breed dat effectieve bescherming en beheer niet meer
mogelijk zijn wanneer de beveiliging
bestaat uit allerlei individuele componenten. De tijd dat voor de servers een
oplossing van leverancier A kan worden
ingezet, voor de databases een product
van leverancier B en voor de endpoints
een oplossing van leverancier C, is voorbij. In plaats daarvan zou de beveiliging
een volledig geïntegreerd geheel moeten vormen. Daarbij wordt dan informatie
uit de verschillende onderdelen van de
infrastructuur - het netwerk, de servers,
de pc’s, mobiele devices, de bedrijfsapplicaties, hardware-apparaten, etc.
- gecorreleerd en op een eenduidige
en overzichtelijke wijze gepresenteerd.
Dit is ondertussen ook de enige manier
waarmee grootschalige aanvallen of besmettingen tijdig en effectief kunnen worden bestreden.
BOARDROOMTHEMA
Het thema ‘beveiliging’ moet volgend
jaar echt een strategisch boardroomthema worden. Security is inmiddels te
belangrijk voor de bedrijfsvoering en
de potentiele risico’s zijn groot. Maar de
maatregelen die genomen moeten worden om de beveiliging op het vereiste
niveau te brengen, kunnen zelf ook gevolgen hebben voor de bedrijfsvoering.
Security moet daarom onderdeel zijn van
de overall business-strategie, niet alleen
van de ICT-strategie. Bedrijven moeten
de risico’s in kaart brengen en aan de
hand daarvan beslissingen nemen over
wat wel en wat niet beveiligd moet worden. Want die keuzes zullen gemaakt
moeten worden. Daarbij is het kostenaspect natuurlijk een centrale factor. Het
is zonder meer mogelijk om de kosten
voor security omlaag te brengen met
een geïntegreerde aanpak, want die resulteert in aanzienlijk lagere operationele
kosten, terwijl het niveau van de beveiliging omhoog gaat.
MKB
Kleinere bedrijven beginnen zich bewust
te worden van het feit dat ook zij een potentieel doelwit zijn voor cybercriminelen, hetzij via een doelgerichte aanval,
hetzij door ‘algemene’ malware, die iedere organisatie kan treffen. De infecties
door ransomware zoals ‘Cyberlocker’
zijn daar een goed voorbeeld van: bedrijven die hierdoor besmet raken, kunnen enorme schade lijden. Een van de
manieren waarop kleinere organisaties
- die vaak zelf niet beschikken over de
benodigde kennis en tijd - hun beveiliging op orde kunnen brengen, is door in
ieder geval een deel van de beveiliging
te outsourcen naar een betrouwbare en
deskundige partner. Denk bijvoorbeeld
aan het monitoren en auditeren van de
beveiliging, maar ook aan het in kaart
brengen van de beveiligingsbehoeften
en de beste oplossingen daarvoor. Effectieve beveiliging vraagt om meer dan alleen het installeren van een antivirusprogramma op de pc’s. En juist het MKB heeft
vaak waardevolle gegevens in de vorm
van klantendatabases, unieke productontwerpen, etc., die beter beschermd
zouden moeten worden.
BEWUSTWORDING EN
VOORLICHTING
En tot slot zullen organisaties meer moeten doen aan de bewustwording en voorlichting over risico’s en beveiliging. Bedrijven krijgen nog vaak te maken met
cybercriminaliteit en dataverlies omdat
medewerkers zich niet bewust zijn van
bepaalde risico’s. Er wordt bijvoorbeeld
nog steeds blindelings op links geklikt in
e-mails of social media-berichten. Ook
van de risico’s van onbeveiligde mobiele privéapparaten die voor het werk
gebruikt worden, zijn mensen zich lang
niet altijd bewust. Hetzelfde geldt voor
het zakelijk gebruik van allerlei ‘handige’
clouddiensten en tools, zoals Dropbox
of webmaildiensten. Bedrijven moeten
zorgen voor heldere beleidsregels op
dit gebied en oplossingen inzetten die
ervoor te zorgen dat deze beleidsregels
ook kunnen worden afgedwongen.
Radboud Beumer, Regional director
Northern en Eastern Europe Channel en
acting Regional Director Benelux, McAfee.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
33
EXPERTVISIE NORMAN
TRENDS IN SECURITY 2014
Norman Safeground lanceert Norman SecureBox
VEILIGE
CLOUD-OPSLAG VOOR BEDRIJVEN
Norman Safeground lanceert Norman SecureBox, een oplossing
waarmee werknemers veilig bestanden kunnen delen en synchroniseren tussen PC’s en mobiele devices en waarbij de werkgever
altijd de controle heeft.
VOORDELEN VAN NORMAN
SECUREBOX
• Business class-oplossing, gebouwd
voor zakelijke behoeften
• Vanaf de grond ontwikkeld voor
de veiligheid en behoeften van het
bedrijfsleven
• Revisiebeheer en 14 dagen online
prullenbak
• Security first end-to-end encryptie,
ook op lokale devices (256-bit AES)
• Controle op de locatiegegevens altijd binnen EU, dual-datacenters
met fail-over
• Bedrijf heeft de controle van zijn
gegevens
• Admin tool beheert data voor werknemers i.p.v. de werknemer zelf
• TheftGuard - op afstand kunnen gegevens worden gewist op bijvoorbeeld verloren laptops
• Mappen en bestanden delen met
een sterke toegangscontrole en
tracking
• Multiplatform-ondersteuning:
clients voor Windows en Mac. Apps
voor iPhone, iPad, Android, Windows Phone, Blackberry
• Beschikbare talen: DU, NL, NO, SW,
IT, SP, FR, PT, PL, EN
• Gratis lokale (Nederlandstalige)
telefoon- en e-mailondersteuning
• Geleverd door een Europese
leverancier. De vertrouwde beveiliging die niet alleen uw gegevens
beveiligt, maar bijna al uw security
behoeften (PC’s, netwerk, e-mail,
enz.) met een enkel contact en
ondersteuningspunt
• Prijs: vanaf € 13,- per maand,
afhankelijk van aantal gebruikers,
opslag en dergelijke
34
Veel bedrijven merken dat werknemers
bedrijfsdocumenten
naar
onveilige
cloud-diensten uploaden. Recente cijfers
tonen aan dat 71 procent van de werknemers zich niets aantrekt van de bedrijfsrichtlijnen of -policy op dit gebied.
Daarom is veilige, eenvoudig te delen en
controleerbare opslag vereist. Als bedrijven deze oplossingen niet implementeren, zullen werknemers immers zelf onveilige oplossingen gaan gebruiken en
het bedrijf zal de controle verliezen.
IN DE CLOUD PLAATSEN
“Norman SecureBox laat bedrijven veilig
delen en synchroniseren en maakt een
back-up van de bestanden en mappen.
Veilige dataopslag is hard nodig in een
wereld waarin informatie steeds breder
gedeeld en toegankelijk gemaakt wordt
en waar het aantal apparaten steeds
maar groeit”, zegt Arne Uppheim, Product Director bij Norman Safeground AS.
Veel particulieren en bedrijven zijn tegenwoordig bezig met het vraagstuk hoe
ze gegevens fysiek in de cloud moeten
plaatsen met behoud van een goede toegankelijkheid. Norman SecureBox slaat
alle gegevens op op twee volledig redundante, fysiek discrete en veilige datacenters binnen Europa. Gebruikers merken
hier niets van, zelfs als één van de datacenters zou worden uitgeschakeld door
een brand of ander dergelijk voorval.
VERSLEUTELD IN DE KLUIS
Norman SecureBox creëert een aparte ruimte op de harde schijf van de gebruiker, genaamd ‘the vault’ (‘de kluis’).
Alle bestanden die zijn opgeslagen in
de ‘vault’ worden door een 256-bit encryptie (AES) beschermd. Wanneer de
Norman SecureBox-toepassing wordt ge-
sloten, dan is de ‘vault’ niet zichtbaar en
kan er geen ongeautoriseerde toegang
plaatsvinden. Bestanden worden gewoon
verplaatst naar de kluis door middel van
de drag & drop-methode binnen de vertrouwde verkenner/finder. Daarmee zijn
ze meteen versleuteld, is er een back-up
naar de cloud van gemaakt en - indien
nodig - beschikbaar voor het delen met
anderen. Als bestanden per ongeluk gewist of bewerkt worden, kunnen ze opnieuw worden geladen vanuit de cloud,
waar Norman SecureBox zijn back-ups
opslaat.
TOEZICHT EN CONTROLE
BEHOUDEN
Het bedrijf is en blijft eigenaar van de
gegevens die zijn opgeslagen in Norman
SecureBox. Beheerders kunnen toegang
krijgen tot bestanden van alle werknemers en externe gebruikers, zodat ze
zowel opgehaald als verwijderd kunnen
worden. Het bedrijf kan gebruikmaken
van gedeelde mappen.
Norman SecureBox gebruikt ook “TheftGuard” technologie, die de inhoud op
mobiele devices beschermt. Norman SecureBox is verkrijgbaar met mobiele ondersteuning voor iPhone, iPad, Android,
Windows Phone en Blackberry. Als apparaten verloren of gestolen zijn, kunnen
gebruikers en beheerders op afstand
bestanden verwijderen, terwijl er veilig
kopieën behouden blijven van de gegevens in de Norman SecureBox cloud. Verloren of gestolen devices kunnen worden
gevolgd via de Google Maps-service.
Norman SecureBox heeft een meldingssysteem die beheerders waarschuwt zodra er bestanden in de gedeelde ‘vault’
van het bedrijf toegevoegd, verwijderd of
bewerkt worden.
Bestanden kunnen eveneens veilig en
eenvoudig worden verzonden met Norman SecureBox. Een koppeling (link)
wordt verzonden naar de ontvanger in
plaats van complete grote bestanden en
de ontvanger downloadt vervolgens de
bestanden via deze link. Gebruikers kunnen ook veilig koppelingen (links) naar
hele mappen versturen met hierin de bestanden. Deze links kunnen op verschillende manieren worden beschermd, met
wachtwoorden, een limiet op het aantal
toegestane downloads, een vervaldatum
en melding van downloadacties.
“Het is een duidelijk voordeel voor klanten en partners om veilige cloud-opslag
en veilige file sharing-oplossingen te
hebben van Norman, in aanvulling op het
bestaande productportfolio van dezelfde
Noorse leverancier“, concludeert Uppheim.
Norman SecureBox bevat ook de volgende aanvullende functies:
• Online prullenbak: Wanneer een
bestand wordt verwijderd uit een gedeelde ‘vault’, wordt het bestand verwijderd van alle ‘vault’-gebruikers.
Een online prullenbak behandelt de
bestanden, die kunnen worden hersteld indien nodig.
• Delta Sync: Het synchronisatieproces is razendsnel doordat alleen de
inhoud van nieuwe of gewijzigde bestanden wordt bijgewerkt en niet alle
bestanden.
• Ignore files/negeer bestanden:
Zeer gevoelige bestanden worden,
om veiligheidsredenen, in ‘the vault’
geplaatst en er kan een speciale Ignore functie toegewezen worden, zodat zij niet kan worden gedeeld met
andere gebruikers van de ‘vault’.
Dezelfde functie kan ook worden
gebruikt om te voorkomen dat grote
•
•
bestanden worden overgezet als er
geen beschikbare breedband internetverbinding is.
Online file controle: Gebruikers
kunnen een beveiligde verbinding
gebruiken om de kluis vanaf elke
computer te beheren. Bestanden
kunnen ook worden geüpload, gedownload en kunnen bijgewerkt worden via de online file controle.
Email2Folder: Elke ‘vault’ heeft zijn
eigen unieke e-mailadres, zodat gebruikers rechtstreeks kunnen e-mailen met bijlagen naar ‘the vault’ met
behulp van hun normale email-client.
Maarten Prins, Marketing Communicatie
Manager, Norman Data Defense Systems B.V. DIAMANTLAAN 4
2132 WV HOOFDDORP
T 023 - 78 901 222
E [email protected]
I WWW.NORMAN.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
35
EXPERTVISIE PALO ALTO NETWORKS
TRENDS IN SECURITY 2014
BOUWSTENEN
VOOR EEN PROACTIEVE
CYBERSECURITY-STRATEGIE
De krantenkoppen over cyberaanvallen in het afgelopen jaar lezen
als een bestseller - ze staan bol van de spionage, internationale
hackers en geavanceerde wapensystemen. Cyberaanvallen op financiële organisaties, overheden en de vitale infrastructuur zijn in
2013 daadwerkelijk geëscaleerd.
Deze cyberaanvallen hebben niet alleen
ernstige gevolgen voor overheden, maar
ook voor bedrijven die elektriciteits- en
OVER PALO ALTO NETWORKS
Palo Alto Networks loopt voorop in
een nieuw tijdperk van cybersecurity
door bescherming te bieden aan duizenden bedrijven, overheden en serviceproviders tegen cyberaanvallen.
In tegenstelling tot bestaande deelproducten zorgt het next-generation security-platform van Palo Alto Networks
voor het op een veilige manier uitvoeren van bedrijfsprocessen, terwijl het
tegelijkertijd bescherming biedt voor
essentiële factoren van hedendaagse
dynamische
computeromgevingen:
applicaties, eindgebruikers en content.
mobiele netwerken beheren. Dit betekent dat cybersecurity zich nu uitstrekt
naar overheidsinstellingen en bedrijven.
Erger nog: de trend voor veel van deze
aanvallen lijkt zich te bewegen in de richting van vernietiging versus economische spionage.
Op dit moment wordt gewerkt aan nieuwe
regelgeving, bedoeld om cyberaanvallen
aan te pakken. De voorzitter van de Joint
Chiefs of Staff (het militaire adviesorgaan
van de Amerikaanse federale overheid)
brengt bijvoorbeeld gedeeltelijk veranderingen aan in de bestaande geweldsinstructies van het Amerikaanse leger,
die bepalen wanneer, hoe en met welke
tools Amerika reageert op een aanval.
Met de nieuwe cyber-regels kunnen militaire leiders direct in de aanval gaan tegen cyberaanvallen zonder goedkeuring
van het Witte Huis of de National Security
Council (NSC).
ROBUUSTE STRATEGIE
Met het oog op de toegenomen cyber-spionage is het nodig om een robuuste cyber-security te implementeren,
die alle essentiële systemen beschermt,
compliant is met regelgeving en de nationale veiligheid garandeert. Maar wat zijn
de fundamentele overwegingen voor het
ontwikkelen van zo’n strategie? De Zero
Trust-principes van Forrester Research
zijn om te beginnen nog steeds de basis:
vertrouw niemand, onderzoek en log alle
verkeer, en zorg voor veilige toegang tot
alle belangrijke assets in het datacenter.
De uitbreiding is dat vandaag het ‘campus’-netwerk als vlag de lading niet meer
dekt. Dezelfde focus en principes dienen
toegepast te worden op al het netwerk-
verkeer, ook het verkeer dat mobiel is
via mobiele gebruikers/toestellen en in
de ‘mobiele’ gevirtualiseerde datacenters (wat ook wel oost-westverkeer wordt
genoemd).
ALTERNATIEVE ROUTES
Verzuiling of netwerksegmentatie is een
essentieel onderdeel van Zero Trust en is
belangrijk om het bereik van een aanval
te beperken. Een van de unieke overwegingen voor cyberaanvallen is het
vaststellen van de wegen die aanvallers
bewandelen. Interne medewerkers leken
altijd de zwakste schakel te zijn in doelgerichte aanvallen, maar cyber-aanvallers kijken nu ook naar de ecosystemen
van partners en leveranciers voor alternatieve routes. Er is meer inspanning nodig
om toegang tot applicaties voor externe
gebruikers te beveiligen en te beheren.
APT’S
Ook moeten we het onderzoeken en
loggen van alle verkeer uitbreiden naar
doelgerichte, moderne en vaak onbekende malware. De term ‘geavanceerde
aanhoudende dreiging’ (Advanced Persistent Threat - APT) is een te eenvoudige uitleg van een meer uitgebreide,
multistage, multivector aanvalstrategie
die aanvallers nu gebruiken. Een nuance is dat APT eigenlijk eerder doelt op
‘georganiseerd’ en op de ‘hoofrolspelers’
in de actie dan ‘moderne malware’. ‘Persistency’ doelt ook op het feit dat de aanvallen vaak in heel onopvallende golfjes
gebeuren met als bedoeling zo lang mogelijk aanwezig te blijven in het netwerk
van het doelwit.
VERSNIPPERING
Nogmaals, de markt beweegt zich meer
richting versnipperde technologieën die
proberen deze aanvalscomponent via
virtuele sandbox-analyse aan te pakken.
Hierdoor wordt er vaak alleen naar een
heel klein gedeelte van de multistage
aanval gekeken, namelijk de initiële infectie. Feit is echter dat we eigenlijk moeten aanvaarden dat een infectie altijd zal
gebeuren, zelfs met sandbox-analyse in
actie.
‘ALTIJD AAN’
De realiteit is dus dat een robuuste cybersecurity-strategie een uitgebreide
aanpak voor malware nodig heeft, die
vergelijkbaar is met de life cycle-aanpak voor het infecteren van een netwerk,
die de aanvaller gebruikt. Dit houdt in:
alle verkeer en hoe malware zich verbergt (versleuteling, tunnels, ontwijkende tactieken) vaststellen, risicovolle applicaties en gebruikers controleren, en
het onbekende beheren bovenop de
virtuele sandbox-analyse, onafhankelijk van hoe het netwerk er fysiek uitziet
of hoe de gebruikers connecteren; met
andere woorden: een consistente ‘altijd
AAN’-cybersecurity-policy die het gehele ‘bedrijfsnetwerk’ afdekt. Het laatste
belangrijke punt is natuurlijk een robuust
systeem voor monitoring en rapportages, dat inzicht biedt in het netwerk en
proactieve acties mogelijk maakt als iets
verdachts is gevonden.
Al met al verschillen de bouwstenen voor
een robuuste cybersecurity-strategie niet
wezenlijk van de security-eisen voor een
traditionele onderneming. Sterker nog,
inzicht in de vereiste bedrijfsapplicaties
en het veilig activeren van deze toepassingen, inclusief de subfuncties, gerelateerd aan de juiste gebruikers, maken
het mogelijk een focus te leggen op het
beveiligen van wat toegelaten is. Deze
aanpak maakt het ook mogelijk terug te
grijpen op de ‘white list’ die niet meer
van toepassing was sinds de firewalls
(ook veel next-generation firewalls) als
basis de poorten moeten openzetten. Dit
is een aanpak die we ook voor 2014 moeten blijven hanteren.
Stijn Rommens, Manager Systems
Engineering Northern Europe,
Palo Alto Networks
36
MEDIARENA 12
1099 CZ DUIVENDRECHT
T 020-6971904
E [email protected]
I WWW.PALOALTONETWORKS.COM
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
37
EXPERTVISIE SOGETI
TRENDS IN SECURITY 2014
Zekerheid doet beter zakendoen
VEILIG
VOELEN OF
VEILIG ZIJN
Denk je aan Volvo, dan denk je aan veiligheid. En ongetwijfeld
spreek je dan van goede marketing. Tegelijkertijd is er meer aan
de hand. Volvo is ervan overtuigd, dat je geen concessies doet op
veiligheid van mensen wanneer je van a naar b rijdt. Ze innoveren
voortdurend in beveiliging waarmee rijden zonder zorgen wordt
gewaarborgd.
Dat zou ook voor de informatievoorziening van overheid en bedrijfsleven moeten gelden. Security in de genen van een
organisatie waarmee je meer en beter
zakendoet. Helaas is dat niet altijd het
geval. Nog steeds nemen veel organisaties beveiligingsmaatregelen omdat
het moet. Wet- en regelgeving verplicht
bedrijven en instellingen daartoe. Of het
is iets dat nog wel een keer aan de orde
komt. Of die andere afdeling gaat daar
wel voor zorgen. Maak het tastbaar en
concreet, is mijn advies. Veilige informatievoorziening is de mate waarin de belevingswereld overeenkomt met de realiteit. Alleen op basis van zekerheid, wil
je en kun je beter beslissingen nemen,
ofwel zakendoen.
Informatiebeveiliging is het middel waarmee je acteert op basis van feiten in
plaats van gevoel. Dat is een doorlopend
proces in een omgeving waar verandering de enige constante is. Ieder organisatie-asset doorloopt zijn eigen levenscyclus; bedenken, beschrijven, bouwen,
beoordelen, benutten, bewerken dan wel
beëindigen. In elke fase van deze levenscyclus kunnen gevoel en realiteit uiteen
lopen.
Ons advies is daarom het volgen van een
Secure Development Lifecycle. Daarmee
worden problemen direct opgelost waar
ze ontstaan. Op deze manier wordt informatiebeveiliging een integraal onderdeel
van de levenscyclus van bedrijfsactiviteiten. Hogere kwaliteit is het gevolg. En
producten of diensten gaan sneller de
markt op. ‘In één keer goed’ wordt werkelijkheid met een Secure Development
Lifecycle.
Helaas is de inzet van zo’n Secure Development Lifecycle niet altijd direct
toepasbaar. In situaties waar alles volledig up & running is, is teruggaan naar
eerdere ontwikkelfases geen optie. Voor
bestaande informatiesystemen worden
bedreigingen en zwakheden in kaart gebracht. Anders gezegd, applicaties worden getest op hun mate van veiligheid.
Uiteraard niet zonder eerst de waarde
van deze systemen te kennen. Op een
waardeloze oude fiets zet je natuurlijk
ook geen slot van 200 euro.
Voor minder kritische applicaties kun je
volstaan met een volledig geautomatiseerde test. Vergelijkbaar met de crash-
38
test van NCAP (New Car Assessment
Program). Specifieke tools signaleren
veel voorkomende situaties die als zwakheid worden aangemerkt. Een geautomatiseerde test is snel en herhaaldelijk
uit te voeren. Door patroonherkenning
krijg je gelijk inzicht in de zwakte van het
systeem.
Het risico van patroonherkenning is de
zogenaamde ‘false positive’. Er wordt
iets herkend zonder dat dit werkelijk een
bevinding is. Dan is het raadzaam een
handmatige check te doen op de uitkomsten. Dan weet je zeker of het al dan niet
werkelijke bevindingen zijn. En voorkom
je verspilling van tijd en geld om het probleem op te lossen. Hoe specifiek deze
test tooling ook is, het blijven generalistische tools voor het automatisch testen
van informatiesystemen. Ze snappen hoe
een applicatie werkt en communiceert,
maar in beide gevallen niet het hoe en
waarom. Zo maakt de tool bijvoorbeeld
geen onderscheid tussen een website en
een bedrijfsapplicatie.
Een handmatige gedegen test verdient
de voorkeur bij bedrijfskritische applicaties. De automatische test kan daarmee ook worden uitgebreid. Zo komen
afwijkende gevallen wel naar boven als
er geen sprake is van bekende patronen.
Het gaat uiteindelijk om het risiconiveau.
Is er sprake van verantwoord of onverantwoord risico? De gevonden zwakheid
kan dezelfde zijn. Echter, de impact van
dit risico kan per scenario enorm verschillen. Zo is er een groot verschil in
risico van een vergelijkbare zwakheid in
bijvoorbeeld een database van een grote
bank of eentje van uit te faseren boeken
in een bibliotheek.
Voor deze situaties is een pentest het
devies. Daarmee komen zwakheden in
scenario’s boven tafel. En op die manier
worden echte risico’s in kaart gebracht.
Uiteraard gebeurt dit vooral bij bedrijfskritische applicaties. Een gedegen risico-analyse is nodig om de juiste maatregelen te nemen.
Als eenmaal bestaande informatiesystemen volledig getest zijn op hun veiligheid, is het een goed moment om Secure Development Lifecycle toe te passen.
Dan kun je tenslotte proactief te werk
gaan. Niet anders dan Volvo. Als veiligheid in de genen van organisaties zit,
geeft dat overal en altijd de zekerheid dat
veiligheid gewaarborgd is.
Als deze security genen van toepassing
zijn, verbindt dat bovendien mensen en
afdelingen. Waar zaken veelal over de
spreekwoordelijke schutting van een
andere afdeling worden gegooid, ontstaat nu samenwerking. Gebaseerd op
gemeenschappelijke genen. Samen innoveren, horizon verbreden en nieuwe
ervaringen opdoen. Dat is evengoed van
toepassing voor de weg naar de cloud,
Big Data of de inzet van Bring Your Own
Device. Voor al deze thema’s geldt dat
security integraal onderdeel is, en zo een
bindende factor is voor deze technologische ontwikkelingen.
Gelukkig staat ‘security als enabler’ ofwel veiligheid die meer mogelijk maakt,
steeds hoger op de bedrijfsagenda. De
wil komt er wel omdat organisaties, net
als Volvo, ervan overtuigd zijn, dat beveiligingsacties werkelijk leiden tot meer en
beter zakendoen.
Marinus Kuivenhoven, Senior Security
consultant van Sogeti
LANGE DREEF 17
4131 NJ VIANEN
T 088 - 660 66 00
E [email protected]
I WWW.SOGETI.NL/SECURITY
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
39
EXPERTVISIE SOLCON
TRENDS IN SECURITY 2014
SAMENWERKING
SOLCON EN BIT BIEDT
DATACENTERKLANTEN VEILIGHEID
Geografische scheiding en juridische
zekerheid verhogen business continuïteit
BIT en Solcon, beide internet service providers voor zakelijke gebruikers, bieden klanten de mogelijkheid om vanuit twee juridisch
gescheiden datacenters dezelfde colocatie-diensten af te nemen.
Klanten van één van beide partijen zullen in geval van een calamiteit of een andere uitzonderlijke situatie zoals een natuurramp of
faillissement geen hinder ondervinden omdat hun data beschikbaar is vanuit twee verschillende datacenters.
“Solcon en BIT bieden met deze samenwerking hun klanten en prospects een
fysiek gescheiden infrastructuur, grotere
geografische spreiding en nu dus meer
juridische zekerheid vergeleken met andere datacenters”, zegt Stijn Grove. Hij is
als expert datacenters werkzaam bij Solcon. “Beide datacenters beschikken over
het ISO 27001-certificaat, de hoogste
internationale standaard voor informatiebeveiliging.”
HOE HET IN DE PRAKTIJK WERKT
Een afnemer van colocatie-diensten sluit
twee contracten, één met BIT en één met
Solcon. Het gebruik van de ethernetverbinding tussen Apeldoorn (datacenter Solcon) en Ede (datacenter BIT) is onderdeel van het contract en kost de klant
niets. Grove: “Zo is voor alle partijen duidelijkheid over kosten en zekerheden.
De juridische componenten in de overeenkomst zijn hierbij uitstekend geregeld, zowel voor toekomstige als huidige
klanten. Zij profiteren van betere service
en dienstverlening via één centraal aanspreekpunt, zonder het combineren van
contracten, SLA’s of raamovereenkomsten.” Transparantie en onafhankelijkheid
OVER SOLCON
Solcon is ruim 16 jaar een zelfstandige, onafhankelijke en 100 procent Nederlandse internet service provider.
Het zakelijk dienstenportfolio loopt
uiteen van DSL en glasvezel tot VoIP
en hosting. Solcon heeft twee eigen
datacenters. Eén in Dronten en één in
Apeldoorn. De service is persoonlijk
en de tarieven zijn transparant. Ruim
15.000 bedrijven kiezen voor Solcon,
waaronder Ballast Nedam, Workx Materieelverhuur en HIER mode. Naast
ondernemers bedient Solcon ook
particulieren. Solcon is door de Consumentenbond uitgeroepen tot beste
landelijke provider 2012 en verwacht
deze titel in 2013 te prolongeren.
40
Solcon en BIT zijn beide lid van de Dutch
Hosting Provider Association (DHPA).
Eén van de kernwaarden van de DHPA is
transparantie en het verlagen van drempels om zaken te doen met hosting-partijen. BIT en Solcon nemen met deze samenwerking het initiatief om fysieke en
juridische drempels weg te nemen en
daarbij de onafhankelijkheid te waarborgen. Het feit dat beide partijen in een
concurrerende hosting-markt met elkaar
samenwerken, bevestigt de bestaande
vertrouwensband. Daarnaast benadrukt
deze samenwerking de klantgerichtheid
van beide ISP’s.
Grove: “BIT en Solcon lijken erg op elkaar. We zijn allebei 100 procent Nederlands en onafhankelijk. Ook de manier
waarop onze medewerkers met klanten
omgaan en de bedrijfscultuur is vergelijkbaar. No nonsens-cultuur en luisteren
naar de klant zijn op ons lijf geschreven.”
Alex Bik, technisch directeur van BIT:
“Eigenlijk zou je deze samenwerking
moeten zien als ‘Disaster Recovery Nieuwe Stijl’. Niet alle bedrijven beschikken
over een uitwijklocatie en vaak niet in de
laatste plaats vanwege de kosten. Dankzij deze samenwerking bieden we onze
klanten zowel een hoge beschikbaarheid
als continuïteit. Een combinatie die veel
bedrijven zal aanspreken.”
Hans Vandam is journalist
HET SPAARNE 11
8253 PE DRONTEN
T 088 003 25 25
E [email protected]
I WWW.SOLCON.NL/ZAKELIJK
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
41
EXPERTVISIE TREND MICRO
TRENDS IN SECURITY 2014
VOORUITKIJKEN
IS ESSENTIEEL OM DE DIGITALE
WERELD VEILIGER TE MAKEN
Toen onze CEO Eva Chen vijfentwintig jaar geleden Trend
Micro oprichtte, stond het internet nog in de kinderschoenen. Social-networking gebeurde vooral face-to-face en de krachtigste
desktopcomputer was 50 keer minder krachtig dan een iPhone.
In de afgelopen vijfentwintig jaar is er veel veranderd. De snelheid
en efficiëntie van de dagelijkse werkzaamheden is verbeterd en
(grensoverschrijdend) samenwerken wordt steeds gemakkelijker
doordat gegevens altijd en overal beschikbaar zijn. Toch heeft
deze ontwikkeling ook een keerzijde.
SAMENWERKING
EUROPOL: PROJECT 2020
Een van onze meest recente projecten,
project 2020, voerden we samen met
Europol uit. We deden samen met hen
onderzoek naar cybercrime in 2020.
Waar cloud-gebaseerde technologie
eerst fictie leek, is het inmiddels niet
meer weg te denken uit ons dagelijks
leven. Omdat deze trend zich steeds
verder ontwikkelt, zal bijna al onze
data en persoonlijke gegevens naar
verwachting over een aantal jaren in
de cloud staan. Wat betekent dit echter
voor onze privacy en onze eigen identiteit? Scan de QR-code of bekijk de
film op 2020.trendmicro.com en neem
een kijkje in de toekomst.
Bedrijven in Nederland verliezen miljoenen door cybercrime. DDOS-aanvallen
leggen systemen plat en door in te breken stelen cybercriminelen waardevolle
bedrijfsinformatie. Niet voor niets geeft
Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof aan dat
digitale spionage en cybercriminaliteit
op dit moment de grootste bedreigingen
zijn voor het bedrijfsleven en de overheid. Hij betoogt dat cybersecurity op
korte termijn op orde moet worden gebracht wanneer Nederland economisch
een topspeler wil blijven. Niet pas in
2020, maar nu meteen. Veiligheid en economie zijn tegenwoordig meer dan vroe-
ger onlosmakelijk met elkaar verbonden.
Vroeger zorgde beveiligingstechnologie
er vooral voor dat u gewaarschuwd werd
op het moment dat er iets verdachts gebeurde op uw computer. Dit resulteerde
in een enorme lading waarschuwingen. U
kon veilig het internet op als de firewall
of anti-malware software vertelde dat de
computer ‘clean’ was. Tegenwoordig is
deze inmiddels ouderwetse benadering
van beveiliging één van de factoren die
momenteel bijdraagt aan het succes van
gerichte cyberaanvallen over de hele
wereld. De oplossing ligt in een veilige
en intelligente aanpak van beveiliging.
Wij zien drie belangrijke pijlers als het
gaat om beveiliging:
1. Geavanceerde gerichte aanval
De grootste bedreiging van tegenwoordig is de gerichte cyberaanval, ook wel
Advanced Persistent Threat (APT) genoemd. Vier op de tien Nederlandse
bedrijven is al eens bewust slachtoffer
geworden van een cyberaanval, blijkt
uit onderzoek onder 500 Nederlandse
bedrijven. Waarschijnlijk ligt dit aantal in
werkelijkheid nog eens vele malen hoger
omdat veel cyberaanvallen niet worden
gesignaleerd en geen direct zichtbare
gevolgen hebben. Onze verwachting is
dat het aantal cyberaanvallen blijft toenemen. Veel Nederlandse bedrijven zien
hierin nog niet het gevaar voor hun eigen
organisatie. 80 procent van de Nederlandse bedrijven geeft aan dat ze weinig
tot geen gevaar zien in cyberaanvallen
gericht tegen hun organisatie.
2. Mobiliteit
Mobiele devices zijn een relatief gemakkelijk en aantrekkelijk doelwit voor
cybercriminelen. Er staat veel meer informatie op uw telefoon en die van uw
medewerkers dan op uw computer:
er worden sms’en verstuurd, telefoontjes gepleegd, de locatiegegevens zijn
beschikbaar en er zit een camera op.
Doordat minder dan 10 procent van de
smartphone-gebruikers beveiligingssoftware op hun telefoon heeft geïnstalleerd,
maakt het daarnaast ook makkelijk voor
cybercriminelen om toegang te krijgen
tot deze informatie.
Naast het feit dat bijna niemand beveiligingssoftware op zijn telefoon of tablet
heeft staan, is de software van een mobiele telefoon ook nog eens kwetsbaar
en bevat het veel fouten. Elke vorm van
software is opgebouwd uit regels die
handmatig zijn ingevoerd. Statistisch
gezien zitten er in elke duizend regels
gemiddeld 2 fouten. Dat betekent dat
software dus nooit 100% goed is. Criminelen kennen deze feiten en cijfers ook
en maken hier handig gebruik van. Zo
heeft een smartphone 11 miljoen regels
en dus een enorme hoeveelheid fouten
die criminelen toegang kunnen geven tot
de telefoon.
3. Cloud en het datacenter
Dat we steeds mobieler gaan werken
42
heeft grote gevolgen voor data. De toegenomen mobiliteit vereist dat data altijd en overal beschikbaar moeten zijn.
Virtualisatie van servers en gateways
biedt een goede oplossing. Wereldwijd
worden er inmiddels al meer virtuele
dan fysieke servers gebruikt. Gartner
voorspelt dat al over enkele jaren meer
dan 70 procent van alle server-activiteiten gevirtualiseerd zullen zijn. De crisis
versnelt dit proces volgens Gartner. Dit
betekent namelijk dat er minder personeel werkzaam is in het bedrijf (en dus
minder knowhow) en de druk op budgetten toeneemt.
NETWERKEN VIRTUALISEREN
De toekomst van werken in de cloud ligt
in het virtualiseren van meer dan alleen
desktops. Bedrijven zoals VMware maken hier grote stappen in en zijn op weg
om bijvoorbeeld netwerken te virtualiseren. Dit betekent dat bedrijven een
enorme flexibiliteit krijgen als het gaat
om hun netwerk. Dit betekent ook dat
uw beveiliging hierop voorbereid moet
zijn. Data staat hierin centraal. Welke data
moet voor wie toegankelijk zijn? Wellicht
ligt de oplossing voor uw bedrijf in een
fysieke scheiding van de zakelijke en
privé-omgeving. Met het datacenter als
centrale punt voor alle data.
VOORUIT KIJKEN:
CYBERCRIME IN 2020
De kracht van Eva Chen, oprichter en
CEO van Trend Micro, is haar vermogen
om vooruit te kijken en vijfentwintig jaar
geleden al in te spelen op de nieuwe,
‘connected’ wereld waar we vandaag de
dag in leven. Zo groeiden we uit van een
bedrijf met drie medewerkers, naar een
organisatie met 4000 medewerkers over
de hele wereld, inclusief 1200 threat-experts. Dit vermogen om vooruit te kijken
zit nog steeds in ons DNA en vormt de
basis om ons elke dag opnieuw in te zetten voor een wereld waarin digitale informatie veilig kan worden uitgewisseld.
Tony Roelofs is Country Manager
Nederland bij Trend Micro
LANGE DREEF 13 H
4131 NJ VIANEN
T 0347 - 35 84 30
E [email protected]
I WWW.TRENDMIKRO.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
43
EXPERTVISIE T-SYSTEMS
TRENDS IN SECURITY 2014
‘MERKEL-TELEFOON’
IS INNOVATIEF EN ZEER VEILIG
Tegenwoordig bezit een aanzienlijk deel van de Nederlandse bevolking een smartphone of een tablet. Hoewel consumenten en
bedrijven zich wel zorgen maken over de veiligheid van hun toestel in het geval dat deze gestolen wordt, en hiervoor bijvoorbeeld
de app ‘Find my iPhone’ aanschaffen, is er nog te weinig kennis
over de daadwerkelijke dreigingen. Smartphones en tablets zijn
juist het meest kwetsbaar als zij nog gewoon in het bezit zijn van
de gebruiker. De SiMKo 3 smartphone van Deutsche Telekom is
daarop voorbereid.
Onlangs meldde RTL Nieuws dat zij het
voor elkaar hadden gekregen om de telefoon van minister Ronald Plasterk vanaf
afstand te laten blokkeren. Blijkbaar is het
mogelijk om ieder willekeurige mobiele
telefoon van de provider Vodafone te laten blokkeren, ongeacht of je hiervan de
eigenaar bent of niet. Een wachtwoord of
controlevraag vond Vodafone maar onhandig voor als ze de telefoon bij diefstal
moesten blokkeren. Geen fijn idee. Zeker
niet als je beseft dat klanten van Vodafone
twee jaar geleden al werden geconfronteerd met het feit dat voicemails eenvoudig te kraken waren. Hackers, maar in dit
geval ook gewoon redacteuren van Een
Vandaag, kunnen op deze manier achter
zeer persoonlijke informatie komen.
PROVIDER IS DOELWIT
Lekken en beveiligingsgaten bij providers zorgen in toenemende mate voor
extreem lastig oplosbare problemen.
Want cybercriminelen hacken al lang niet
meer alleen financiële instanties, grote
multinationals en energieleveranciers.
Het is juist de provider die erop moet letten dat criminele organisaties geen weg
De zeer veilige SiMKo 3 smartphone is
per direct beschikbaar en kost 1.700
euro in combinatie met een tweejarig
abonnement. Deutsche Telekom werkt
inmiddels aan een SiMKo-productreeks die ook geschikt is voor tablets
en laptops. Een SiMKo 3-variant die
ondersteuning biedt voor de snelle
LTE-draadloze standaard is op korte
termijn beschikbaar.
44
weten te vinden naar zijn mobiele apparaten. En providers vormen inmiddels
een belangrijk doelwit. Nog niet zo lang
geleden publiceerde een hacker alle
gestolen klantgegevens van KPN online.
Dan is het niet de gebruiker die gehackt
is, maar hij is wel de dupe.
Echter ontkomt de gebruiker er zelf ook
niet meer aan. IT-experts van Telekom
registreerden in 2012 maar liefst 30.000
aanvallen per maand op mobiele netwerken. De voorkeur ging daarbij uit naar
aanvallen via mobiele apparaten. Hackers worden dan ook met de dag systematischer in de methode die ze hanteren. In plaats van alleen te kijken naar
de zwakke punten van smartphones en
tablets – zoals vroeger gebruikelijk was
– proberen hackers tegenwoordig volledige adresboeken via mobiele apparaten
uit te lezen. De hacker doet dit om data te
stelen of om malware te installeren en het
apparaat te misbruiken zonder dat het
wordt opgemerkt. Bijvoorbeeld voor het
verzenden van spam mails.
“MERKEL-TELEFOON”
De Duitse telecomprovider Deutsche Telekom heeft besloten dat het tijd is voor
een nieuw soort smartphone: een tele-
foon die zó veilig is, dat de gebruiker niet
langer het slachtoffer kan worden van cybercriminelen die het voorzien hebben
op hun persoonlijke data. Aangezien de
Duitse bondskanselier Angela Merkel
deze telefoon gebruikt, wordt de SiMKo 3
smartphone ook wel de “Merkel-telefoon
genoemd.
SiMKo 3 security smartphone heeft met
succes diverse testen van het Duitse federale bureau voor informatiebeveiliging
(BSI) doorstaan. Hierdoor behaalde de
telecomprovider officieel het beveiligingsniveau VS-NfD. Dit houdt in dat de
smartphone zeer veilig is voor zakelijk
gebruik met geclassificeerde informatie. Met name voor leden van de federale
overheid en werknemers van ministeries
is dat zeer essentieel. Zij kunnen nu als
eerste groep een mobiel apparaat gebruiken, dat de nieuwe en zeer veilige
L4-microkernel inzet als besturingssysteem voor het versturen van geclassificeerde informatie.
L4-KERNEL EN SAMSUNG
De geavanceerde beveiligingstechnologie L4 wordt direct geactiveerd zodra
de gebruiker de smartphone inschakelt
en neemt vanaf het eerste moment de
controle over het apparaat over. Het staat
dan ook alleen acties toe die het systeem
als ‘veilig’ beschouwt. Daarnaast maakt
de L4-kernel het mogelijk om op de
smartphone zowel gebruik te maken van
een beveiligd als een open besturingssysteem. Dit kan de gebruiker razendsnel inschakelen door te ‘swipen’: het
van links naar rechts – of van boven naar
beneden – vegen met de vinger op het
beeldscherm van het mobiele apparaat.
Hiermee schrijf je binnen het beveiligde
systeem bijvoorbeeld vertrouwelijke berichten en rapporten, en binnen het open
systeem houd je social media bij of plan
je een volgende auto- of treinreis.
De L4-kernel zorgt er dus voor dat de gebruiker twee aparte besturingssystemen
kan laten draaien op één apparaat. Het
isoleert de data van het open systeem
van de data uit het beveiligde systeem
op een aanzienlijk hoog niveau. Op deze
manier kan de gebruiker het zakelijke
gebruik strikt scheiden van zijn privégebruik. De implementatie van de L4-kernel is bovendien mogelijk gemaakt door
een nauwe samenwerking met developers van Samsung en de SiMKo 3 is dan
ook gebaseerd op de Samsung Galaxy
S3. Klanten die hoge eisen stellen aan de
beveiliging, zoals overheidsfunctionarissen, maar ook de publieke sector en de
industrie, kunnen nu gebruikmaken van
één van de meest beveiligde smartphones die er bestaan.
GEËNCRYPTE
TELEFOONGESPREKKEN
Naast de beveiliging van gebruikelijke onderdelen, maakt de SiMKo 3 in de
toekomst ook versleutelde telefoongesprekken via ‘Voice over IP’ mogelijk. De
smartphone beschermt deze gesprekken door het toepassen van geavanceerde encryptiemethodes. De Duitse overheid rondt daarnaast de ontwikkeling
van de Secure Multi-Network Voice Communication standaard (SNS-standaard)
in de komende maanden af. Dit houdt
in dat ook de versleutelde gesprekken
aan deze standaard zullen voldoen. Een
speciale cryptocard voorziet de telefoon
tevens van professionele authenticatie.
Hiermee is alle data versleuteld en alleen
zichtbaar als de gebruiker is herkend. Bij
verlies of diefstal kan een andere gebruiker nooit bij de persoonlijke data van de
oorspronkelijke eigenaar. Tot slot is het
voor de eigenaar mogelijk om persoonlijke content van de smartphone vanaf een
afstand te wissen.
Bescherming en veiligheid van persoonlijke eigendommen, met name van
mobiele apparaten als smartphones en
tablets, is belangrijker dan ooit. Er liggen zelfs onzichtbare tegenstanders op
de loer om gebruik te maken van gaten
in de systemen. Met de SiMKo 3 brengt
Deutsche Telekom samen met Samsung
een smartphone met de best denkbare
security-aspecten op de markt. Hackers,
dieven of andere partijen hebben nu
geen kans meer om in te breken, data te
stelen of het apparaat vanaf afstand over
te nemen. De SiMKo 3 is op alles voorbereid.
Patrick de Goede van Eijk, Solution Manager Security & Enterprise Architect bij
T-Systems Nederland
LAGE BIEZENWEG 3
4131 LV VIANEN
T 088 - 44 77 777
E [email protected]
I WWW.T-SYSTEMS.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
45
EXPERTVISIE WATCHGUARD
TRENDS IN SECURITY 2014
BIG
DATA
GEEFT UITSTEKEND
INZICHT IN
STATUS SECURITY
De hoeveelheid informatie die technische security-maatregelen
voortbrengen, is zo groot dat veel beveiligingsdeskundigen zo
langzamerhand door de bomen het bos niet meer zien.
WatchGuard heeft onlangs een op Big Data-technologie gebaseerde oplossing gelanceerd die security-experts helpt om zeer snel
inzicht te krijgen in al deze gegevens: WatchGuard Dimension.
Onlangs werden wij als WatchGuard benaderd door een security officer met het
verzoek te komen praten. De firma waarvoor deze man werkzaam is, zat met een
serieus security-issue, maar hij had grote
moeite om het probleem onder controle
te krijgen. Eenmaal aan tafel, bleek de
situatie zeer herkenbaar. Bij toeval had
een van de systeembeheerders van het
bedrijf ontdekt dat cybercriminelen toegang hadden weten te krijgen tot een van
de netwerken van het bedrijf. Stap voor
stap hadden de criminelen zichzelf naar
binnen gewerkt, waardoor tal van appli-
‘PROVIDE BETTER VISIBILITY AND
MANAGEABILITY ACROSS NETWORK
SECURITY TOOLS’
caties en databases binnen hun bereik
waren gekomen. Hoe groot de schade
precies was, werd op dat momenteel uitgezocht.
NIET OPGEVALLEN
Wat deze security officer echter de
meeste zorgen baarde, was de ontdekking dat de cybercriminelen al maanden
toegang bleken te hebben. Een van de
beheerders van deze firma was diep in
de log files van allerlei systemen gedoken en had ontdekt dat misschien nog
wel het grootste probleem was dat in die
logbestanden al maanden lang te zien
was dat er - zeg maar - ‘rare dingen’ gebeurden. Het was alleen nooit iemand
opgevallen. Niet dat er geen alerts waren
uitgestuurd, maar in de enorme stroom
aan meldingen die de redelijk uitgebreide security-aanpak van dit bedrijf dagelijks voortbrengt, waren de alerts simpelweg niemand opgevallen.
Een zeer herkenbaar probleem, zo
schreef analist en marktonderzoeker
Frank Dickson van Frost & Sullivan onlangs in een publicatie getiteld ‘The Market Has Spoken: Provide Better Visibility
and Manageability across Network Security Tools’. Zowel bedrijven, overheden
als individuele burgers zijn in belangrijke
mate afhankelijk geworden van het internet voor informatie, commerce, transacties, vrijetijdsbesteding, onderlinge
contacten en nog veel meer. Maar deze
nieuwe wereld vol rijke en dynamische
communicatiekanalen heeft ook een grote hoeveelheid nieuwe bedreigingen met
zich meegebracht.
Voor cybercriminelen vormen deze internet-kanalen een uitgelezen kans.
Het is logisch dat bedrijven en overheids-
46
organisaties meer en meer technische
maatregelen nemen om bedreigingen
het hoofd te bieden. Denk aan anti-virus, web content security, email content
security, intrusion prevention, data loss
prevention, identificatie en afwering van
DDoS-aanvallen, statefull inspection,
next-generation context aware firewalls
en nog veel meer.
NUTTIGE MAATREGELEN
Dit zijn stuk voor stuk zeer nuttige maatregelen die - indien goed toegepast - een
belangrijke bijdrage leveren aan het buiten de deur houden van ongenode gasten. Een lastig probleem is echter dat het
bij al deze maatregelen om zogeheten
‘point solutions’ gaat. Deze werken niet
samen, waardoor de grote hoeveelheden
data die al deze technische systemen
voortbrengen los van elkaar vastgelegd
en geanalyseerd moeten worden. Het is
echter erg lastig om de data van twee of
meer van dit soort point solutions met
elkaar te relateren. En juist dat is van
cruciaal belang om het gewenste security-niveau te kunnen handhaven: we moeten niet alleen naar individuele statusinfo
kijken, maar juist naar situaties waarbij
bepaalde data van het ene security-systeem in combinatie met gegevens uit de
log files van een ander apparaat samen
tot een verdachte situatie leiden.
Wat we dus in feite nodig hebben, is
wat Dickson van Frost & Sullivan noemt:
‘richer tools to manage across security
technologies’. WatchGuard heeft als een
van de eerste security-aanbieders hiervoor een nieuwe generatie software-tools
ontwikkeld. Het gaat om WatchGuard
Dimension, een oplossing die misschien
nog wel het meeste lijkt op ‘Big data voor
security’. Officieel noemen wij deze op-
HET DRAAIT ALLEMAAL
OM HET VERZAMELEN VAN GROTE
HOEVEELHEDEN SECURITY-DATA
lossing een ‘network security visibility
solution’. WatchGuard Dimension wordt
standaard meegeleverd met het Unified
Threat Management-platform van WatchGuard en is eenvoudig te installeren.
WATCHGUARD DIMENSION
WatchGuard Dimension kent een interface waarmee security-experts via een
digitale kaart of een dashboard een overzicht hebben van de beveiligingssituatie
in de IT-omgeving waarvoor zij verantwoordelijk zijn. Hierin ziet men met één
oogopslag waar zich bepaalde dreigingen voordoen. Gaat het ‘threat level’ op
een specifieke locatie of in een bepaalde
IT-omgeving over een bepaalde grens,
dan kan onmiddellijk door middel van
‘down drill’-technieken bekeken worden
om welke IP-adressen het gaat, om welk
type aanvallen het gaat, wat de status van
alle betrokken security-apparatuur is en
dergelijke.
Hierbij wordt gebruikgemaakt van enerzijds de enorme hoeveelheid data die
security-systemen voortbrengen en anderzijds slimme filtertechnieken. Deze
laatste noemen wij FireWatch-filters.
Deze hebben tot taak de enorme stroom
aan data te analyseren. Hiermee kunnen
zeer snel antwoorden worden verkregen
op vragen als wie gebruikt de meeste
bandbreedte, waar doen zich ongebruikelijke patronen in het dataverkeer voor,
wat zijn de meest populaire websites die
bezocht worden, welke applicaties wor-
den het meeste gebruikt, welke applicaties gebruiken de meeste bandbreedte,
doen zich hier afwijkingen in voor en
dergelijke.
Bij WatchGuard Dimension draait het
allemaal om het verzamelen van grote hoeveelheden security-data, om hier
vervolgens patronen in te ontdekken.
Vandaar die eerdere typering: Big Data.
WatchGuard Dimension maakt maximaal
gebruik van Big Data Analytics om razendsnel analyses op al die data te kunnen uitvoeren en hierover te rapporteren
in de vorm van dashboards of bijvoorbeeld digitale kaarten. Bovendien hebben we veel aandacht besteed aan de
mogelijkheid om over de stand van zaken te rapporteren. Dat is erg nuttig voor
interne rapportages, maar natuurlijk ook
voor het geval er juridische maatregelen
nodig zijn.
Etiënne van der Woude is Regional Sales
Manager Benelux bij WatchGuard
PARKSTRAAT 83
2514 JG DEN HAAG
T 070 - 711 20 80
E [email protected]
I WWW.WATCHGUARD.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
47
EXPERTVISIE WIBU SYSTEMS
TRENDS IN SECURITY 2014
Data en software afzonderlijk beveiligd met encryptie
GHANEZEN
STEMMEN VIA
BIOMETRISCHE IDENTIFICATIE
Biometrische identificatie lijkt de oplossing van een probleem
waarmee veel mensen in onze digitale samenleving worstelen:
het onthouden van de toegangscodes tot informatiesystemen.
Van de partijen die met biometrische identificatie experimenteren,
heeft GenKey al ervaring opgedaan met de grootschalige toepassingen. Volledige afscherming van de biometrische gegevens tegen ongeoorloofd gebruik vormt de sleutel voor het succes van
het Eindhovense bedrijf op het Afrikaanse continent.
Jonge democratieën zoals Ghana worstelen met de methodiek om de verkiezingen voor locale en landelijke bestuurders
toch vooral eerlijk te laten verlopen. De
registratie van stemgerechtigden is nog
niet op orde. Daar gaan enige jaren overheen. Om na te gaan of iemand stemgerechtigd is, hanteren de autoriteiten in het
Afrikaanse land naast een register met
namen ook een bestand met correspon-
REMEDIE TEGEN
MEDISCHE FRAUDE
Fraudepreventie wordt in Afrika gekoppeld aan biometrische identificatie.
GenKey levert voor ziekenhuizen een
biometrische oplossing die het stelen
van iemands medische identiteit moet
tegengaan. Aan een pas met pasfoto
en biometrische informatie ter identificatie van een patiënt hebben we in Nederland nog geen behoefte. Doch, het
bedrijf promoot het systeem ook als
methode ter preventie van claimfraude. Abusievelijk foute dan wel vervalste declaraties zijn door zorgverleners
lastiger te maken na een automatische
controle op de biometrische database.
Aan de hand van de door de paslezer
ingescande data is vast te stellen of
een patiënt een onderzoek heeft ondergaan. Iets voor Minister Schippers
om over na te denken.
48
derende vingerafdrukken. Door hierop
een ontdubbelalgoritme los te laten, is
het democratische principe van stemmen gegarandeerd: één stem voor één
kiesgerechtigde.
De vijftien miljoen kiezers in Ghana kunnen hun stemrecht laten verifiëren via de
ruim 26 duizend biometrische meetapparaten die GenKey aan het land heeft
geleverd. Daarnaast leverden de Eindhovenaren de technologie om snel biometrische gegevens te vergelijken en te
matchen (per seconde ongeveer honderd miljoen vingerafdrukvergelijkingen
op een enkele processor) met die in de
databases waarin biometrische gege-
vens veilig zijn opgeslagen. Het systeem
zorgt ervoor dat de grote hoeveelheid
variabelen in biometrische data zijn te
vatten in vectoren. Van een vector wordt
de stabiele informatie versleuteld, terwijl
gescheiden daarvan de variabele data
(ruis) ongecodeerd de database ingaat.
Het matchingproces vraagt om beide datacomponenten. De bij verificatie verkregen nieuwe meetwaarden worden geprojecteerd tegen de opgeslagen ruis. De
operationele database bevat dus feitelijk
geen onversleutelde biometrische data.
BESCHERMING TEGEN
ILLEGAAL KOPIËREN
Naast de biometrische gegevens beveiligt GenKey ook zijn software voor het
aansturen van het verificatie- en matchingproces. In de ontwikkeling van de
software zit meer dan vijftig manjaar aan
werk. Alle reden om de programmatuur
tegen illegaal kopiëren te beschermen.
GenKey maakt daarvoor gebruik van
Codemeter van Wibu-Systems. Met Codemeter zijn beveiligingtoepassingen en
softwaresleutels te maken zonder dat er
iets aan de broncode van een bestaan-
de applicatie moet wijzigen. Codemeter
encrypt per GenKey-verificatieapparaat
de broncode van de ingebouwde software en combineert die met de licentierechten, vastgelegd in een bestand. Het
opstarten activeert een routine die via
een digitale handtekening nagaat of het
OPENID CONTROLEERT
OP LEEFTIJD
Elektronische identiteitsystemen kunnen straks controleren op leeftijd. Dat is
één van de resultaten uit het researchproject “eID Connect”, geleid door
het Duitse Ministerie van Economie
en Technologie. Het project voegt veiligheid en bruik­baarheid toe aan alle
op OpenID gebaseerde web-services.
Het FZI Research Center voor computerwetenschappen heeft tezamen met
CAS Software AG, fun communication
GmbH en WIBU-SYSTEMS AG een
eerste prototype uitgebracht van een
complete infrastructuur, gebaseerd
op de OpenID-standaard. Deze architectuur, uitgebreid beschreven op
www.eid-connect.de, wordt als SaaS
(software as a service) aangeboden.
apparaat echt is en of het voldoet aan de
licentierechten. Ook kenmerken van de
hardware zoals processornummer zijn
vast te leggen en te controleren.
Wibu-Systems is ruim 20 jaar geleden
in Duitsland gestart met het maken van
dongles voor ontwikkelaars van standaardsoftware en machinebouwers. Die
leverden deze mee aan hun klanten voor
het activeren van de features. Inmiddels
kan één dongle een drieledige functie
hebben: ’token’ voor authenticatie en
validering van digitale ingaven; dongle
voor de beveiliging van offline software;
geheugenopslag voor beveiligde software op flash memory. Wibu levert tevens de interface software (API) voor het
versleutelen van beveiligde berichten via
128 bits AES, 224 bits ECC of 1024 bits
RSA versleutelingalgoritmen.
Voor GenKey was beveiliging met dongles bij de Ghanese verkiezingen geen
optie, gelet op het grote aantal verificatieapparaten in omloop. De Nederlandse
Wibu vestiging in Hengelo levert ze in
uiteenlopende uitvoeringen van een extreem kleine USB stick tot aan PC Cards
bij diverse aansprekende projecten. Zo
voorziet het Productschap VIS de zeevisserij ermee om de herkomst en de
content van de verplichte EU-vangstrapportages te waarborgen. De Delftse
softwareleverancier Plaxis gebruikt de
dongles om zijn unieke applicatie voor
grondmechanische modellering te beschermen. Bijzonder is de koppeling die
Wibu heeft gemaakt tussen het centrale
licentiebeheersysteem van Plaxis en hun
Salesforce.com cloudtoepassing, waarin de registratie van en de (autorisatie)
contacten met de klanten verlopen. In
feite leent de Wibu-technologie zich uitstekend voor het registeren van het gebruik van software in een Cloud-toepassing; alleen de houders van een dongle of
applicaties met CodeMeter-indentificatie
hebben toegang tot specifieke webtoepassing.
Frans van der Geest
ADAM SMITHSTRAAT 33
7559 SW HENGELO
T 074 – 750 14 95
E [email protected]
I WWW.WIBU.COM/NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
49
EXPERTVISIE ZYXEL
TRENDS IN SECURITY 2014
Het gaat om de combinatie
NIEUWE ETHERNET
TECHNOLOGIE
CRUCIAAL VOOR VEILIG
DRAADLOOS NETWERK
Steeds meer organisaties schakelen over op een volledig draadloos netwerk, onder andere voor het ondersteunen van een Bring
Your Own Device (BYOD) beleid. Dat betekent dat ze nieuwe
vaste, draadloze en beveiligde netwerkoplossingen in huis moeten halen. Zo kunnen vaste medewerkers en bezoekers met hun
devices optimaal gebruikmaken van internetverbindingen. Maar
het beveiligen van een dergelijk draadloos netwerk is geen sinecure, aldus Tonko de Wit, marketing manager van ZyXEL dat netwerk infrastructuur oplossingen levert. Er komen veel zaken bij
kijken waar IT-afdelingen rekening mee moeten houden, zoals het
opzetten van beveiligingsregels en het benutten van moderne netwerktechnologie die er voor zorgt dat er een hoge performance
wordt geleverd.
Steeds meer organisaties willen hun
werknemers, klanten en partners tevreden houden met een WiFi. Dat geldt niet
alleen op kantoor, maar ook in hotels, restaurants, benzinestations, concertzalen en
festivals. Volgens Tonko de Wit moet elk
wireless netwerk proactief beveiligd zijn
indien het BYOD wil ondersteunen. “Bij
BYOD heb je te maken met het feit dat het
persoonlijke device van een werknemer
niet altijd even goed tegen malware en
andere gevaren is beveiligd als een apparaat van het bedrijf. Je moet dus de beveiliging van je wireless netwerk op een
hoog niveau zetten. Je kan dat doen door
bijvoorbeeld antivirus in wireless access
points toe te passen die de verbindingen
met devices permanent controleren, zodat bedreigingen op het BYOD apparaat
direct worden gevonden en geneutraliseerd. Het netwerk wordt dus veiliger als
niet alleen een pc, tablet of smartphone
maar ook een wireless controller uitge50
‘STEEDS MEER GEBRUIKERS HEBBEN DATA-INTENSIEVE
APPLICATIES OP HUN TABLETS. DAARDOOR HEB JE EEN
STEVIGE EN VEILIGE BACKBONE NODIG’
rust is met antivirus. Verder kan je met
netwerkbeheertaken er voor zorgen dat
gebruikers van een BYOD device geen
groot gevaar vormen voor bedrijfsbestanden. Je kan een BYOD-gebruiker bijvoorbeeld alleen toegang geven tot het
internet, maar niet tot servers of bestanden van een bedrijf.”
10GIG
Het WiFi netwerk binnen een organisatie
moet niet alleen veilig zijn maar ook beschikbaar zijn waarbij gebruikers altijd
snel gebruik kunnen maken van hun internet en apps. De Wit: “Veel organisaties
kiezen voor een nieuw wireless netwerk
in combinatie met een bestaande 10/100
ethernet netwerk. Dat verhoogt de kans
op performance problemen. Nieuwe
managed, unmanaged en smart switches, wlan-controllers, access points en
unified threat management (UTM) appliances zorgen voor een veiliger netwerk
met een hoge performance. Zo kunnen
organisaties beter overschakelen naar
een 10gigabit ethernet switch die er voor
zorgt dat hun wlan-omgeving optimaal
functioneert. Performance is belangrijk,
daarom zijn 10gigabit ethernet switches
belangrijk. Steeds meer gebruikers hebben data-intensieve applicaties op hun tablets. Daardoor heb je een stevige backbone nodig, anders creëer je bottlenecks.
10gigabit zorgt dat de datastroom goed
loopt. Een 10gigabit netwerk voorkomt
performance issues, zeker in omgevingen waar sprake is van servervirtualisatie met bijvoorbeeld VMware of Microsoft
Hyper-V. dat heb je een gegarandeerde
bandbreedte nodig. 10gigabit ethernet
switches zijn dus belangrijk voor een bedrijfsinfrastructuur.”
POWER OVER ETHERNET
Access points die gevoed worden met
Power over Ethernet (PoE) switches zorgen er voor dat alle soorten apparatuur
het internet op kan. Power over Ethernet
technologie speelt een steeds meer belangrijke rol omdat daarmee meer verschillende apparatuur aan het netwerk
kan worden gekoppeld, zoals telefoons,
camera’s, rookmelders en andere sensoren. Deze trend wordt omschreven als de
Internet of Things (IoT). De Wit: “Op het
gebied van camerabewaking zie je een
omslag van analoge naar digitale camera’s. PoE switching-technologie voor IP
Surveillance is interessant voor klanten
met een analoog Closed Circuit Television (CCTV) netwerk. Ze kunnen migreren naar een IP- of convergence netwerk
met nieuwe high-definition camera’s en
surveillance monitoring oplossingen. Je
moet dan voor voldoende bandbreedte
zorgen die bijvoorbeeld 4K streams aankunnen. Je ziet daarom meer en meer access point, remote switches en camera’s
worden gevoed door middel van Power
over Ethernet vanuit Gigabit en 10Gig
switches.”
Tonko de Wit is marketing manager bij
ZyXEL Communications
BINNENWEG 4
2132CT HOOFDDORP
T +31 (0)23 5553689
E [email protected]
I WWW.ZYXEL.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2013
51
You have to SEE IT to believe it
Visibility
The only way to make smart
decisions in the 21st Century
From the C-level office to network
administration, business decisions
need to be made at light speed –
decisions that enhance productivity
and profitability.
WatchGuard Dimension instantly turns
raw network data into actionable
security intelligence. It gives you the
ability to see and understand how to
protect your business, set tight security
policy, and meet compliance mandates.
Go beyond reporting to the
decision-making power of
WatchGuard Dimension.
Pure visibility from any angle.
Call us today at +31(0)70 - 711 20 80 or
email: [email protected]

Productsheet CMSaaS

Beveiligingsbewustzijn in de nutssector

Flyer uitnodiging paasdienst 05.04.2015( 21×9.8)

Tomorrowland vertrouwt op DNCS en Panasonic Winkelcentrum in

SBIR14C018 Cyber II fase 1 Delta Pi, BVS Afwegingskader

Zomer 2014 - dejong

Stichting Human Security Collective Lia van Broekhoven Lutherse

Aanvraag tot het Verkrijgen v/e Nieuw