Dutch IT Chanel Logo mobile
Search icon
Redactie - 27 januari 2016

Wat is de basis van een professionele security-architectuur?

Security

In veel organisaties laten de IT security-maatregelen (ook wel security-architectuur) te wensen over. Zeker nu sinds 1 januari 2016 de meldplicht op datalekken van kracht is, horen we steeds vaker de vraag ’heb ik het goed geregeld?’. Om die vraag te beantwoorden, omschrijven we de basiskenmerken en vereisten voor de fundering van een professionele security-architectuur in een paar eenvoudige stappen.

De basis

Informatiebeveiliging bestaat bij de meeste bedrijven voornamelijk uit de volgende stappen*:

  1. Firewalls en IDS-/IPS-systemen in de infrastructuur, voor detectie en ter preventie van ongewenste datastromen in het netwerk.
  2. Een proxyserver met antivirus-/malwarefiltering kan helpen bepalen welke websites wel of niet bezocht mogen worden en zorgt ervoor dat er geen malware met websessies meekomt.
  3. Een mail-proxy houdt geïnfecteerde e-mails, bijlages en SPAM tegen.
  4. End-pointbescherming in de vorm van malware- en virusdetectie en bescherming tegen aanvallen uit het netwerk.
  5. Bedrijven die echt alles willen doen aan het beveiligen van hun infrastructuur, installeren een honey pot om cybercriminelen te lokken. Hiermee kunnen ze IDS-/IPS-camouflage tenietdoen en het type aanval achterhalen. Of ze gebruiken een SandBox om verdachte software te testen op malware. Een sterke securityfeature is een Security Information Event Management-oplossing (SIEM). Deze centraliseert alle securityfeeds en toetst met intelligente analyse correlaties tussen verschillende aanvallen.
  6. Persoonsgebonden identity- en devicemanagement als onderdeel van de security-voorzieningen geeft werknemers toegang tot het netwerk van een externe locatie of device.

*) Veel van bovenstaande aandachtspunten (detectie, SandBoX en SIEM-tooling) vinden we terug in zogenaamde Next Gen Firewalls die modulair uitbreidbaar zijn en zowel fysiek als virtueel in het core netwerk als edge of campus geplaatst kunnen worden.

Bovenstaande punten vormen de technologische basis van een professionele security-architectuur. Daarnaast is er nog het menselijke aspect en dat maakt een echt waterdichte beveiliging lastig. Veel organisaties weren zoveel mogelijk ongewenste activiteit en risico’s conform regelgeving, maar meer ook niet. Toch worden er continu nieuwe regels voor bekende ongewenste software en risicovolle domeinen voor zowel uitgaand als inkomend verkeer ontwikkeld. Helaas blijven er altijd organisaties die getroffen worden door een nieuwe generatie gevaren.

Hoe wapent een organisatie zich met professionele security-architectuur tegen een security-aanval?

Stap 1 – Risico-inventarisatie

Risico-inventarisatie is vaak de eerste stap; toch gaan veel organisaties hier al direct de fout in. IT-security wordt vaak generiek toegepast voor alle IT-componenten, terwijl dit in sommige gevallen individuele regels nodig heeft. Om voor honderd procent in kaart te krijgen wat de applicaties, systemen en data zijn die beschermd moeten worden is vaak lastig; voor de meeste organisaties is slechts tien tot 25 procent van de applicaties te betitelen als cruciaal voor het bedrijf. Hiervoor kan een generieke combinatie van firewall, IDS/IPS en SIEM in de meeste gevallen nog wel voldoende zijn voor detectie, maar niet meer voor het weren van een directe aanval. Voor de echt cruciale applicaties en systemen van een bedrijf moeten er zogenaamde security breach-scenario’s opgesteld worden: de organisatie moet zichzelf de vraag stellen hoe hackers bij die systemen kunnen komen en er een aanval op starten, zodat er passende maatregelen genomen kunnen worden.

Stap 2 – Applicatie-security en database-security

Een andere risico schuilt in het onderschatten van bepaalde systemen waarbij niet voldoende gekeken is naar waar kwetsbaarheden precies zitten. Heel oneerbiedig gezegd: ‘crap in is crap out’. Security is namelijk maar net zo goed als je voorbereiding op het (on)verwachte en de daarbij passende maatregelen. Voor een ERP- of CRM-systeem wil je bijvoorbeeld precies weten voor welke processen en stappen in de gegevensverwerking een aanvullende analyse nodig is. Geen enkele IDS-/IPS-oplossing ziet in het ERP- of CRM-systeem de rechten om een retourboeking te doen, of dat een rekeningnummer gewijzigd is in een buitenlands IBAN-nummer. Daar kun je een regel voor maken, maar: hoe onderscheid je een valide van een malafide transactie? Hiervoor zal de organisatie een trendanalyse moeten doen.

Hetzelfde geldt natuurlijk voor alle andere applicaties die vaak gebruikmaken van een generieke database. In de applicatie zijn autorisaties vrijwel altijd goed geregeld. Een bescherming van de webapplicatie, SQL-injecties, brute force en DDoS worden door een web application firewall afgevangen. Zo’n firewall controleert of de gebruiker op een juiste manier is geauthentiseerd en er niet zomaar een opdracht wordt ingeschoten zonder dat er een proces aan vooraf is gegaan. De ervaring leert dat de meeste kritieke systemen een aanvullende database of applicatiemonitoringtool nodig hebben, waarin alle logica zit om een aanval te detecteren en/of te stoppen. Het beveiligen van deze applicaties en databases vereist monitoring, logica en regels die beheerd worden door een administrator met diepgaande kennis van de bedrijfsprocessen en onderlinge systeemintegratie om elke logische regel op waarde te schatten.

Stap 3 – Identity-management en device-management

Veel organisaties geven hun werknemers vrije toegang tot het netwerk waarop ze extern kunnen inloggen met een gebruikersnaam en wachtwoord en een secundair authenticatiemiddel. Dit vertrouwen gaat veelal samen met een toegekend device waarop de werknemer kan inloggen, zoals een laptop. Een belangrijke stap in security-architectuur is het gecontroleerd toekennen van rechten aan gebruikers. Gebruikers dienen alleen toegang te hebben tot resources die zij daadwerkelijk nodig hebben om hun werk te kunnen doen. In sommige gevallen is toegang tot het netwerk meer gegeneraliseerd en kan men via VPN in een online portal of een VDI-omgeving inloggen zonder authenticatie. Hier zien we een aantal risico’s; een device kan bijvoorbeeld verloren gaan terwijl er nog een actieve sessie draait op de achtergrond. Soepel identity- en device-management in combinatie met verlies van device of unlocked sessies is een veelvoorkomend securityrisico dat onbedoeld wordt veroorzaakt, maar verregaande gevolgen kan hebben. Dit kan namelijk leiden tot datalekken of externen die op het bedrijfsnetwerk komen. Risico’s uit dergelijke situaties zijn met centraal devicemanagement uit te sluiten, bijvoorbeeld door het device de toegang op het netwerk te weigeren na verlies of voorgeprogrammeerde time-outs bij inactiviteit. De netwerktoegang kan centraal gecontroleerd worden door logische regels op te stellen voor intramuraal of extramuraal gebruik op device- en userniveau.

Stap 4 – Communicatiestromen monitoren

Is de organisatie op de hoogte van alle externe verbindingen? Is men zich bewust van individuele koppelingen met de buitenwereld vanuit persoonlijke applicaties voor dataopslag op devices en clients binnen het netwerk? Voorbeeld: werknemers maken veelal gebruik van uw aangeboden Office 365, maar ook, op eigen initiatief en vaak vrij van limitatie, van Dropbox of WeTransfer. Deze sessies verlopen vaak via een van de netwerkpoorten die standaard toegestaan worden door een firewall, zoals poort 80 (HTTP) of 443 (HTTPS), en zijn alleen te blokkeren door slimme filtering en door regelgeving op datastromen toe te passen. Dit probleem van ongeautoriseerde verbindingen is op te lossen door het vastleggen van de verbindingen die zijn toegestaan en continue monitoring onder strikte regelgeving op sessies die verdacht kunnen zijn. Een goed dataclassificatiebeleid dat aangeeft welke data buiten de eigen infrastructuur bewaard mag worden is een goed begin in het beschermen van bedrijfsgegevens. Analyse van het verkeer dat de infrastructuur verlaat met een Data Leak Prevention tool als (DLP) is daarbij de volgende stap. Hierbij wordt al het lopende verkeer gemonitord en geclassificeerd. Op basis hiervan wordt dan bepaald of een cliënt informatie wel of niet mag raadplegen, of dat een document wel of niet gekopieerd mag worden naar USB.

Stap 5 – Security solution(s) selectie

Een grote fout van veel organisaties is dat ze afhankelijk zijn van partners in security-oplossingen. Een risicoanalyse (waarin een partner absoluut kan assisteren) geeft een overzicht van de systemen die voor uw bedrijf kritisch zijn en mogelijke aanvalscenario’s. Op basis daarvan is de benodigde securitytooling te selecteren, maar let op: veel organisaties laten zich in de selectie begeleiden en adviseren door leveranciers. De risicoanalyse maakt inzichtelijk welke risico’s er afgedekt moeten worden en maakt een aantal requirements duidelijk; deze individuele requirements zijn een keiharde eis waar de tooling aan moet voldoen. De risicoanalyse moet dus altijd leidend zijn. Uiteraard is kostprijs een factor, maar de doelstelling moet altijd zijn om zoveel mogelijk van de eisen in te vullen binnen het beschikbare budget. Overigens wordt er ook wettelijk van organisaties vereist dat zij eigen kritieke data, en voornamelijk gevoelige persoonsgegevens, beschermen volgens een methodiek die in lijn ligt met de laatste technologieën.

Stap 6 – Reactie op aanvallen

Er zijn organisaties die scenario’s klaar hebben liggen die actief worden bij een breach van de IT-security binnen de infrastructuur, maar veel organisaties hebben dit proces niet uitgeschreven. Er bestaat ook niet echt een best practice voor. Het is onmogelijk om alle mogelijke scenario’s te schetsen, maar: bij veel generieke zaken kan dit wel. Ook hierbij kan de organisatie zelf of via de partner onderzoek doen naar veelvoorkomende IT-security breaches in hun branche. Een toegewijde IT-securitybeheerder zal ongetwijfeld lid zijn van specifieke groepen waarbij hij leert van de ervaringen van anderen. Zo zijn er diverse procedures in te bouwen zodat beheerders een geïnfecteerde applicatie of server zo snel mogelijk isoleren van gekoppelde applicaties en van het bedrijfsnetwerk afhalen om verdere besmetting te voorkomen. Bij gebruik van losse of geïntegreerde SIEM-oplossing(en) is het ook van belang om tijdens/na events te bepalen welke trends er spelen op basis van gegenereerde notificaties. De IT-securitybeheerder kan naar aanleiding van deze informatie stappen nemen om aanvullende securitymaatregelen te nemen of aanvullende security-oplossingen aan te schaffen. Daarnaast kan hij bepalen wie die acties initiëren, moeten gaan opvolgen ? binnen of buiten de organisatie.

Door: Viraj Balgobind (foto), Networking & security consultant en Cees Muijs, Pre-sales consultant werkzaam bij www.ifactory.nl / hello@ifactory.nl

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!