Zonder solide fundament kun je niet verder bouwen

Martin van Son

29-07-2020 | door: Blogger

Zonder solide fundament kun je niet verder bouwen

Hoe beveilig je digitale transformatie? 5 stappen voor een goede basis.

Het internet lijkt veel op de complexe wirwar aan verbindingen tussen neuronen in onze hersenen. Zodra je een website of applicatie aanroept, wordt een route gezocht door deze immense brei aan paden en knooppunten. Deze reis begint in het eigen bedrijfsnetwerk en gaat via talloze netwerkapparaten zoals routers, switches en firewalls richting provider. Waarna je bijvoorbeeld aan de overkant van de oceaan aangekomen via weer een andere provider en eenzelfde reeks aan apparatuur uiteindelijk bij de eindbestemming aankomt.

Ongemerkt speelt er zich dus heel wat af onder het oppervlak. Hapert er een schakel, dan stopt de reis. Omdat een veilige en betrouwbare informatie-uitwisseling altijd uit meerdere lagen bestaat, kun je het goed vergelijken met de Piramide van Maslow. Want je kunt pas aan een volgende laag beginnen, zodra alle onderliggende lagen daar klaar voor zijn. Dit betekent dat je de basis, het fundament, altijd als eerste in orde moet hebben. Pas daarna kun je zoiets als een e-mail versturen, of een website of applicatie gebruiken. Bij netwerken heb je het dan over DNS (Domein Name Services). Als deze core netwerkservice niet werkt, ontbreekt het fundament en heb je geen netwerk meer.

Next level DNS

Internet is opgebouwd uit ontelbaar veel netwerkapparatuur, waaronder honderdduizenden DNS-servers die samen een gigantisch telefoonboek vormen. Tik je de naam van een website in, dan vertalen ze dit naar het IP-adres waarmee je verbinding moet maken. Want waar www.executive-people.nl voor ons makkelijk is om te onthouden, draait het in netwerken, en dus ook het internet, om IP-nummers. Zodra iemand vanuit het bedrijfsnetwerk een bepaalde bestemming opzoekt, worden meerdere DNS-servers geraadpleegd om te achterhalen wat de eindbestemming is. Deze servers kunnen zich overal ter wereld bevinden.

Helaas zijn niet alle DNS-servers even betrouwbaar. Er zijn zelfs DNS-servers waarvan bekend is dat ze in handen zijn van hackers. Voeren ze een aanval uit op jouw organisatie, dan kunnen ze jouw DNS-servers platleggen en dan ben je in één klap alle verbindingen kwijt. Of de servers worden overgenomen en zonder dat je het merkt ingezet om andere organisaties aan te vallen. Terug naar de piramide van Maslow is hiermee het fundament weggeslagen. Waardoor alle bovenliggende lagen onbruikbaar zijn geworden.

Vandaar dat het essentieel is om DNS binnen de organisatie zo robuust mogelijk te maken. Zodat deze core netwerkservice niet plat kan gaan of gecompromitteerd kan raken. Complicatie is dat DNS al bestaat sinds 1984 en er sindsdien amper iets aan is veranderd. Behalve dan dat hackers het tegenwoordig intensief misbruiken. DNS gebruikt namelijk open verbindingen, waardoor het risico bestaat dat hackers met je meekijken en zelfs datapakketten kunnen manipuleren om je te bespioneren en bedrijfsdata te stelen. Gelukkig kan dit DNS-verkeer geïnspecteerd worden zodat je onregelmatigheden in een zo vroeg mogelijk stadium ontdekt. Hoe pak je dit het beste aan?

1. Grip op DNS-verkeer

Monitor DNS-servers doorlopend en wacht daar vooral niet mee tot er iets aan de hand is, want dan is het al te laat. Kijk niet alleen naar DNS maar ook naar DHCP. Beide zijn essentiële netwerkservices waar je niet zonder kunt. Dit is het fundament van je netwerk, de basis van de Piramide van Maslow. Bijkomend voordeel is dat je via deze data terug in de tijd kunt reizen.

Via de uitgevoerde DNS-verzoeken kun je namelijk precies achterhalen wie welke IP-nummers heeft gebruik en wat de bestemmingen waren. Daarmee is deze data een ware goudmijn om analyses op los te laten. Welke websites zijn er bijvoorbeeld bezocht via een browser en welke applicaties zijn geopend? Zelfs het indrukken van de printscreen-knop is erin terug te vinden.

Inspecteer DNS-verkeer zo intensief en uitgebreid mogelijk. Dat kan tegenwoordig dankzij machine learning-technieken. Hiermee ontdek je onder andere of er extra informatie in DNS-pakketten verstopt zit, die anders onzichtbaar en ongemerkt via DNS-verkeer wordt uitgewisseld. In dat geval is de kans groot dat er sprake is van data ex-filtratie of infiltratie.

2. Voorkom ongewenst verkeer via blacklisting

Gebruik een blacklist om ongewenst DNS-verkeer vroegtijdig te herkennen. Hiermee voorkom je dat bewust (malware) of onbewust (gebruikersfout) verbinding wordt gemaakt met domeinnamen die (mogelijk) door criminelen worden misbruikt. Door het al in DNS te blokkeren voorkom je veel ellende, omdat het meteen in de kiem wordt gesmoord. Daardoor zal ook de hoeveelheid malafide netwerkverkeer dat de firewall bereikt flink afnemen. Daarmee is dit een supersnelle en zeer efficiënte methode. Tegenwoordig zijn we in staat om maar liefst vijftien miljoen domeinnamen in DNS-servers te laden om organisaties te beschermen.

3. Automatiseer en creëer een ecosysteem

Puntoplossingen voldoen allang niet meer. Tegenwoordig is het nodig om securityoplossingen te laten samenwerken als een ecosysteem. Zodra een securityoplossing iets signaleert dat mogelijk niet in orde is, kunnen deze events via Outbound API of SOAR (Security Orchestration, Automation and Response) worden doorgespeeld aan de securityoplossing die hierin is gespecialiseerd, zodat er meteen iets aan gedaan kan worden.

Het aantal bedreigingen is tegenwoordig zo ontzettend hoog, dat securityspecialisten onmogelijk alles kunnen behandelen. In de praktijk kan slechts vier procent van de aanvallen worden opgepakt, maar zodra je dit automatiseert gaat dit percentage flink omhoog. Het ecosysteem speelt hierin een essentiële rol.

4. Bewustwording

Zorg dat je als organisatie op de hoogte bent van moderne technieken zoals DNS over TLS (DoT) en DNS over HTTPS (DoH). Ze zijn onder andere geïntroduceerd door Google en we zien ze ook terug bij Firefox. Het idee erachter is dat al het DNS-verkeer wordt versleuteld. Daardoor is niet langer te herleiden waar je naartoe wilt gaan en kan er ook geen extra data aan worden toegevoegd. Dat klinkt veelbelovend, maar al je DNS-verkeer gaat vanaf dat moment rechtstreeks naar Google. Zelfs DNS-verzoeken van interne applicaties die je gebruikt. Dit betekent dat je volledig om de eigen DNS-servers heengaat. Maak daarom een afweging of dit wel wenselijk is.

5. Gebruik Public Cloud Secure DNS

We werken steeds vaker vanuit huis, zeker nu kantoorpanden vanwege COVID-19 zo min mogelijk gebruikt worden. Maar zodra je thuiswerkt, maak je geen gebruik meer van de securitymaatregelen zoals die voor medewerkers op kantoor zijn ingericht. Door thuis een VPN-verbinding te gebruiken ben je wel enigszins beschermd, maar voordat de verbinding is opgezet maak je al onbeschermd gebruik van DNS via je eigen provider, waardoor je al die tijd kwetsbaar bent.

Hackers aarzelen niet maar slaan razendsnel toe. Dus zodra de verbinding er is, maken ze er misbruik van en proberen ze hun campagnes uit te voeren. Gebruik daarom thuis en op kleine(re) vestigingen dezelfde securitymechanismen als op kantoor. Dat kan omdat het tegenwoordig vanuit de (public) cloud wordt aangeboden. Er zijn tegenwoordig genoeg hybride oplossingen, dus of je nu thuis of op kantoor zit en vanuit het datacenter of de cloud werkt, je gebruikt altijd precies dezelfde beveiligingsmechanismen. Dat maakt deze oplossing extra krachtig.

Dppr: Martin van Son, Networking, Security en Automation Consultant bij Infoblox 

Terug naar nieuws overzicht