Informatiebeveiliging: met inzicht win je de oorlog

De meest succesvolle generaals zijn vaak degenen die de meeste kennis verzamelen vóór en tijdens de strijd. Zij beseffen dat het noodzakelijk is om zoveel mogelijk te weten over hun tegenstander, het slagveld en hun eigen troepen. Met die kennis verfijnen ze hun militaire tactieken en strategieën. Zonder deze kennis gaan ze de strijd onvoorbereid aan en is de kans op verlies groot.

Ditzelfde concept geldt voor informatiebeveiliging. Hoe meer inzicht u heeft in het netwerk en de security-toepassingen, hoe beter u in staat bent het beveiligingsbeleid aan te passen voor de optimale bescherming van uw organisatie. 

Toch blijft het verbazingwekkend hoe weinig beheerders weten over wat er daadwerkelijk in hun netwerken gebeurt. Veel van de logging- en rapportagesoftware waar ze traditioneel op vertrouwen, brengen de gebeurtenissen die zich achter de schermen van de organisaties bevinden niet compleet in beeld. De data zijn weliswaar aanwezig, maar liggen begraven in logs. Zonder toepassingen die dit inzichtelijk maken, zijn ze niet snel vindbaar en dus ook lastiger te interpreteren en om te zetten in actie.

Meer inzicht biedt meer kennis en dus een betere kans om de verdediging te versterken. Hieronder geeft WatchGuard Technologies vijf manieren waarop inzicht het securitybeleid verbetert.

1. Ken de troepen

Moderne veiligheidscontroles verifiëren gebruikers en identificeren netwerktoepassingen op basis van netwerkverkeer. Wanneer u deze mogelijkheden combineert met goede visibility tools, krijgt u een geheel nieuw beeld van wat er binnen het netwerk gebeurt. Zo ziet u welke tools en applicaties het meest in trek zijn, wie de meeste bandbreedte gebruikt en welke soorten bestanden ze downloaden. Dit inzicht helpt uw netwerkbeleid vorm te geven. Ziet u bijvoorbeeld dat een bepaalde applicatie meer bandbreedte gebruikt dan een andere, meer kritische toepassing, dan zijn er verschillende opties.

Een quality of service policy geeft voorrang aan die toepassingen die van belang zijn voor uw bedrijf of blokkeert bepaalde applicaties helemaal. Of wanneer u er achter komt dat een bepaalde gebruiker een risicovolle applicatie gebruikt, kunt u uitzoeken waarom hij dat doet en bepalen of het nodig is om het gebruik te beperken.

2. Krijg inzicht in de patronen van het netwerk

Er bestaat geen vast sjabloon voor ‘goed’ netwerkverkeer. Voor elke organisatie is het verkeer anders. Dit is afhankelijk van het soort bedrijf en de activiteiten. Om abnormale, mogelijk gevaarlijke activiteiten op u netwerk te kunnen detecteren moet u inzicht krijgen in wat voor uw netwerkverkeer ‘normaal’ is. De enige manier om daar snel en duidelijk inzicht in te krijgen is door het daadwerkelijk te zien.

Door visualisatietools regelmatig te monitoren, interpreteert u het netwerkverkeer sneller en herkent u het basisniveau van uw netwerk. Doordat u meer inzicht heeft, vallen uitschieters in de netwerkactiviteit ook sneller op. Die onregelmatigheden kunnen weer een aanwijzing zijn voor afwijkende gebeurtenissen. Die gebeurtenissen hoeven niet per definitie slecht te zijn, maar door ze te identificeren creëert u meer inzicht in het netwerk. Dit kan weer een basis zijn voor aanpassing van de security-regels.

3. Wat zijn de zwakke plekken van het netwerk?

Veel security professionals hebben systemen als antivirus, intrusion prevention en deep packet inspection. Al die systemen herkennen en blokkeren malware en aanvallen op het netwerk. De meeste IT-afdelingen laten de systemen het werk doen en besteden weinig aandacht aan de resultaten. De gedachte is: IPS blokkeert een aanval, het gevaar is afgewend dus waarom zou ik er dan nog aandacht aan besteden? Goede visibility tools kunnen patronen van aanvallen laten zien, ook van aanvallen die mislukken. Weet u bijvoorbeeld welke server de meeste aanvallen te verduren krijgt? Welke gebruikers worden geassocieerd met geblokkeerde malware? Welk type aanvallen het meest wordt gebruikt?

Met goede visibility tools komen deze trends bovendrijven en hiermee kunt u weer de beleidsregels verscherpen, de verdediging van bepaalde servers ophogen of bepaalde gebruikers een halt toeroepen.

4. Filter de achtergrondgeluiden

Iedereen die ooit internetverkeer heeft gemonitord kent de constante stroom aan ruis op het netwerk. Deze ruis bestaat uit allerlei informatiestromen en activiteiten. Denk aan legitieme robots die door het netwerk kruipen, security-onderzoekers die poorten scannen, maar ook aan geautomatiseerde malware die op zoek is naar nieuwe slachtoffers. Met goede tools identificeert u deze ruis, die vaak bestaat uit willekeurige verbindingen met populaire poorten als TCP 445, 137, 111, 69, 3389, 5800, enzovoorts. Welke poorten gebruikt worden is afhankelijk van de locatie en activiteiten.

Dit achtergrondgeluid bestaat hoe dan ook uit ongewenste connecties en wanneer u weet welke connecties dat zijn, kunt u zich daar beter tegen beschermen. Een firewall blokkeert deze verbindingen waarschijnlijk al standaard, maar u kunt ook een stap verder gaan: bekijk wie erachter zit. Moderne security-toepassingen hebben de optie om autoblocking policies aan te maken. Hiermee worden bepaalde connecties - de naam zegt het al - automatische geblokkeerd. Wanneer de visibility-oplossing aangeeft dat er heel veel pogingen worden gedaan om verbinding te maken via een bepaalde poort, dan blokkeert een autoblock policy het IP-adres dat achter die verzoeken zit. Als iemand zo vaak probeert een connectie te maken die je niet hebben wilt, heeft diegene waarschijnlijk niet veel goeds in de zin.

5. Werken de huidige tactieken?

Het beleid is opgezet. Misschien is het interne netwerk al onderverdeeld aan de hand van organisatorische rollen en zijn er regels toegevoegd om bepaald verkeer op die netwerken te beperken. Wellicht wilt u bepaalde communicatiestromen via bepaalde routes laten lopen, om communicatie rondom vertrouwelijke data te monitoren met data loss prevention tools. Of misschien heeft u wel beleidsregels opgesteld om specifieke communicatiestromen te versleutelen. Wat er ook binnen uw organisatie van toepassing is, weet u eigenlijk wel of die beleidsregels werken? En weet u of er misschien manieren zijn om deze regels stiekem te omzeilen? Ook hier kunnen visibility tools helpen.

Sommige toepassingen visualiseren bijvoorbeeld hoe bepaalde soorten verkeer door het netwerk reizen en welke security-policies dat verkeer tegenkomt. Hiermee komen potentiële beleidsfouten boven water. Zoals ongebruikte policies. Snel een tijdelijke policy toevoegen om een testserver toegang te geven, is zo gebeurd, maar een onverwijderde, ongebruikte policy vormt een risico.

Oplossingen op het gebed van policy visibility identificeren de meest- en minstgebruikte regels en zo kunt u zich ontdoen van ongebruikte rommel.

In het kort komt het er op neer dat visibility tools in beeld brengen wat er nu werkelijk gebeurt in het netwerk. Aan de hand van deze kennis kunt u beleidsregels aanpassen zodat u meer grip krijgt op wat er binnen het netwerk moet gebeuren.

Beheerders van de firewalls hebben vaak geen toegang tot alle relevante informatie die ze nodig hebben om goede beslissingen te nemen.

Visibility tools vertalen de datasoep in duidelijke, bruikbare informatie. Wanneer u deze toepassingen gaat gebruiken, komt u erachter dat er nog veel meer manieren zijn om de beleidsregels te verbeteren en uw organisatie te beschermen. Dan bent u een stapje dichter bij die succesvolle generaal.

Hans Vandam is journalist