Nieuwe trends in Security Intelligence

Platform security bestaat natuurlijk deels uit real-time bescherming tegen ongewenst gedrag; maar voor een minstens even groot gedeelte uit data-analyse en conclusies trekken. Op dit vlak groeit de malware- en aanvalswereld zodanig hard dat klassieke tools het vaak niet meer bijbenen. Hoe ver komt een nieuwe generatie 'box managers', met als een der pioniers Dimension? Is het gewoon een goede volgende BI-achtige stap of bereiken we al volwassen Big Data-niveau?

Beveiliging, nu eenmaal het onderwerp van dit magazine, kent drie hoofdstromen: beschikbaarheid, platformbeveiliging en gebruikersgerelateerde beveiliging. Deze keer hebben we het duidelijk over de platformzijde: bescherming van systemen en data tegen allerlei ongewenst gedrag. Dat gedrag kan vanuit de gebruiker komen, bijvoorbeeld data lekken of ongewenst surfen, maar ook 'externe aanvallen' al dan niet meeliftend op nietsvermoedend gebruik: malware bijvoorbeeld, of botnet-aanvallen, of man-in-the-middle aanvallen op ons webverkeer. En die platformbeveiliging is qua tegenmaatregel dan weer opgesplitst naar het 'kwetsbaarheidspunt': desktop/server endpoints of het netwerk. In dat netwerk plaatsen we dan een gateway die al het uitgaande (en inkomend) web- en mailverkeer coördineert, en dat is natuurlijk een ideale plek om ook beveiligingschecks te plaatsen. Overigens is de vuistregel dat we allebei nodig hebben, endpoint- en netwerkbeveiliging; tenzij we de endpoints inclusief hun USB-poort 100% dichtgezet hebben en geen enkele verantwoordelijkheid voor BYO-apparaten binnen de deuren hoeven te nemen.

Fig.1: Executive Dashboard

WatchGuard zit in deze netwerkgateway-markt, met enige telewerk-oplossingen maar verder vooral appliances voor uitgaand webverkeer en e-mail. Voor een echte Demilitarised Zone voor eigen interne e-commerce sites verwijst men ons dus naar zwaardere netwerkcentrische concurrenten zoals Cisco of Juniper, hoewel een aantal WatchGuard-functies ook voor inkomend verkeer inzetbaar is. De appliances zijn naar keuze fysieke ‘rode’ appliances of VM's onder VMWare of Hyper-V. Zometeen de geboden beveiligingsfuncties, want die bepalen mede wat er met de Dimension-console aan analyses mogelijk is.

WatchGuard platformfuncties

Het woord 'firewall' is zeker voor uitgaand verkeer tegenwoordig een achterhaald begrip. Natuurlijk bieden de WatchGuard appliances filtering op IP packettype, de oorspronkelijke firewalltaak, maar ze zijn uitgegroeid tot modulaire UTM-platforms: Unified Threat Management. WatchGuard noemt de meeste modellen daarom XTM, eXtensible Threat Management. Naast deze basis-bescherming biedt men nog een aantal functies, optioneel bijkoopbaar en inregelbaar, aan de rand van het platformsecurityveld. We lopen de hoofdtaken langs.

* Proxy inclusief NAT. Alle uitgaande verkeer vanuit browsers in het LAN (inclusief BYO/WiFi!) wordt simpelweg via de gateway gestuurd, en SSL wordt aldaar ook netjes 'gebridged' zodat inspectie mogelijk is.

* Netwerkinspectie. De firewall biedt al packet inspectie; de optionele Intrusion Prevention module is meer bedoeld voor gateways in een inkomend-verkeer DMZ, maar ook voor de boven genoemde VPN telewerkers.

* Web- en protocolfiltering. Dit heet 'Application Control' samen met WebBlocker en kan hele websites naar categorie blokkeren, de hele dag of bijvoorbeeld m.u.v. de lunchpauze en na werktijd. Doch ook binnen die websites onderdelen, denk aan Facebook en de Youtube 'filtered groups' die in het onderwijs populair zijn. En de filtering werkt ook door in populaire zoekmachines zoals Google en Bing, sites die toch niet aangeklikt zouden mogen worden komen door 'safe search' gewoon niet in de zoekresultatenlijst.

* AntiVirus en -spyware; dit is een plugin op de gateway die via handtekeningen en beperkte sandbox-heuristiek aanvallen probeert te voorkomen. Hierbovenop wordt dan 'Reputation Enabled Defense' ingezet om verkeer vanaf besmette sites, zelfs als dat Nu.nl of een ander populair platform is, direct te blokkeren.

* AdBlocking; deze is zelfs zo intelligent dat de 'geschoonde' pagina's er weer enigszins toonbaar uitzien. Vanuit bedrijfsoogpunt gezien vaak gewenst, want het spaart enorm in de bandbreedte.

* Data Loss Prevention. Dit is echt aan de rand van het securityveld omdat er ook hele andere redenen dan veiligheid kunnen zijn voor inzet van deze techniek. Zowel het webverkeer als e-mail worden gecheckt op sleutelwoorden, als essentieel aangemerkte bestanden etc. en waar nodig geblokkeerd.

* Dit sluit aan op de andere soort gateway die WatchGuard levert: e-mail security, dit heet niet XTM maar XCS voor eXtensible Content Security. Ze kunnen o.a. gateway virusbescherming draaien maar ook spamfiltering.

Fig. 2: Top Destinations

Verder geven we hier geen oordeel over de diepte of compleetheid van deze appliance-functies vergeleken met de trits concurrenten in het security gateway-segment. De focus van onze bespreking is Dimension en zijn analyse-mogelijkheden, maar die zijn alleen te begrijpen als het karakter van de datatoevoer duidelijk is: de set redelijk brede en diepe WatchGuard gateways. En dus niet security-metingen op pakweg het endpoint of de identity management-omgeving, als we die zouden willen meenemen dan komen we bij SIEM-tools zoals HP ArcSight terecht.

Dimension functionaliteit

De nieuwe 'Box Manager' - oftewel beheertool voor de eigen functies - heet Dimension; hij wordt gratis meegeleverd met appliances zoals de XTM en XCS. In de vorige Infosecurity Magazine lazen we er al een introductie van. In tegenstelling tot zijn voorgangers is het zelf geen fysieke appliance meer maar puur een virtuele appliance, nu leverbaar onder VMWare en Hyper-V wordt gefaciliteerd in versie 1.1 die uit moet zijn op het moment dat dit gepubliceerd wordt. En daardoor ook 'cloud-ready' in de zin dat hosting ook prima bij IaaS-providers die deze platforms bieden mogelijk is; onze WatchGuard infrastructuur gaat dan simpelweg via een Internet-tunnel in plaats van via het LAN de logdata naar Dimension toe pompen. De appliance bevat het OS, de database en de fraaie web console; installatie is een zaak van minuten, mede door de bijna 100 standaard meegeleverde rapporten. En standaard filtering-opties zoals 'Firewatch' die slechts enkele muisklikken een drilldown biedt van het verkeer van hoofdcategorie tot individueel probleemgeval.

De claim van Dimension is 'Big Data like visibility for Network Security', en het is de analysekracht die inderdaad het sterke punt is. Wat niet wil zeggen dat dit échte Big Data is, daar komen we in het kader nog op - zoals voor alle concurrenten is daarvoor aanvullende tooling nodig. Dimension doet voor binnenkomende data drie dingen:

a] Een-op-een opslaan van de binnengekomen logfiles, o.a. voor latere forensische bewijsplicht.

b] Direct aggegreren en analyseren van de data, en opslaan in een 'summary' database die qua dataformaat dichtbij de gewenste console-analyses komt.

c] Volgens een schema aanmaken en e-mailen van gewenste rapportages.

Fig. 3: FireWatch drilldown

Daarnaast zijn alle data direct beschikbaar voor drilldown in de console; die is qua stijl geënt op de 'Cubes' van OLAP (On Line Analytical Processing) platforms zoals we ze ook veel zien in financiële toepassingen en pakweg geofysische analyses - in zekere zin Excel in webvorm! Dus met draaitabellen, top-10 grafieken en de mogelijkheid om op elke gecumuleerde meting in te zoomen en de onderliggende waarden te bekijken. Met 'doorspringen', bijvoorbeeld om als user Ederuijter opvallend veel dataverbruik na 5 uur 's middags heeft dat te vergelijken per website en te leggen naast wat de top-5 andere gebruikers aan verkeer voor die site genereren; het geheel met slechts enkele muisklikken en, vanwege de klaarstaande cube-data, ook snel op het scherm getoond.

Wat Dimension dus níet doet is zelf alarm slaan op basis van overschrijding van ingestelde grenswaarden, of op basis van trends. Dat wordt vooralsnog overgelaten aan de box manager-tools voor de individuele appliances of de consolidatieslag die daarin door 'WatchGuard servers' en 'FireClusters' gemaakt kan worden. Het lijkt wat verwarrend maar het is een logische beperking van een versie 1.0-platform; WatchGuard meldt nadrukkelijk dat ze van plan zijn de box managers t.z.t. op één uniform en goed samenwerkend platform te brengen, maar dat is een roadmap voor de wat langere termijn. Eventueel kunnen we wél de alarms laten bepalen op de box managers maar de notificaties vervolgens laten versturen vanuit Dimension, op die manier is in ieder geval de e-mail afhandeling centraal belegd. Ook integratie met de 'ConnectWise' rapportageserver die populair is bij Managed Service Providers wordt weliswaar geboden maar zal nog aardig op de schop moeten gaan voor een uniforme aanpak.

Fig. 4: Report (Web Activity)

En tot slot, maar dat zagen we al bij de bespreking van de overige WatchGuard producten: Dimension zit echt vast aan de WatchGuard metingen. Dat is best een aardig deel van ons securitylandschap, aannemende dat we voor alle netwerkfuncties WatchGuard gebruiken, maar beslist niet alles. Elke meting aan de endpoints bijvoorbeeld, of elk stuk informatie over gebruikersgerichte beveiliging zoals foute loginpogingen of gebruik-van-task-accounts, kan niet worden meegenomen in een Dimension analyse.

Dimension indeling

Deze functionaliteit vinden we terug verspreid over de volgende vier hoofdopties:

* Executive Dashboard. Dit is de overall 'OLAP Cube' console van wat er gebeurt op de gateways en indirect dus onze hele Internetverbinding. Met trends, zwaarste gebruikers en hun zwaarste sites/applications.

* Executive Reporting. Dit zijn standaard rapporten, ofwel direct op het scherm getoond ofwel scheduled en dan als PDF toegemailed zoals we boven zagen.

* FireWatch. Dit is een 'Hierarchical Treemap' in Business Intelligence termen; hij hangt één niveau onder het dashboard en biedt de hele draaitabel- en inzoomfunctionaliteit.

* Global ThreatMap. Dit is een totaal ander Intelligence-stukje maar toch best handig: Business Intelligence op basis van de wereldkaart, met de trends in aanvalspatronen per regio. Het kan ons helpen om de settings qua malware-checks op de UTM appliances aan te passen en bijvoorbeeld sites te blokkeren, maar ook om bijvoorbeeld een waarschuwingsmail uit te sturen naar regio APAC 'klik niet op enige e-mail link die zegt van DHL pakketservice afkomstig te zijn'. Deze kaart is uniek voor Dimension omdat hij gekoppeld is aan wat er op onze appliances gebeurt, dus zowel de alarm-meldingen bij onszelf als de relatie met Web-brede meldingen.

Big Data of niet?

Big Data is een begrip uit de Management Information/Business Intelligence wereld, en betekent zoveel als 'de samenhang ontdekken tussen geheel verschillende databronnen' en 'verschillende datatypes, gestructureerd en ongestructureerd, naar elkaar kunnen omzetten'. Traditionele MI/BI tools lopen in hun analyses klem op 'de vier Vees': Volume, Velocity, Variety en Veracity oftewel omvang, groeisnelheid, variatie en datakwaliteit. Vandaar de toevoeging van nieuwe Big Data tools in die MI-wereld, die vaak de Hadoop database gebruiken vanwege diens kracht in opslaan en analyseren van ongestructureerde data. Daarbovenop biedt zo'n Big Data tool dan de complete kracht van OLAP, Cube-Analyse en Draaitabel-inzoomen om de eenmaal getoonde dashboards verder te bekijken.

De verwachting die we dus mogen hebben voor Big Data over beveiliging is eenzelfde paradigma maar dan voor security-metingen. Inclusief levering van álle databronnen nodig om conclusies te trekken, en liefst ook direct conclusies (events) bepalend.

Welnu, bijgaande tabel toont dat de beveiligingsmarkt bepaald nog niet zo ver is. WatchGuard claimt niet eens een volledig Big Data aanbod, doch slechts 'big data visibility and reporting tools' en 'Instantly turning raw data into actionable security intelligence'. Meer dan deze op zichzelf prima prestatie kan men ook niet bieden. De redenen zijn:

1) De brondata zijn beperkt tot WatchGuard metingen (en niet bijvoorbeeld endpoints en user security).

2) Binnen die metingen verbindt men geen verschillende datatypen met elkaar noch doet men omzettingen/structureringen.

3) Real-time conclusies worden niet getrokken.

Sommigen van deze beperkingen zijn oplosbaar door Dimension-data weer te exporteren naar een apart datawarehouse en daarop échte Big Data tools los te laten, maar dat gaat dan weer ten koste van de snelheid van beslissings-informatie. Werken aan beperking 3) en vermoedelijk ook 2) staat echter netjes op de Dimension-roadmap.

Verder kunnen we nog in de tabel lezen dat geen enkel tool/soort tools op álle Big Data-eisen optimaal scoort. SIEM tools zoals ArcSight en Nitro hebben het meeste potentieel maar hebben i.h.a. weer beduidend zwakkere analyse/OLAP-consoles dan Dimension, terwijl toevoeging van algemene Big Data tools weliswaar de beste analyses geeft maar het beslis- en snelheidsvoordeel deels opoffert.

Landschap van Security Intelligence en Big Data tools

Erik de Ruijter RI