‘Security everywhere’ betekent centrale rol voor het netwerk

AR02220

Het netwerk zoals we dat kenden is dood! Leve het nieuwe netwerk: het extended network dat in de afgelopen jaren is uitgebreid met datacenters, de cloud, talloze endpoints en het Internet of Things. Dat betekent ook dat het aantal mogelijke aanvalsvectoren explosief is toegenomen zodat aanvallers via al die toegevoegde componenten kunnen binnendringen om uiteindelijk bij waardevolle bedrijfsgegevens te komen. Al die verschillende vectoren hebben één gemeenschappelijk aspect: het extended network. Dit netwerk staat centraal in de onlangs uitgebreide security-aanpak van Cisco.

Bedrijven die al deze digitale mogelijkheden willen benutten, hebben daarom ook overal beveiliging nodig. Dat begint vanzelfsprekend met de beveiliging aan de rand van hun netwerk. Dat is als het ware het ‘hekwerk’. Maar zoals iedere security-expert inmiddels weet, is dat allang niet meer voldoende. En dat geldt ook voor de talloze securityoplossingen die veel bedrijven in de loop van de tijd hebben geïnstalleerd. Doordat zij los van elkaar staan, zien deze puntoplossingen zwakke plekken over het hoofd. Denk bijvoorbeeld aan ongeautoriseerde cloudapplicaties die steeds vaker door werknemers zelf worden geïnstalleerd. Met dit soort van elkaar losstaande oplossingen is het domweg niet mogelijk om een overkoepelende blik op het netwerk te krijgen, en al helemaal niet op het extended network.

Onzichtbaar

Juist die overkoepelende blik op het netwerk is essentieel, wat onzichtbaar blijft kan je immers niet beveiligen. Daarom is er een fundamenteel andere aanpak van de security noodzakelijk. Een security die gebaseerd is op een architectuur die het gehele extended network omvat, inclusief Internet of Things, de cloud, mobiele devices, enz. Wat betekent dat concreet? De visie van Cisco is dat alle security devices en securityoplossingen één platform moeten kunnen delen, dat specifiek is ontworpen om zowel bestaande als nieuwe securityoplossingen onder beheer en besturing te brengen van een integraal managementsysteem. Het grote voordeel is dan dat alle functionaliteiten voor security (identity services, VPN, firewall, etc.) op dit overkoepelende platform geregeld kunnen worden en dat de onderlinge communicatie tussen de securitycomponenten goed geregeld is.

Verbreding

Cisco heeft onlangs een verbreding van zijn securitystrategie aangekondigd om deze aanpak verder vorm te geven. Waar het bedrijf naartoe wil is organisaties een securityplatform te bieden voor nog meer inzicht, bescherming en controle. De Cisco visie is dat alle securityoplossingen hetzelfde hardware platform moeten delen. Nieuwe ontwikkelingen op het gebied van security kunnen dan steeds gebruik maken van dit platform. Hiermee wordt voorkomen dat organisaties voor elk nieuw probleem weer een nieuwe oplossing implementeren. Bovendien kunnen bedrijven zelf kiezen waar zij welke functionaliteit nodig hebben en dat alles gebaseerd op dezelfde architectuur.

Gezien de enorme complexiteit van de security zal dat niet van het ene op moment op het andere te realiseren zijn. Cisco zet daarom de komende tijd stappen en ziet dit als een reis op weg naar dit doel. De enorme breedte en complexiteit van security maakt het bovendien onmogelijk voor één partij om alles te leveren wat voor een solide beveiliging nodig is. Vandaar dat Cisco streeft naar een multiservice-platform dat ook toegang geeft aan security hardware en -software van derde partijen. Deze partijen kunnen hun eigen oplossingen baseren op dat platform, of er voor kiezen dat hun hardware-oplossing via pxGrid (Cisco's systeem voor de uitwisseling van contextuele beveiligingsinformatie, waardoor beveiligingsplatforms, onderling informatie kunnen delen) communiceert met de overige security-elementen.

Enkele minuten

Door de onderlinge uitwisseling van gegevens wordt niet alleen de accuratesse van de detectie groter, er wordt ook (veel) minder gemist. Dit is een zeer belangrijk aspect, omdat het momenteel vaak veel te lang duurt voordat een aanval wordt ontdekt. Organisaties mogen zich er niet bij neerleggen dat besmetting onvermijdelijk is, ook al lijkt het daar vandaag sterk op. Aanvallen moeten absoluut sneller opgespoord en afgeslagen worden. Een zuiver preventieve aanpak is niet langer effectief en een detectietijd van honderden dagen onaanvaardbaar. Cisco slaagt er nu in om die tijd te beperken tot gemiddeld 46 uur. De ambitie is om dat terug te schroeven tot enkele minuten.

Cloud en controle

Uit de gegevens van de Cisco’s Cloud Consumption Services blijkt dat het aantal ongeautoriseerde cloudapplicaties dat door werknemers wordt gebruikt 15 tot 20 keer groter is dan CIO’s eerder hadden voorspeld. Dit verschijnsel staat bekend als Shadow IT of ook wel Stealth IT, omdat het onder de radar van de IT-afdeling blijft. Het brengt beveiligingsproblemen met zich mee die zware consequenties kunnen hebben. Wie weet wat er aan vertrouwelijke of gevoelige persoonsgegevens in Dropboxen van medewerkers terecht komt?

Met de meldplicht die in januari 2016 van kracht wordt, komt ook de verplichting de juiste beveiligingsmaatregelen te treffen. Dat betekent dat er beter in beeld moet komen welke eigen cloudapplicaties door werknemers worden gebruikt. Dat is alleen niet voldoende, het moet ook mogelijk zijn om beveiligingsregels op te stellen die het gebruik van externe cloudapplicaties zoals Dropbox en Salesforce.com, in lijn brengt met het algemeen gevoerde securitybeleid. Zo kan het uploaden en/of ongeoorloofd delen van gevoelige informatie worden tegengegaan.

Zicht op kwetsbaarheden

Bij Cisco werken ongeveer 120.000 mensen. Om de day-to-day business van deze wereldwijde organisatie te kunnen beschermen heeft Cisco - net als ieder ander vergelijkbaar bedrijf - een Chief Information Security Officer en een security operating center. Cisco heeft dan ook dezelfde securityproblemen als ieder ander bedrijf, alleen op een andere schaal vanwege de omvang van het bedrijf. Daarnaast is er Talos, de tak die binnen Cisco op basis van informatie uit talloze wereldwijde bronnen de security verzorgt voor klanten en voor Cisco zelf (denk aan rules en signatures voor web/email en de netwerksecurity-oplossingen).

Talos verzamelt op ongekende schaal securitydata van miljoenen gebruikers, honeypots en sandboxes wereldwijd, en via uitgebreide partnerships. Per dag worden zo meer dan 1,1 miljoen unieke malware samples verzameld. Bij Talos werken security threat researchers die worden ondersteund door systemen om de benodigde informatie (‘intelligence’) samen te stellen. Talos werkt met een geavanceerde infrastructuur voor het verzamelen en analyseren van Cisco’s telemetrie-gegevens. Alle output die binnen Cisco wereldwijd gegenereerd wordt door web, end points cloud, e-mail en netwerk, wordt door Talos ook gebruikt om de klanten van Cisco te beschermen. Al deze informatie dient als basis om bekende en vooral ook nieuwe dreigingen te detecteren, te analyseren en af te slaan. 

Verontrustende kwestie

Het multiservice-platform zal ervoor zorgen dat het netwerk steeds beter als een sensor zal gaan fungeren voor samenwerkende security-oplossingen. Voor organisaties betekent het dat de security voor hen veel minder complex en veel méér geautomatiseerd wordt. Hierdoor gaat niet alleen de kwaliteit van de beveiliging omhoog. Het is tegelijk een antwoord op een verontrustende kwestie: het chronische tekort aan security-analisten. Wereldwijd gaat het momenteel om een tekort van maar liefst 1 miljoen specialisten. Alleen al hierom zal de security-aanpak vergaand geautomatiseerd moeten worden. Bijkomend voordeel is dat de kosten omlaag kunnen - of dat er meer kan worden gedaan voor hetzelfde budget.

Onverwachte sluipwegen (the TV is watching YOU)

De talloze verbindingen van het Internet of Things zorgen niet alleen voor méér maar ook voor onverwachte aanvalsvectoren. Neem dit scenario: er zijn ‘smart’ tv-toestellen met een camera die op het thuisnetwerk worden aangesloten. Zo’n tv kan worden gehackt en dan kan de aanvaller in de woon - of slaapkamer kijken naar wat zich daar allemaal afspeelt - en dat ook opnemen. Maar de aanvaller kan ook pogingen ondernemen om via dat thuisnetwerk en een laptop van een van de bewoners op een bedrijfsnetwerk te komen. Zo’n tv is ook niet ontworpen met security in het achterhoofd.

Maar ook hier geldt: alles zal via het netwerk gaan. In dit scenario zal het voor het bedrijfsnetwerk lijken alsof een legitieme werknemer binnenkomt. Waar het vervolgens op neerkomt, is dat het noodzakelijk is om ongebruikelijke acties van die gebruiker op het netwerk te detecteren. Alleen dan kunnen passende maatregelen worden genomen. Uiteindelijk is het desbetreffende bedrijf zelf verantwoordelijk voor het eigen netwerk en moet het dus goed nagaan waar de beveiligingsrisico’s kunnen zitten. En voor thuis is het een goed idee om de tv-camera af te plakken en het plakkertje alleen weg te halen als die camera ook echt gebruikt wordt. Deze ‘analoge oplossing’ werkt overigens ook goed voor laptops!

Fred Noordam, Cyber Security Lead Cisco Nederland