Florian Malecki, International Product Marketing Director bij DELL Software
De geavanceerde, persistente bedreigingen (APT’s) van vandaag de dag zijn weldoordachte en gerichte aanvallen die beveiligingsmaatregelen op een dynamische manier weten te omzeilen en meerdere onderdelen van netwerken gebruiken als aanvalsvectoren.
Zo kan een APT bijvoorbeeld e-mail servers gebruiken voor phishing-aanvallen, vervolgens directory servers binnendringen om op ongeoorloofde wijze data uit financiële servers te exporteren, of exploits activeren in applicaties die zich op servers of in de cloud bevinden. Deze aanvallen kunnen het bedrijfsnetwerk binnenkomen via niet-geautoriseerde websites of downloads van draadloos verbonden laptops, tablets of smartphones. Voor een succesvolle aanval moeten deze aanvallen – zodra ze de eerste beveiligingsring hebben doorbroken – zich vervolgens vrijelijk door het netwerk kunnen bewegen, en informatie naar en vanuit het netwerk kunnen versturen. Om dat te vermijden, schieten legacy perimeter firewalls volstrekt te kort.
Securityschil
De traditionele firewallpraktijk bestond eruit om een enkele security perimeter in te zetten, waarbij alles buiten die beveiligingsring als ‘niet vertrouwd’ werd beschouwd, en alles wat er binnen viel als ‘vertrouwd’. Maar deze methode werkt inmiddels niet meer.
De beveiliging overlaten aan slechts één securityschil betekent ook dat er maar één enkel kwetsbaar punt overblijft. Zijn cybercriminelen daar eenmaal voorbij dan zijn ze ‘binnen’ hebben ze vrij spel om malware te verspreiden en gevoelige bedrijfsgegevens te exporteren vanuit het hele netwerk. Daar komt nog bij dat een firewall die alleen het verkeer ’aan de poort’ controleert geen zicht of grip heeft over de bewegingen en activiteiten van een aanvaller die zich al ‘binnen de muren’ bevindt.
Daarnaast is de aard van de traditionele veiligheidsperimeter veranderd, waarbij de oude WAN-grenzen moeten worden opgerekt om mobiele, draadloze en gedistribueerde endpoints mee te kunnen nemen, evenals bronnen die zich in virtuele of cloudomgevingen bevinden. Om die reden moet alles – zowel buiten als binnen de traditionele firewall perimeter – nu als ‘niet vertrouwd’ worden beschouwd, wat in de praktijk natuurlijk niet werkbaar is. De ouderwetse enkele perimeterbenadering heeft afgedaan.
Om netwerken effectief te beschermen tegen de huidige geavanceerde bedreigingen moet een goede beveiligingsoplossing in staat zijn om data- en ander verkeer te controleren en beheersen met een policy die is gebaseerd op logische segmenten (bijvoorbeeld WAN, DMZ, VPN en WLAN), gerelateerd aan de rol en identiteit van de gebruiker, diens geografische locatie, tijdstip van de dag en andere criteria, zoals een secure switching-architectuur. Een goede oplossing moet ook worden geïntegreerd met monitoring-, visibility- en beveiligingsmogelijkheden zoals sandboxing, inbraaksignalering en preventie, anti-malware en applicatiebeheer.
Om actieve aanvallen en bedreigingen afdoende te weren moeten segmentatiepolicies in staat zijn om dynamisch en geautomatiseerd beslissingen te kunnen nemen op basis van real-time criteria. Zo zou een segmentatiepolicy automatisch de verbinding moeten kunnen verbreken met een gebruiker die op een endpoint in Amsterdam is ingelogd en die vervolgens vijf minuten later inlogt op een endpoint in Brussel.
De aard van de traditionele veiligheidsperimeter is veranderd
Zakelijke gevolgen
Het ontbreken van een effectieve netwerksegmentatie heeft inmiddels een cruciale rol gespeeld in een aantal geruchtmakende cyberaanvallen. Denk aan bijvoorbeeld de aanvallen op Home Depot en Target, waarbij de gegevens van tientallen miljoenen creditcards op straat kwamen te liggen. Door toepassing van netwerksegmentatie in de beveiliging zou ongeautoriseerde toegang tot kaarthoudergegevens bij webshops onmogelijk worden gemaakt. Hetzelfde geldt voor de inbraak bij Community Health Systems, waar segmentatie van het netwerk de diefstal van miljoenen patiëntengegevens had kunnen verhinderen of op zijn minst had kunnen beperken.
Daar komt bij dat regelgevende instanties, zoals de Payment Card Industry Data Security Standard (PCI-DSS), eisen dat organisaties de juiste segmentatiepolicies toepassen in hun netwerkbeveiliging om te voldoen aan de eisen voor compliance. Zo moeten er bijvoorbeeld gescheiden netwerksegmenten zijn voor pointof-sale (POS) systemen, Wifi-netwerken (WLAN’s) en datasystemen voor betaalkaarten. In aanvulling daarop moet er een policy worden gedefinieerd en gehandhaafd rondom de toegang tot deze segmenten en welke data wel en niet tussen deze segmenten kunnen worden uitgewisseld.
Organisaties kunnen het zich niet langer veroorloven om segmentatie als een van de hoekstenen van hun netwerkbeveiliging naast zich neer te leggen. Niettemin zegt negentig procent van de IT-professionals dat hun organisaties er (nog) niet in slagen om de belangrijkste businessonderdelen te segmenteren in de strijd tegen de nieuwste bedreigingen, en zes procent beschikt zelfs over geen enkele vorm van segmentatie.
Uitdagingen voor beheer
Het implementeren van uitgebreide netwerkbeveiligingssegmenten is een uitdaging, maar wel een veel minder grote dan het herstellen van een catastrofale inbreuk of een Denial-of-Service (DoS) aanval. Niettemin speelt er een aantal beheersmatige aspecten rondom segmentatie. Zo moet bij voorbeeld het netwerkverkeer tussen segmenten zonder vertraging blijven functioneren om prestatie- en productiviteitsverlies te voorkomen. In datacenteromgevingen kan dat zeer hoge verwerkingssnelheden vereisen. Ook moet rekening gehouden worden met het aantal mensen dat nodig is om de zaak draaiende te houden in relatie tot de total cost of ownership (TCO). Om deze twee aspecten zo beperkt mogelijk te houden moet een goede segmentatieoplossing eenvoudig kunnen worden uitgerold in meerdere configuraties, en op een transparante manier beheerd kunnen worden via een uniform platform met een enkele beheerconsole. De oplossing moet bovendien schaalbaar zijn om te kunnen meebewegen met de ontwikkeling van de business.
Cybercriminelen zijn dol op niet-gesegmenteerde netwerken. Net zoals het laadruim van een schip in diverse afsluitbare compartimenten is onder- verdeeld om bij een aanvaring te voorkomen dat het schip helemaal vol loopt, zorgen netwerksecurity-segmenten ervoor dat een aanval op één van de onderdelen van het netwerk zich niet ongehinderd door het volledige netwerk kan verspreiden. Beveiligingssegmentatie moet dan ook een kernelement van iedere effectieve netwerkverdedigingsstrategie uitmaken. «
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 5-2016]