contec

Gelaagde beveiliging dekt alle kwetsbaarheden af in de IT-omgeving

gelaagde beveiliging

In een rondetafelgesprek bespreken account managers van Contec gelaagde beveiliging die alle verkeersstromen, apparaten, toepassingen en gebruikers beschermt.

In de IT-omgeving is er al lang geen sprake meer van duidelijk afgebakende grenzen. Het bedrijfsnetwerk is verbonden met het grote, open internet. Mensen werken niet meer alleen met applicaties die het bedrijf zelf kocht en installeerde op eigen servers in een datacenter, maar met webapplicaties van verschillende aanbieders in de cloud. Het werk vindt niet meer alleen plaats op een desktopcomputer die direct verbonden is met een eigen datacenter, maar met allerlei mobiele apparaten die draadloos verbonden zijn met het bedrijfsnetwerk. Dat vraagt om gelaagde beveiliging, blijkt uit een rondetafelgesprek bij IT-distributeur Contec.

Door deze ontwikkelingen wordt het interne verkeer binnen een bedrijfsnetwerk oneindig breed en het externe verkeer ongekend diep. De beveiliging daarvan vraagt om een reeks oplossingen die alle verkeersstromen, apparaten, toepassingen en gebruikers beschermt. Dat noemt men een gelaagde beveiliging en de afzonderlijke oplossingen die daarin actief zijn, kunnen geen van allen 100% beveiliging realiseren. Daarom wordt een gelaagde beveiliging weleens vergeleken met plakjes gatenkaas. Elk plakje dekt de gaten in het onderliggende plakje af. Van bovenaf kan niemand helemaal door de stapel plakjes heen kijken. “In een gelaagde beveiliging detecteren verschillende onderdelen tegelijkertijd of er risico’s zijn,” zegt Tim de Gier, security consultant bij Contec. “Als een van de beveiligingsoplossingen iets gemist heeft, vindt de andere het wel.”

Met andere woorden: als cybercriminelen door de gaten in één laag komen, voorkomt gelaagde beveiliging dat zij zich vervolgens vrij door de IT-omgeving kunnen bewegen om hun kwaad aan te richten.

Welke rol speelt Hillstone Networks in een gelaagde beveiliging?

Cybercriminelen gaan heel geavanceerd en verfijnd te werk. Ze zetten doelgerichte, aanhoudende, verborgen en gefaseerde aanvallen in die heel eenvoudig ontkomen aan het zicht van de traditionele beveiligingsmaatregelen. De intelligente next generation firewalls (iNGFW) van Hillstone kijken daarom verder dan alleen de verkeersstromen aan de ingang van het netwerk. “Het is heel belangrijk om zoveel mogelijk verkeersstromen te zien,” zegt Bert Janssen, security consultant bij Contec. “Dus niet alleen aan de randen van het netwerk, maar ook in verschillende zones binnen je netwerk. Dat maakt Hillstone mogelijk. Het is niet alleen een kwestie van poortjes openzetten, maar ook van het analyseren van het verkeersgedrag. Dus zijn er opeens veel meer verbindingen van een bepaalde applicatie naar een server? Of worden er in de standaardprocessen opeens veel meer verbindingen tot stand gebracht? Een ander voorbeeld kan zijn dat een gebruiker normaal gesproken enkele documenten opent per uur en dat er nu opeens duizenden geopend worden in een minuut. Zoiets is met Hillstone heel goed detecteerbaar.”

Daarbij zet Hillstone de dreigingsinformatie in die het bedrijf vergaart uit alle apparaten die het wereldwijd heeft geïmplementeerd. Daardoor kunnen de iNGFWs onbekende malware herkennen, gedragsanalyses uitvoeren om afwijkend netwerkgebruik te herkennen en verbanden leggen tussen dreigingen. “De firewalls kunnen optioneel zelf gegevens uitwisselen met Hillstone,” zegt Janssen. “Als de firewall verdachte patronen detecteert, kan dat ook automatisch gemeld worden bij de leverancier.”

Daarnaast voorziet Hillstone in gelaagde beveiliging door verschillende beveiligingsoplossingen te combineren, zoals Antivirus (AV), Intrusion Prevention System (IPS), Advanced Threat Detection (ATD), Abnormal Behavior Detection (ABD) en Reputation Detection (RPD). Daarmee kunnen de iNGWs van Hillstone zelfs de meest geavanceerde en snel veranderende malware-varianten detecteren en tegenhouden. “Hillstone past hierdoor heel goed in een gesegmenteerd netwerk, waarin de firewall zelf het centrale punt is,” zegt De Gier. “Dat komt doordat het apparaat een heel hoge doorvoersnelheid heeft, tegen relatief lage kosten. Daardoor ben je in staat om elk netwerksegment te scheiden en om op elk segment beperkingen toe te passen en analyses uit te voeren. Dat kan zowel voor forensische doeleinden als voor detectie en preventie.”

Volgens Thomas Calf, account manager bij Contec, betekent dit dat er intelligente beveiligingsmaatregelen nodig zijn die gebruikers en applicaties continu volgen en controleren. “De firewall blijft constant bekijken wat een gebruiker binnen het netwerk doet. Dat intelligente stuk zorgt ervoor dat Hillstone echt een verrijking is.”
“Dat is volgens mij ook de essentie van security,” zegt De Gier. “Je wilt kunnen zien wat er gebeurd is op het netwerk en hier grip op houden. Dat is ook belangrijk in verband met privacywetgeving zoals de meldplicht datalekken en de aankomende GDPR. Daarvoor moet het aantoonbaar zijn welke data gestolen of gelekt is. Juist dat soort informatie is goed te achterhalen met de forensische data van Hillstone.”

Hoe gaat Hillstone om met virtuele omgevingen?

Veel bedrijven hebben al lang geen eigen datacenters meer. Zij gebruiken de datacenters van cloud providers. Daarin staan heel veel fysieke servers die elk weer zijn opgedeeld in meerdere virtuele servers. Dat vraagt om oplossingen die de beveiliging van het verkeer binnen de virtuele machines waarborgen. Hillstone realiseert dit door microsegmentatie met CloudHive, vertelt Janssen: “Microsegmentatie betekent dat je elke virtuele machine beveiligt met zijn eigen, virtuele firewall. Deze firewall geeft daarnaast ook inzicht over het geheel. In een dashboard zie je de servers en alle verbindingen tussen die servers. CloudHive leert zelfs van wat er binnen die omgeving gebeurt en geeft op basis van de opgedane kennis adviezen over de regels die de firewalls hanteren. De beheerder kan ervoor kiezen deze voorstellen met één vinkje in het dashboard over te nemen en dan is een nieuwe virtuele firewall meteen geconfigureerd.”

Elke virtuele machine krijgt zijn eigen beveiligde omgeving. Cybercriminelen kunnen er zodoende niet van buitenaf op inbreken, maar het voorkomt ook dat malware ‘overspringt’ van de ene virtuele machine naar de andere. “Met CloudHive hebben we een oplossing die specifiek ontwikkeld werd voor deze microsegmentatie,” zegt Rudie Egberink, technical account manager bij Contec. “Daarmee kunnen we per individueel systeem regelen wat het verkeer van A naar B mag zijn tussen de virtuele machines.”

Dat betekent dat Hillstone niet alleen het ‘noord-zuid’-verkeer regelt, dus wat er van buiten naar binnen komt, maar ook het ‘oost-west’-verkeer dat binnen het netwerk plaatsvindt, voegt Calf daaraan toe. “Dat houden we in de gaten per virtuele machine. We creëren daar een schil omheen en verbinden daar beleidsregels aan. Zo kunnen de virtuele machines die op één fysieke server staan elkaar niet infecteren.”

Voor klanten is dit een belangrijk voordeel van Hillstone, zegt De Gier. “Door aanvallen zoals de ransomware WannaCry zien organisaties dat een interne verspreiding ernstige gevolgen kan hebben. Dat is nou net iets waartegen men zich met microsegmentatie heel goed kan beschermen.”

gelaagde beveiliging contec

Welke rol speelt Mojo Networks in een gelaagde beveiliging?

Mojo Networks beveiligt draadloze netwerken met Mojo AirTight, zijn Wireless Intrusion Protection System (WIPS). Mojo heeft daarbij niet alleen aandacht voor dreigingen van buitenaf, maar ook van binnenuit de organisatie. De oplossingen van Mojo zorgen ervoor dat alle draadloze aanvallen, bedreigingen en apparaten automatisch gedetecteerd en geclassificeerd worden.

Door deze automatische classificatie kan Mojo de echte bedreigingen van de valse scheiden en de aanvallen tegenhouden voordat deze schade kunnen aanrichten aan het netwerk. “Een goed voorbeeld daarvan is dat een medewerker of een externe partij besluit om zijn eigen access point op jouw netwerk aan te sluiten,” zegt Egberink. “Mojo ziet dat als een malafide access point en waarschuwt de beheerder. Daarnaast zorgt Mojo ervoor dat de bedrijfsapparaten geen verbinding kunnen maken met dat access point. Zo kunnen derden geen verkeer onderscheppen via een access point dat niet van jou is.”

Mojo is zo goed in het scannen van de omgeving doordat de access points naast de 2.4 en 5 GHz radio’s nog een derde radio aan boord hebben, zegt Calf. “Dit is puur een extra radio om constant het spectrum te scannen. Dat maakt inzichtelijk wat voor apparaten er gebruikt worden en hoe de access points presteren. Zoals Hillstone het netwerkverkeer continu controleert, kan Mojo het hele draadloze spectrum controleren. Dat wordt goed in beeld gebracht door middel van een beheerconsole.”

Hillstone gebruikt ‘intelligentie’ om zijn producten te versterken. Doet Mojo Networks dat ook?

Mojo Aware voorziet in direct en real-time inzicht in het wifi-gebruik. Het laat weten wanneer en waarom clients niet met het netwerk kunnen verbinden, volgt vertragingen van netwerkdiensten en onderzoekt actuele en historische verbindingsrapporten.
Mojo kan hierdoor proactief ingrijpen als een kwetsbaarheid van een apparaat misbruikt wordt en dat actief tegengaan, vertelt De Gier. “Op het moment dat bijvoorbeeld een Android-systeem niet juist gepatched is, dan is het mogelijk om met Mojo Networks daar alsnog een beschermlaag tussen te zetten. Deze actieve beschermingsmodule voorkomt de aanval op die kwetsbaarheid.”

Een ander voorbeeld van security met Mojo is dat het mogelijk is om het systeem automatisch te leren dat een apparaat bij een bepaald netwerk hoort. Janssen: “Wanneer een apparaat eenmaal verbonden is met een bedrijfswifi, wordt het daar automatisch aan gekoppeld. Als de gebruiker dan toch handmatig wisselt naar een ander netwerk in de buurt, misschien zelfs in hetzelfde pand, om een beveiligingsmaatregel te omzeilen en toch te verbinden met het gastwifi, dan blokkeert het systeem dat.”

Daarnaast kan Mojo de prestaties van applicaties via het draadloze netwerk testen, vervolgt Janssen. “Men kan bijvoorbeeld kijken hoe Office 365 of Salesforce presteert. Dat maakt duidelijk of de gebruikerservaring uit het draadloze netwerk voortkomt of uit de endpoint, dus het apparaat van de eindgebruiker.”

“Ze willen dat verder door gaan trekken zodat ze straks ook bijvoorbeeld VoIP-gesprekken kunnen gaan simuleren,” voegt Egberink daaraan toe. “Mojo wil zich nadrukkelijk niet alleen profileren als securityleverancier, maar als de leverancier van een platform waarmee men de hele draadloze netwerkinfrastructuur kan beveiligen, testen en beheren.”

Welke rol speelt Webroot in een gelaagde beveiliging?

“Contec heeft altijd producten voor endpointbeveiliging gevoerd,” zegt Calf. “We zijn met Webroot begonnen omdat we te maken kregen met een verandering op het gebied van malware.” Die verandering hield in dat antivirussoftware in het verleden werkte op basis van de karakteristieke eigenschappen van kwaadaardige code. Deze code was herkenbaar aan de zogenoemde ‘signature’, of handtekening, van de maker. Antivirussoftware kon, door het binnenkomende verkeer te controleren op deze signatures, veel malware herkennen en tegenhouden. “Die signaturedatabase was een paar jaar geleden nog de basis van endpointbeveiliging,” zegt Calf. “Zo lang gebruikers updates met nieuwe signatures installeerden, waren zij veilig tegen de laatste variant van malware. Er kwamen echter meer varianten die maar heel even actief waren.”

Cybercriminelen hebben grote stappen voorwaarts gemaakt en creëren tegenwoordig ‘polymorf’ malware. Deze past zichzelf automatisch aan zodra beveiligingsproducten zich ertegen wapenen. Dat leidt tot malwarecode die uniek is voor één aanval en deze ontkomt aan het zicht van de traditionele antivirussoftware. “We zien daarom nagenoeg geen malware meer met een herkenbare signature,” zegt De Gier. “Alles is tegenwoordig polymorf. Bij onderzoek heb ik bijna altijd te maken met een uniek stuk malware. Die heeft weliswaar dezelfde basis, maar als je kijkt naar het stukje code op machine A en een stukje code op machine B, zit daar net genoeg verschil in dat een signaturebased oplossing niet goed meer werkt.”

Daar zijn updates van antivirussoftware niet meer tegen bestand, aldus Calf: “Een update is dan gewoon te laat om nieuwe malware te ondervangen. We zochten daarom naar een oplossing voor endpointbeveiliging die past bij die nieuwe situatie. Webroot is er daarbij als beste uitgekomen omdat zij niet kijken naar de signature, maar naar de inhoud van het verkeer. Zij inspecteren de data zelf en leggen de correlatie tussen die data en wat zij weten van malware.”

Gebruikt Webroot ook intelligentie?

Het Webroot Intelligence Network (WIN) verzamelt, analyseert en correleert bedreigingsgegevens doorlopend, en dat zorgt ervoor dat de bescherming optimaal blijft. WIN deelt zijn kennis met de BrightCloud Threat Intelligence Services van Webroot. Daarmee bouwt Webroot een reputatie van allerlei documenten en bestanden, maar ook van de inhoud van al het internetverkeer, weet Janssen. “Dus als een proces begint te communiceren met een IP-adres of een domeinnaam op internet, dan weet Webroot onmiddellijk wat de reputatie van dat IP-adres is. Op basis daarvan beslist de software of het verkeer wordt toegelaten op het systeem.”

Zo blijft Webroot zelfs de nieuwste vormen van polymorfe malware voor en houdt het infecties tegen voordat zij zich kunnen verspreiden. Dat werkt twee kanten op: enerzijds stopt de software kwaadaardig binnenkomend verkeer al op de grenzen van het netwerk en anderzijds voorkomt het dat gebruikers toegang krijgen tot ongewenste en onbetrouwbare websites.

De endpoints, de apparaten die men gebruikt om toegang te krijgen tot het netwerk, verbinden met BrightCloud en WIN van Webroot in de cloud. Er zijn dus geen zware bestanden of processen nodig op de endpoints zelf. Dat komt de prestaties van de endpoints ten goede, aldus Egberink. “Er is nagenoeg geen rekencapaciteit op de endpoint nodig. Daarmee behaalt Webroot een grote performancewinst en dat zien we terug bij alle klanten die we mochten verwelkomen op het Webroot-platform. Voor hen is dat een van de belangrijkste redenen om te kiezen voor Webroot.”

One-stop-shop of best-of-breed?

De oplossingen van Hillstone Networks, Mojo Networks en Webroot beschermen de verschillende lagen binnen het netwerk. Om de bescherming dekkend te maken, zoals plakjes gatenkaas, moeten organisaties dus werken met de oplossingen van verschillende leveranciers. Is dat wel handig? De Gier: “Voor een gelaagde beveiligingsstrategie wil je juist te maken hebben met meerdere leveranciers, want je hebt op elk vlak het best beschikbare product. Het lijkt gemakkelijker om met één vendor te werken voor alle oplossingen, maar in de praktijk is dat toch vaak gefragmenteerd omdat er andere teams mee werken. Dan ben je alsnog met verschillende producten bezig.”

Bovendien betekent de keuze voor één leverancier dat organisaties afhankelijk worden van die leverancier, voegt Calf daaraan toe. “Dat zou ook niet ons advies zijn, om alles bij één vendor onder te brengen. Je ziet het ook steeds minder in grote omgevingen.” Mochten organisaties echte integratie willen, dan kan dat ook, verzekert Janssen. “De meeste leveranciers werken met zogenoemde API’s die het mogelijk maken om hun producten te koppelen aan die van anderen. Als je bijvoorbeeld wilt dat Webroot endpointdetectie doet en je wilt er zeker van zijn dat dit ook via het draadloze netwerk van Mojo werkt, of dat de firewall van Hillstone automatisch een regel aanmaakt, dan is dat gewoon mogelijk.”

Zo voegen alle oplossingen iets aan elkaar toe op het gebied van security, zegt Egberink. “Doordat er niet heel veel overlap in de producten zit, qua functionaliteit, versterken zij elkaar. Er zijn ook technische mogelijkheden om ze met elkaar te laten praten. We hebben vooral voor deze leveranciers gekozen omdat niet elk product dezelfde engine heeft en op een andere manier werkt. Geen van de oplossingen op zich biedt 100% beveiliging en het samenvoegen van deze leveranciers zorgt ervoor dat je een gelaagde beveiliging kunt gaan bouwen.”

Naar boven