Pro-actieve beveiliging is tegenwoordig het devies van veel beveiligers. Intrusion Prevention Systemen zijn hier een goed voorbeeld van. Niet langer wachten tot de aanval al begonnen is, maar voorkomen dat die zelfs kan plaatsvinden. Wij interviewden Bert van Es, sales manager van IBM Internet Security Systems.

Security.NL: Hoe voorkom je dat systeembeheerders door alle false positives van een IDS/IPS "lui" worden en echte dreigingen negeren?

Van Es: Het IBM Internet Security Systems SiteProtector management systeem is ontwikkeld voor de configuratie en het beheer van het totale portfolio. SiteProtector, zeker in combinatie met de optionele SecurityFusion Module, zorgt voor een krachtig en flexibel systeem voor het registreren en analyseren van events. De SecurityFusion Module maakt het mogelijk op aanvullende (vulnerability) informatie met betrekking tot ‘assets’ te filteren, wat resulteert in een sterke reductie van het aantal false positives.

Security.NL: IPS draait om preventie. Wordt er een aanval gedetecteerd dan doet het systeem een tcp reset. Het is dan eigelijk al te laat omdat de paketten van de aanval al verzonden zijn en de server toch een hit krijgt. Hoe kun je aanvallen op een geavanceerde manier afslaan zonder echte impact?

Van Es: Het is een understatement dat ‘Intrusion Prevention’ gericht is op preventie. IBM Internet Security Systems, pionier op dit gebied, geniet een reputatie in termen van preventieve oplossingen. De basis hiertoe vormt de unieke research, uitgevoerd door X-Force. Over de jaren heeft X-Force bewezen een aanzienlijk aandeel te hebben in het opsporen en analyseren van kwetsbaarheden in systemen. Daarnaast is X-Force continue actief in het creeren van pro-actieve beveiligingsoplossingen. In dit kader is het tijdperk van de tcp-reset met de komst van IPS systemen definitief afgesloten.

Onze IPS systemen voorzien in meerdere technieken aanvallen (malicious traffic) te blokkeren alvorens schade toegebracht kan worden. Essentieel hierbij is de Protocol Analysys Module, in staat meer dan 150 protocollen volledig te decoderen en te analyseren op schadelijk verkeer. Daarnaast zijn voorzieningen opgenomen in de vorm van gedragsanalyse, exploit payload detectie en in zéér beperkte mate Vulnerability Decodes (signatures).

Concluderend kunnen we stellen dat de achterliggende systemen niet meer bereikt kunnen worden zoals verondersteld.

Security.NL: Hoe voorkom je dat je IPS gehackt wordt, aangezien de sniffer via code te exploiten is?

Van Es: De IBM Internet Security Systems IPS systemen zijn volledig ‘onzichtbaar’ binnen de infrstuctuur en als zodanig niet te adresseren.

Security.NL: In hoeverre kan een IDS/IPS nieuwe aanvallen herkennen aangezien er voornamelijk met signatures wordt gewerkt?

Van Es: Onze IPS systemen maken in zéér beperkte mate gebruik van Vulnerability Decodes (signatures). De kwaliteit, lees effectiviteit, van de oplossingen wordt in grote mate bepaald door de kombinatie van meerdere technologiën om de veelheid aan exploit technieken het hoofd te bieden.

Security.NL: Is een IDS/IPS interessant voor thuisgebruikers of alleen voor bedrijven?

Van Es: De oplossingen als zodanig zijn zeker interessant voor iedere toepassing. Bovendien is het portfolio dusdanig ontwikkeld en uitgegroeid dat met recht gesproken kan worden van een oplossing voor iedere toepassing en ‘beurs’. Voor thuisgebruik is de Proventia Desktop software of een Proventia MX1004 all-in-one appliance een optie, terwijl het bedrijfsleven keuze heeft uit oplossingen die schalen tot 10 Gig IPS systemen.

Security.NL: Tegenwoordig wordt er zoveel data verstuurd, kun je alle pakketjes wel inspecteren en opslaan, en wat als het verkeer versleuteld is?

Van Es: De toenemende hoeveelheden dataverkeer en versleutelen van datastromen vormen op zichzelf geen groot probleem. De oplossing voor dit probleem ligt veel meer in de aard van de verkozen oplossing(en) en de plaats binnen de IT infrastructuur waar de oplossing(en) gepositioneerd worden.

In grote lijnen kan de IT infrastructuur verdeeld worden in een drietal ‘lagen’ t.w. Host, Netwerk en cliënt. Beschermende maatregelen zijn mogelijk van de gateway tot en met de edge.

Security.NL: In hoeverre kan een IDS bijdragen aan een forensisch onderzoek?

Van Es: Uitgaande van een IPS oplossing kan deze zeker bijdragen aan forensisch onderzoek. Alle communicatie wordt immers gevolgd en gegevens worden vastgelegd. Een IPS systeem biedt hier wederom meerwaarde, simpelweg omdat volledige verkeersstromen kunnen worden vastgelegd. De oplossingen van IBM Internet Security Systems voorzien in dit kader zélfs in hiertoe geeigende policies.

Overigens zal het eerder besproken SiteProtector platform eerder bijdragen aan foresisch onderzoek. Dit simpelweg omdat dit systeem alle relevante gegevens opslaat en snel en effectief in staat stelt op basis van filters de gegevens te representeren. Denk hierbij bijvoorbeeld aan het opvragen van allle geregistreerde ‘events’ geïnitieerd vanuit ip-address ‘xyz’.

Security.NL: Als je een verdeling kunt maken qua anti-malware, access control, firewall en IDS, hoeveel procent van de verdediging wordt dan door een IDS op zich genomen?

Van Es: Het is niet geheel duidelijk wat in deze context onder anti-malware wordt verstaan.

In relatie tot access control en firewall is de conclusie dat deze technologiën gericht zijn op het tot valideren van communicatie. Dit zegt (nog) niets over de inhoudelijke communicatiestro(o)m(en) en de intentie(s) van de betreffende gebruiker(s). Uitgaande van het feit dat het IPS systeem óók bescherming biedt tegen malware zou het antwoord 100% zijn.

Security.NL: Als je niet op de waarschuwingen van een IDS kunt vertrouwen omdat er teveel ruis tussen zit, wat is dan de meerwaarde van zo'n oplossing?

Van Es: Een correct geïmplementeerd intrusion detection/intrusion prevention systeem is geoptimaliseerd om het aantal false positives tot een minimum te beperken. Als er sprake is van ‘gebrek aan vertrouwen’ zegt dit meer over de wijze van implementeren dan over de waarde van de oplossing als zodanig...

Security.NL: Bedrijven bieden IDS als een produkt aan, maar IDS is meer dan een doos, het is het analyseren van data, dat wordt niet aangeboden. Hoe zorg je ervoor dat de mensen die ermee werken van hetzelfde niveau als de oplossing zijn?

Van Es: De implementatie van intrusion detection/intrusion prevention systemen is doorgaans geen kwestie van simpelweg een product instaleren. Doelstelling(en) van de afnemer(s) zijn divers en zijn de betreffende informatiesystemen bepalend voor de keuze van oplossingen.

De vraag is evenzo “Hoe zorg je ervoor dat de de oplossing van hetzelfde niveau is als de mensen die ermee werken.”

Security.NL: Een gevaar van IDS/IPS is dat bedrijven wachten met patchen/hardenen/configureren omdat het systeem "toch wel beveiligd is".
Geeft een IDS geen vals gevoel van veiligheid omdat een echte hacker toch wel binnenkomt en bedrijven het als een wondermiddel zien?

Van Es: Wij propageren op geen enkele wijze het achterwege laten van patchen/hardenen/configureren van systemen. Echter binnen de geldende bedrijfsprocessen is inmiddels onomstotelijk bewezen dat de juiste maatregelen in staat stellen pro-actief een bijdrage te leveren.

Het consept van virtual patching neemt de druk weg opgelegd door service-windows, verhoogt beschikbaarheid van systemen en heeft een positieve bijdrage t.a.v. integriteit van systemen.

Security.NL: Laatst las ik dat het beter is om een IDS te vervangen door een grote hoeveelheid tapes om al het verkeer op te slaan, aangezien een IDS je niet waarschuwt als een aanval gaande is, en je in het geval van de tapes nog kunt zien welke machine het eerst gehackt is.

Van Es: Onze oplossingen en diensten zijn erop gericht pro-actief bescherming te bieden. Anders gezegd het voorkomen van het uitnutten van kwetsbaarheden binnen onze informatiesystemen.

In het geval van de analyse van gerapporteerde meldingen is het eerder besproken SiteProtector platform het aangewezen hulpmiddel om relevante rapportages te creëren.

In termen van een vergelijk tussen de door IBM Internet Security Systems geboden oplossingen en een analyse netwerkverkeer zijn de verschillen zowel in mogelijkheden als effectiviteit enorm.
Dit nog los van de practische haalbaarheid van het gesuggereede alternatief, voor zover we hiervan mogen spreken.

Security.NL: Moeten bedrijven zich niet meer richten op het verbeteren van hun beveiliging voordat een incident zich voordoet, in plaats van hoe ze erop moeten reageren?

Van Es: Informatiebeveiliging en de hieraan gekoppelde maatregelen moeten gezien worden als integraal onderdeel van het risico management. Verschillende sectoren stellen verschillende eisen.

In dit kader is een simpel vergelijk te maken met het sluiten van verzekeringen. Uiteindelijk geldt het gewenste eindresultaat, wat willen we bereiken en wat hebben we hiervoor over? Niet minder belangrijk, wat zijn de randvoorwaarden?

Wat bepaald voor de particulier de keuze tussen WA of Casco verzekeren van de auto?
Waarom wordt een alarmsysteem op de zakelijke auto in veel gevallen door de verzekeraar verplicht gesteld?

Security.NL: Wat voor nieuwe ontwikkelingen zien/verwachten jullie op het gebied van IDS/IPS?

Van Es: De verwachting is dat met de huidige convergentie op het gebied van security in het algemeen het aanbod meer transparant wordt. Afnemers van producten en diensten zullen hier op basis van een hogere mate van bewustzijn voordeel hebben. De particulier en het midden- en kleinbedrijf zullen op deze gronden voornamelijk gebaat zijn bij een duidelijk beeld van de geboden mogelijkheden in termen van beschermende maatregelen. In de enterprise markt daarintegen wordt een verschuiving van de geïntegreerde oplossingen naar service georienteerde modellen voorzien.