"Kleine eilanden toekomst van netwerkbeveiliging"
Bedrijven worden aan de lopende band gehackt, het is dan ook tijd om anders over security na te denken, bijvoorbeeld door het overstappen naar kleine, gesegmenteerde netwerken. Daarvoor pleiten beveiligingsexperts Dan Kaminsky en Richard Bejtlich. Volgens Kaminsky hanteren de meeste bedrijven het mantra om te doen wat anderen doen, of het nu werkt of niet. "Het gaat niet om overleven, het gaat erom dat je 'due diligence' kunt claimen. Dat is prima als je je baan wilt behouden, maar slecht als je een technisch probleem probeert op te lossen."
Kaminsky stelt dat niemand op dit moment weet hoe je een veilig netwerk maakt. "Er is geen klip-en-klaar antwoord dat we niet volgen omdat we lui zijn." Het installeren van een intrusion detectie of preventie systeem (IDS/IPS) en het gebruik van een firewall en virusscanner zijn al lang niet meer voldoende.
Phishing
Veel bedrijven weten vaak niet eens dat ze gehackt zijn. Gemiddeld wordt een hack pas na 416 dagen ontdekt, gaat Bejtlich in een interview met Wired verder. En zelfs als de aanval wordt ontdekt en de malware van machines wordt verwijderd, volgen er vaak allerlei golven van nieuwe phishingaanvallen om binnen te komen.
Het Oak Ridge National Laboratory in Tennessee was het doelwit van zo'n aanval. Een e-mail die van personeelszaken afkomstig leek werd naar 530 werknemers gestuurd, ongeveer 11% van het totaal aantal werknemers.
In het bericht konden de ontvangers meer informatie over hun pensioen vinden als ze de meegestuurde link zou openen. De geopende website misbruikte een zero-day lek in Internet Explorer. De aanval werd vrij snel opgemerkt. Toch openden 57 werknemers de link en raakten twee computers besmet met de malware.
Eilanden
Bejtlich stelt dat in het geval van een aanval het bedrijf eerst een vertrouwde omgeving moet opstellen en waar niemand toegang toe heeft. Door uitgebreid al het netwerkverkeer te monitoren wordt vervolgens naar de aanvallers op andere delen van het netwerk gezocht. "Het doel is om ze zo snel te vinden, dat voordat ze je gegevens kunnen stelen, je ze er al uit hebt getrapt."
Kaminsky pleit voor het verkleinen van netwerken om de schade te beperken. "In plaats van een groot serverpark, wil je kleine eilanden maken, zo klein als operationeel mogelijk is. Als je je perimeter verkleint, moet je met mensen buiten je perimeter communiceren en een manier vinden om dat veilig te doen, zoals het gebruik van encryptie en authenticatie."
Daardoor kunnen machines niet meer ongehinderd met elkaar communiceren. "Het verandert de spelregels. Je kunt niet zeker weten dat je ontwikkelmachines of supportmachines niet zijn gehackt." Zo'n opzet is echter niet voor iedereen haalbaar. Bij sommige bedrijven is incident detectie respons dan ook een continu bedrijfsproces, stelt Bejtlich. "Ze hebben geleerd ermee te leven."
En we gaan toch massaal over op IPV6? (not!)
Nat heeft niets te maken met segmentatie. Laat staan dat je het als een beveiligings maatregel kan gebruiken.
De komst van ipv6 verandert niets aan de moeilijkheid om te segmenteren.
En we gaan toch massaal over op IPV6? (not!)
Als je meent van NAT afhankelijk te zijn voor security heb je heel wat meer stappen te maken dan compartimentaliseren.
Waarom denk je dat compartimentaliseren met IPv4 en NAT makkelijker zou zijn dan met IPv6 ?
Met IPv6 heb je ook en juist een grote adresruimte en kun je op een aantal manieren kleine eilanden maken zonder zorgen over snijverlies bij adressen.
Massal _over_ gaan zal uberhaupt niet gebeuren, het er massaal _naast_ gaan doen gaat hopelijk op tempo komen.
En we gaan toch massaal over op IPV6? (not!)
Ooit van routeren gehoord en subnetten? er is geen NAT nodig zolang je er maar tussen gaat firewallen.
En ook dat geeft problemen, er moet imho meer secure software komen, want ookal heb je een tiered approach met losse Frontend, business logic en database segment. Die SQLi query gaat er gewoon doorheen.
WAF's en IDS/IPS zijn ook geen toekomst
Makkelijker. Adresruimte te over, dus waarom moeilijk doen? Nu is een /24 volzetten met subnetjes voor klanten nogal een verspilling vanwege alle broadcast- en netwerk-adressen, gateways en misschien wel HSRP. Als iedere klant 1208925819614629174706176 ip-adressen heeft komt dat niet zo nauw.
En we gaan toch massaal over op IPV6? (not!)
Hard op weg. Het grootste probleem is de klanten overtuigen van de (kleine) extra investering in tijd nu. Van de andere kant: de investering is niet echt de moeite waard, op het moment. Iedere telco kan z'n android- en iphone-gebruikers probleemloos een ipv6-adres geven maar gek genoeg gebeurt dat niet.
Maar: IPv6 maakt het niet moeilijker maar juist een stuk makkelijker om iedere klant z'n eigen verzameling van subnetjes te geven, elk met een toegespits packetfilter.
Segmentering en de Cloud lijken ook erg tegenstijdig. Worden dan waarschijnlijk kuddes schapenwolkjes ;-).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.