Expert: Defense in Depth is een mythe
In tal van beveiligingsadviezen wordt het toepassen van "Defense in Depth" aangeraden, maar volgens een Nederlandse beveiligingsexpert is de bescherming die deze "gelaagde beveiliging" zou bieden een mythe. Verschillende organisaties, van de NSA tot het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit, propageerden of propageren nog steeds het gebruik van Defense in Depth. Het gaat hier eigenlijk om een militair concept dat losjes naar ICT-beveiliging is vertaald, zo stelt Peter Rietveld van beveiligingsbedrijf Traxion.
"Dit model is feitelijk de opvolger van het chokepoint model van de jaren 90. Bij Defense in Depth in de ICT-incarnatie wordt op componentniveau beveiliging aangebracht. Per component is er een beveiligingslaagje. Daaruit hebben we de conclusie getrokken dat er sprake is van gelaagde beveiliging." Volgens Rietveld is dit echter een voorbarige conclusie.
Falende firewall
De eerste reden die hij hiervoor geeft is dat de technologie zelf gelaagd is. Elke technologielaag heeft dan wel een eigen beveiligingslaag, maar per te verdedigen object is er maar één beveiligingslaagje. De tweede reden die Rietveld noemt is dat de laagjes statisch zijn. "Als een laagje faalt is er geen back-up voorziening (al zeker niet in real-time) en valt het geheel om." Een virusscanner kan bijvoorbeeld niet als Intrusion Detection Systeem (IDS) optreden.
Een ander kritiekpunt is dat de lagen losse componenten zijn die niet samenwerken. Een falende firewall kan geen taken overdragen aan een systeem dat daar niet voor is neergezet of klaargemaakt. De beveiligingsexpert stelt dat een gelaagde beveiliging alleen kan als de beveiligingsmiddelen permanent meervoudig zijn uitgevoerd.
"Dat zie je terug in de Best Practices voor de DMZ, die voorschrijven dat er twee verschillende firewalls opgesteld moeten worden. In de praktijk werd dit echter vrijwel nooit zo uitgevoerd. Wat je wel ziet is een border en een gateway firewall, maar dat zijn verschillende, complementaire maar niet 100% inwisselbare rollen."
Mythe
Waar de route naar de vertrouwelijke bedrijfsgegevens in het verleden via het chokepoint model liep en zo beveiligd kon worden, hebben bedrijven tegenwoordig met meerdere toegangsroutes tot de data te maken. Aangezien organisaties niet weten wat de kritieke punten zijn en ze niet alle toegangsroutes kunnen beheersen, hebben ze in de praktijk met verschillende punten te maken waar ze eigenlijk meerdere lagen aan beveiligingsmiddelen zouden moeten opstellen.
"De diepte in de defensie is dus een veronderstelde diepte. De bescherming die uit zou gaan van dit concept is dan ook een mythe. Dat neemt niet weg dat Defense in Depth een uitstekend theoretisch concept is", besluit Rietveld in zijn gratis boek De Toekomst van Toegang, waar hij naast Defense in Depth ook op verschillende andere beveiligingsconcepten ingaat.
Een centrale firewall heeft een bepaalde taak. Een deel daarvan kan overgenomen worden door lokale firewalls op servers en werkplekken. Terwijl die centrale firewall wel een IDS functie kan hebben, bieden de lokale firewalls de mogelijkheid om vreemd gedrag van een bepaalde applicatie te blokkeren. Iets wat de centrale firewall niet kan doen. De IDS van de firewall werkt niet op individuele servers omdat die geen beeld van het gehele netwerk heeft.
Peter
Wie zegt dat er maar 1 beveiligingslaag is? Laten we als voorbeeld antivirusbescherming nemen. Welke maatregelen hebben we getroffen om virussen en malware via b.v. de e-mail buiten de deur te houden danwel te beheersen?
- Meerdere antivirus engines met verschillende engines op de mailserver en de werkplekken
- Inzet van IDS en IPS op servers en werkplekken
- Geen gebruik van admin rechten op de werkplek
- Software bijgewerkt met de meest recente security patches
- Acceptatie van een beperkt aantal bestandsextensies in e-mail bijlagen
- Inzet van firewalls (lokaal en netwerk) om ongeautoriseerd egress verkeer tegen te gaan
- 24x7 monitoring van servers en bepaalde werkplekken
- ...
Ik wil niet zeggen dat dit een normale gang van zaken is, maar toch. Wanneer 1 laagje faalt, bijvoorbeeld 1 antivirus engine, wie zegt dan dat het geheel omvalt? Als er toch malware doorheen komt, dan hebben we b.v. ook nog de bijgewerkte software, waardoor de Java exploits niet werken. Of hebben de mensen geen admin rechten, waardoor de malware niets kan etc.
Wie zegt dat organisaties dat niet weten? Als je de administratie van je netwerk niet op orde hebt en niet weet welke informatie over welke lijn of koppeling gaat, dan misschien wel. Maar hebben we daar geen business impact assessments en registratie van externe koppelingen voor? Daarnaast is ook nog maar de vraag of alle toegangsroutes niet beheerst kunnen worden. Soms gaat dat op, soms ook niet. Het hangt er allemaal vanaf. Het absolute karakter van dit soort uitspraken zorgt er al voor dat de uitspraken niet kloppen. Er zijn meerdere tinten grijs te onderkennen en die mis ik wel vaker in verhalend proza van Peter.
Voorbeeld; wil jij bij mijn ssh key, dan zul je eerst die fritzbox van de xs4all moeten verslaan (an zich waarschijnlijk niet zo moeilijk). Vervolgens kom je een WRT tegen met een iptables firewall die alleen van te voren gespecificeerde traffic toelaat (met een systeem als uitzondering hierop), wil je vervolgens naar dat systeem kom je een andere wrt tegen die o.a. controleert of je wel van het interne netwerk komt.. Op de bak met mijn ssh key staat vervolgens weer een firewall (vergelijkbaar met de tweede wrt dus kom je dan wel door), en moet je sshd/pam zien te verslaan alvorens je bij de ssh key zelf kan komen.
Geen van deze systemen kan een andere overnemen. Maar... als jij de fritzbox p0wnt heb je nog niet de WRT's verslagen. Je kunt 300 0-days hebben voor mijn ssh-daemon, maar zolang jij de iptables firewall niet hebt verslagen kun jij die ssh daemon niet eens aanspreken. Als een van drie routers in het pad 'faalt' in de zin dat 'ie kapot gaat kom jij het systeem ook niet op. Andersom komt dat systeem ook niet het internet op; de vraag of dit gewilt is of niet hangt af van de situatie.
An sich is dit best leuk; maar het is best lastig als je op dat systeem vervolgens wat wilt doen; daarom doet men dan vaak 'even een poortje open...', welk vervolgens open blijft en de 4 lagen aan defensie reduceert tot een enkele laag (namelijk die poort vinden om door de andere lagen heen te komen). Dit is de enige manier die ik zie om de 'mythe' te ontkrachten.
Maar waar komt het idee vandaan dat 'defense in depth' inhoud dat ieder systeem elk ander systeem kan vervangen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.