Na soms beschamend eenvoudig tot stand gebrachte inbraken in bedrijfsnetwerken, hebben veel ict-afdelingen hun lesje nu geleerd. Ze nemen beveiliging serieus; steeds meer netwerken worden dichtgetimmerd. Met succes, althans, zo lijkt het vaak. Iedere verandering in het netwerk brengt de beveiliging van de hele systeemomgeving in principe weer in gevaar. Keer op keer het gehele netwerk testen is onbegonnen werk, tenzij dat valt uit te besteden.
Beveiliging in cijfers Uit onderzoek van IDC blijkt dat 84 procent van de bedrijven zich beschermd voelt tegen hackers. In de praktijk blijkt echter dat slechts een kwart ook werkelijk reden heeft om zich veilig te voelen. Dat is althans volgens IDC-onderzoek het percentage bedrijven waar de beveiligingsmaatregelen structureel op het gewenste niveau liggen. Dit sluit aan op de bevindingen van een onderzoeksbureau Gartner, dat heeft vastgesteld dat 90 procent van de beveiligingsproblemen veroorzaakt wordt door configuratie- en beheerfouten. Opmerkelijk is ook een test die Psinet Europe enige tijd geleden deed. Het bedrijf richtte een ‘dummy server’ in zonder data, die bovendien niet publiek geregistreerd was. Het systeem kende dus alleen een ip-adres, en geen hostnaam. Binnen 24 uur werd de server 467 maal aangevallen, beter gezegd, door geautomatiseerde scanprogramma’s gevonden en onderzocht. Hoezeer hackers hun activiteiten hebben geautomatiseerd, blijkt uit het feit dat het overgrote deel van de aanvallen op de eerste dag plaatsvonden. In totaal is de server 626 maal aangevallen. Opmerkelijk was ook dat een aantal aanvallen tijdens de kerstdagen plaatsvond. |
Aan het woord is Neil Downing, product manager bij Psinet Europe in Londen. "Veel organisaties zijn toch wat gemakzuchtig wanneer het om security gaat. Vaak wordt gedacht dat het goed zit met de beveiliging, om de simpele reden dat deze nog nooit in het geding is geweest. Het feit dat een zwakke plek in de verdediging nog nooit door een hacker is benut, wil niet zeggen dat dit gat er niet zit en dus in de toekomst niet alsnog zou kunnen worden gebruikt."
Beveiliging testen
Als msp (managed service provider) heeft Psinet Europe op twee manieren met beveiliging te maken: voor het eigen netwerk en ten aanzien van de applicaties en websites die via co-locatie in het rekencentrum van het bedrijf in Amsterdam zijn geplaatst. Juist omdat niet alleen iedere wijziging in een systeem- of netwerkconfiguratie maar bijvoorbeeld ook een vergissing of nalatigheid als hiervoor beschreven een potentieel veiligheidsrisico vormt, heeft Psinet Europe ervoor gekozen om het testen van de beveiliging structureel aan te pakken. Dat gebeurt via de diensten van Pan Security International. Deze Amerikaanse firma heeft een methode ontwikkeld voor een automated vulnerability assessment (ava), een aanpak die ook wel een managed vulnerability assessment (wma) wordt genoemd.
"Pansec biedt een aanpak voor het testen van de beveiliging die ons om meerdere redenen aansprak", zegt Downing. "Allereerst gaat het om een test die compleet is, in tegenstelling tot andere producten die veelal slechts een deel van de totale systeemomgeving bekijken. Bovendien is de rapportage die uit de test volgt begrijpelijk. Het zijn geen dumps van logbestanden of iets dergelijks; we krijgen een rapport waarin duidelijk zichtbaar wordt gemaakt wat de stand van zaken is en waar eventuele problemen zitten."
Pansec positioneert het assessment-product als een zwarte doos. Dit wil zeggen dat het product standaard een groot aantal routers, servers, firewalls en dergelijke herkent en dus direct kan testen, zonder dat men vooraf moet opgeven welke systemen in het netwerk zijn opgenomen. Dit wordt tijdens de test automatisch vastgesteld. "Dat biedt als voordeel dat je dus niet iedere wijziging in het netwerk eerst moet doorgeven", meent Downing.
Prioriteiten stellen
De rapportage geeft alle gevonden zwakke plekken aan, inclusief aanvullende informatie over de aard van het probleem. Bijvoorbeeld: ‘Apache out of date’, ‘TCP Scan visibility’ of ‘Rlogin Vulnerable’. De beveiligingsrisico’s worden bovendien gerangschikt op grond van de ernst van het gevonden probleem. "Het voordeel van die prioriteitsstelling is dat snel duidelijk is wat de ernstigste problemen zijn. Zo kunnen de belangrijkste systemen als eerste aangepakt worden. Bovendien: ook wanneer slechts een beperkt financieel budget of weinig mensen beschikbaar zijn, is het mogelijk om op basis van inhoudelijke criteria te kiezen welke problemen als eerste aangepakt moeten worden."
De assessment van Pansec biedt daarnaast een faciliteit in de vorm van wat met ‘veranderingscontrole’ noemt. Bedrijven die besluiten om deze test regelmatig te laten uitvoeren, kunnen iedere keer in de rapportage een overzicht krijgen van de veranderingen die zijn opgetreden ten opzichte van de situatie die tijdens de vorige test werd aangetroffen. Zo is niet alleen de vooruitgang die ten aanzien van de beveiliging wordt geboekt zichtbaar te maken, maar zijn ook menselijke fouten als de nog steeds openstaande ftp-poort te vinden. Bovendien maakt dit zichtbaar in hoeverre genomen beveiligingsmaatregelen of in de netwerk- en systeemconfiguratie aangebrachte wijzigingen wellicht onverwacht negatieve gevolgen hebben.
In het whitepaper Do you see what they see waarschuwt Pansec ervoor dat een mva slechts een onderdeel mag zijn van een breder beveiligingsplan. Daarin horen onder andere het gebruik van firewalls, systemen voor het opsporen van indringers en een pki (public key infrastructure) thuis. Ook moet aandacht bestaan voor forensische analyse om de schade van eventuele incidenten gestructureerd te kunnen vaststellen en bijvoorbeeld de identiteit van mogelijke indringers te achterhalen. Door honderden tests uit te voeren op in principe duizenden ip-adressen is het mogelijk om de mate van beveiliging te meten. Het bedrijf ziet daarom een mva-aanpak daarom als het de laatste hand leggen aan alle overige beveiligingsmaatregelen die een organisatie neemt.< BR>