Een sluitende beveiliging moet uitgaan van een coherente, onderliggende architectuur. Cisco hanteert dat principe al enkele jaren voor zijn security-aanbod en is daar al toe aan ‘fase III’.
| DDoS-aanvallers te lijf Aanvallen onder de noemer Distributed Denial of Service blijven in aantal toenemen. Vorig jaar moesten vele online wedkantoren en bedrijven die online betalingen afhandelen dagenlang stoppen met hun activiteiten, nadat criminelen complete legers van besmette computers gebruikten om systemen te overspoelen met enorme hoeveelheden dataverkeer. “Elke aanval van deze omvang kan je netwerk platleggen”, aldus Jayshree Ullal. Cisco en andere ict-bedrijven ontwikkelen nu systemen die de gevaren in kwaadaardig webverkeer kunnen detecteren en blokkeren, alsook enorme aantallen pagina-aanvragen van losse pc’s door het verkeer binnen enkele seconden om te leiden naar een ‘bewakingsmachine’, waarbij normale gebruikers gewoon toegang houden tot de diensten. “Grote internetproviders en andere grote ondernemingen gebruiken deze anti-DDoS-producten al op grote schaal”, aldus Ullal. |
‘Self defending network’
Cisco hamert bij dat alles op de noodzaak te starten vanuit een onderliggende architectuur om die integratie mogelijk en beheerbaar te maken. “Het is niet omdat men een geïntegreerd securitytoestel heeft staan, dat men ook een geïntegreerde beveiliging heeft”, aldus Peter Saenen, securityspecialist bij Cisco. “Dat is immers gewoon een laagje bovenop het netwerk, terwijl wij security in het netwerk bieden.” Jeff Platon, vice-president security product & technology marketing, stelt het nog scherper: “Door in de laatste jaren te investeren in een heleboel ‘pointproducts’ zitten heel wat bedrijven in feite met minder beveiliging dan voordien.”
Cisco gaat dus uit van het ‘intelligente informatienetwerk’ (IIN), waar alle vormen van ip-verkeer (data, video, spraak, …) samenkomen en die een intelligent beheer in functie van bovenliggende toepassingen vereist. Zo’n IIN moet ervoor zorgen dat elke toepassing en service op zichzelf efficiënter werkt, maar dat ook met elkaar doet. En steeds met een beveiliging van eindpunt-tot-eindpunt, aldus Cisco.
Dat alles vaart bij Cisco onder de vlag van het ‘self defending network’ (SDN), want de snelle evolutie van de bedreigingen en de complexiteit van de systemen maken dat de netwerken uit zichzelf meer weerstand moeten bieden. “Een netwerk zou naar analogie van het menselijk immunologisch systeem automatisch een afweer tegen problemen moeten starten, ook als die laatste voorheen nog niet ervaren werden door het netwerk”, merkt Bob Gleichauf, chief technology officer van de security technology group, op.
Aan de SDN-aanpak werkt Cisco in een aantal fasen, met in een eerste fase de integratie van security in zijn connectiviteitssystemen (‘integrated security’). In een tweede fase werd gemikt op netwerkbrede securitysystemen (‘collaborative security’, inclusief de ondersteuning van ‘policies’), ook in samenwerking met producten van derden. Cisco stelde hiervoor zijn initiatief Network Admission Control open voor bedrijven als Network Associates, Symantec en Trend Micro, maar vervolgens ook IBM (Tivoli Security) en Microsoft.
‘Fase III’ afgekondigd
Op de RSA Conference in San Francisco kondigde Cisco de ‘fase III’ van zijn Self Defending Network af, onder de noemer van ‘Adaptive Threat Defense’. De Cisco securityproducten moeten in deze fase in staat zijn preventief bescherming te bieden tegen nieuwe gevaren of die gevaren in ieder geval intelligent op te vangen, zodat de dienstverlening binnen het bedrijf er minimaal onder lijdt. De nieuwe mogelijkheden worden door Cisco keurig in drie vakjes gestopt, respectievelijk ‘anti-x defenses’ (het preventief blokkeren van kwaadaardige software), ‘application security’ (de bescherming van toepassingen, onder meer door de naleving van ‘correct gebruik’-richtlijnen af te dwingen) en ‘network control and containment’ (onder andere auditing en correlatiefaciliteiten).
Concreet rekent Cisco op krachtiger inspectieproducten, waarbij ook het gedrag van potentieel gevaarlijke elementen – meer dan puur ‘signaturen’ (het visitekaartje van de malware) – wordt gecontroleerd. In het ‘preventiesysteem’ wordt de gebruiker ook een ‘rating’ systeem geboden, als hulp bij het inschatten van de risicograad.
Overigens ontslaat dit de bedrijven niet van de noodzaak om vooraf (en continu) de eigen werking van het bedrijf af te wegen tegen de dreigingen van buitenaf. Er moet vooraf bepaald worden wie wat mag doen met wat (data, toepassingen) en onder welke omstandigheden, en de naleving van dat alles dient strikt te worden gecontroleerd. Ook moet een bedrijf uitrekenen wat belangrijk is om te worden te beschermd en waar security uberhaupt nodig is.
Zelfs in een wereld van netwerken die zichzelf verdedigen, moet de gebruiker het laatste woord hebben en houden. Of beter nog, het eerste en fundamentele inzicht in ‘wat moet, wat doet je goed’.
Hoeder van de ip-wereld
De diepste wortels van Cisco zijn en blijven die van een connectiviteitsbedrijf en dat blijkt toch ook uit de security-doelstellingen. Desgevraagd onderstreept Jeffrey Platon, vice-president security product & technology marketing, dat Cisco alles wil doen om de ondersteunende infrastructuur van de bedrijfsprocessen te beveiligen en te verzekeren van een ononderbroken continuïteit. Dat impliceert een integratie van beveiliging over verschillende platformen met een centraal beheer. Niet meteen nieuw voor Cisco, want volgens Platon doet het bedrijf “al vijftien jaar aan beveiliging, maar dan wel in de ‘secured connectivity business.” En dat is uiteindelijk de crux van het verhaal: als aanbieder van securitysystemen mikt Cisco “in eerste en laatste instantie op de ip space”, aldus Platon. Die nadruk, gecombineerd met het accent op een systeembenadering, maakt dat Cisco er stellig van overtuigd is over enkele jaren de dreigende ‘shake out’ in de security-bedrijven met succes te overleven.
Nieuw in fase III
Op de RSA Conference in San Francisco kondigde Cisco een rits producten aan ter ondersteuning van zijn derde fase in het SDN-initiatief. Versie 5.0 van Cisco’s Intrusion Prevention System biedt bijkomende mogelijkheden inzake het in-line blokkeren van ad/mal/spyware, evenals P2P- en IM-verkeer en een bescherming tegen misbruik van VoIP-verbindingen. De kracht van deze versie werd bewezen door een bedrijf dat “IPS 5.0 in bèta had en daardoor tegen Slammer werd beschermd, nog voor deze aanval bekend was”, aldus Jayshree Ullal, senior vice-president van de Security Technology Group van Cisco.
Ook van IOS, het besturingssysteem van de Cisco routers, is er een nieuwe versie, te weten release 12.3(14)T.
De PIX-firewall kan in zijn huidige versie 7.0 ook voor applicatie-inspectie worden gebruikt en kan draaien op de huidige systemen die PIX ondersteunen. Er is ook een versie 7.0 van PIX voor de PIX security appliance.
De Cisco VPN 3000 Concentrator ondersteunt in v. 4.7 nu ook SSL vpn.
De Cisco Security Agent (CSA) biedt in versie 4.5 bescherming tegen spy/malware, evenals een nauwere integratie met het eigen NAC.
Voor de Catalyst-familie introduceert Cisco nieuwe modules, respectievelijk een ‘anomaly guard’ en een ’traffic anomaly detector’. Deze producten steunen op de Riverhead DDoS-systemen.
Uit de Protego Networks-producten creëerde Cisco zijn product CS-MARS, alias Cisco Security Monitoring, Analysis and Response System (voor threat management, monitoring and mitigation).
Cisco Security Auditor biedt audit-mogelijkheden voor het doorlichten van de netwerkinfrastructuur in functie van de geldende beveiligingsrichtlijnen binnen het bedrijf en conform de ‘best practices’ binnen de branche.
