Problemen en ophef over rondwarende wormen zal meer regel dan uitzondering zijn. Niet zozeer doordat systeembeheerders hardleers zijn wat betreft patchen of langdurig testen. Nee, de crackersscene is aan het professionaliseren en criminaliseren, legt cto Gregor Freund van beveiligingsbedrijf Check Point uit.
Gregor Freund was tot eind 2003 ceo van het door hem opgerichte ZoneLabs, bekend van firewallsoftware ZoneAlarm. Zijn bedrijf is toen ingelijfd door Check Point Software, maker van serverfirewalls en monitoringsoftware. “ZoneLabs was succesvol in de endpoint-security, maar klanten wilden meer een end-to-end oplossing voor hun beveiliging. De combinatie van ZoneLabs en Check Point was dus ook technisch een goede.”
De van oorsprong Duitse topman legt uit dat er geen twijfel over heeft bestaan om de consumentenactiviteiten te behouden. “Het is moeilijk om zónder consumentenproduct ook een goed bedrijfsproduct te maken. We testen onze firewall daarmee in de praktijk.” Freund spreekt tegen dat het bedrijf consumenten gebruikt als proefkonijnen; wel biedt het bètaversies aan voor gebruik en evaluatie. “De enterprisemarkt is veel strakker, beperkter. Bijvoorbeeld wat betreft de set applicaties die bedrijven gebruiken. Het testbed is daarmee ook beperkt.”
De consumentenmarkt levert dus veel meer informatie over bedreigingen op, die weer nuttig zijn voor de bedrijfsproducten. “We bieden nog steeds best of breed. In beveiliging heb je geen keuze, want de specs van je beveiliging bepaal jij niet, maar de cracker – en die hééft best of breed tools. Denk aan een auto met drie deuren; alleen de zijportieren beveiligen heeft geen nut, want dan komt de inbreker wel via de achterkant binnen.”
Zwakke schakels
Dergelijke achterkanten zijn veelvuldig aanwezig in bedrijven. Beheerders kampen met desktops en laptops die vaak de zwakke schakel zijn in de keten van hun ict-infrastructuur. De paar kleine besmettingen door de Zotob-worm, breed uitgemeten door de nieuwsredacties van de getroffen mediabedrijven, waren in veel gevallen binnengekomen via laptops.
Computable vraagt Freund naar uitwegen. Het ‘op slot zetten’ van pc’s is een middel, maar volgens hem niet de oplossing. “De data bevindt zich nog altijd op de client, zelfs als ’t maar alleen op het scherm is. Dat is dus geen verbetering in het model. Het is wel iets veiliger, maar ’t blijft een kwestie van authenticatie. Een Trojan op de pc kan nog altijd schade aanrichten.”
Ook het gebruik van thin clients is volgens Freund geen wondermiddel voor de beveiligingsproblemen die reguliere pc’s met zich meebrengen. “Een thin client kan helpen, als ’t zou werken. Mensen hebben veel geïnvesteerd in pc’s en software en stappen daarom niet graag over. De network computer is dan ook mislukt, mede door de enorme prijsdaling van pc’s.” Een softwareleverancier als VMware probeert met zijn virtualisatiesoftware ACE wel een veilig, afgeschermd systeemimage te brengen, maar dat draait nog altijd op een gewone fat client.
In balans
Freund argumenteert voor gebalanceerde beveiliging. “Je kunt geen grens trekken tussen waar het veilig is en waar niet.” VPN’s, door critici wel gezien als tunnel-voorbij-de-bedrijfsfirewall, zijn in zijn ogen niet uit den boze. “Je moet je endpoint dan wel goed beveiligen, maar dat geldt voor elke vorm van remote access. Dus authenticeer de gebruiker, codeer de verbinding en beveilig de client. Doe alledrie die dingen!” Hij voegt daar aan toe dat deze tips onafhankelijk zijn van het gebruikte client-model. “Dit geldt voor pc’s, thin clients, terminals, enzovoorts.”
Waar vroeger voornamelijk de server werd beveiligd, is er nu ook veel aandacht voor de client. “Je moet nu niet alleen de endpoint beveiligen; ook het midden, remote access en beheer verdienen aandacht. Wij investeren dan ook in beveiligingscentra”, benadrukt de topman. Hij reageert verbaasd op de vraag of klanten beveiligingsleveranciers wel eens als paranoïde zien. “Nee, dat kom ik niet tegen. Je hebt soms wel eens een aandachtspiek op bepaalde gebieden door een hype. Ik zie liever gestructureerde informatisering en aanpak, dat levert meer op dan paniek.”
Pro en crimi
De Check Point-topman schetst het veranderende klimaat voor de beveiligingsindustrie: “We hadden vroeger te maken met kids; hacking for glory. Het is nu bijna honderd procent hacking for profit. We beseffen nog niet goed wat dat voor ons en voor gewone ondernemingen betekent”, waarschuwt hij. “Een aanpak met blacklists en handtekeningen werkt niet goed meer. Ook antispyware gaat nu nog uit van blacklists. Je moet kijken naar zaken als protocollen en gedrag van applicaties.”
“Een paar jaar terug zagen we erg complexe virussen; polymorfe software die gebruik maakte van encryptie om ontdekking te vermijden. Virussen zijn nu simpeler. Spyware was simpel, maar is nu complex.” Freund zegt dat de ‘goede’ ontwikkelaars zijn overgestapt naar die nieuwe vorm van kwaadaardige code. “Je hebt al low-level spyware die op het niveau zit van bijvoorbeeld device drivers. Er komt een punt waarop je het niet meer kunt verwijderen zonder een format. Daarnaast zie je nu ook steeds meer op maat geschreven kwaadaardige code.”
Hij stelt dat het voorkomen van downloaden, en installeren, van code niet is te voorkomen. “Controleer dus het gedrag: vindt er een deep install plaats, wil code starten bij het opstarten van de machine, dat soort dingen. Het gaat uiteindelijk om beveiligingsbevoegdheden voor software: bijvoorbeeld voor normale applicaties, vertrouwde en meest vertrouwde.” Laatstgenoemde software krijgt de meeste permissies en zou dus bijvoorbeeld antivirussoftware betreffen.
