Menig it-manager zucht als hij een investeringsvoorstel moet doen om het netwerk veilig te houden. Hij weet namelijk dat hij vervolgens de vraag krijgt of het echt nodig is om de budgetten voor informatiebeveiliging wéér op te schroeven. “Er zijn de laatste tijd toch geen grote uitbraken meer geweest!”
Peter Tippett moet het al duizenden keren hebben uitgelegd. Als chief technical officer van Cybertrust of als adviseur van het Witte Huis. Het beveiligen van een netwerk blijft een doorlopend proces waar helaas steeds opnieuw geld in gestoken moet worden. Computers zijn namelijk gemaakt om applicaties op te draaien en een virus of worm is niets anders dan wéér een applicatie op het systeem. “Voor computers is het onmogelijk om onderscheid te maken. Een virus is een programmaatje en pc’s hebben nu eenmaal geen ingebouwd overlevingsmechanisme, dus moeten we dat steeds toevoegen. Er is in dat opzicht helaas geen enkel verschil tussen een virus en een applicatie. Was die er wel dan was informatiebeveiliging eenvoudig”, vertelt Tippett. “Anderzijds ligt het in de natuur van de gebruiker dat hij niet gelimiteerd wil worden in zijn keuzes. In theorie zou de oplossing tegen kwaadaardige code dan ook alleen maar die applicaties draaien waarvan zeker is dat ze geen kwaadaardige code bevatten. We zijn echter verslaafd aan nieuwe software en met die vernieuwingsdrang ontstaan weer verse potentiële gevaren.” Tippett legt uit dat toen hij tien jaar geleden werkte aan de eerste versies van Norton ze geprobeerd hebben deze methodiek van antivirus te introduceren, maar dat dit al snel geen haalbare kaart bleek. “In die dagen was het aantal virussen ook nog beperkt en waren ze gemakkelijk te herkennen aan hun signatures. We zijn die weg dus maar ingeslagen en zo werken de meeste anti-virusprogramma’s nog steeds. Het betekent wel dat we steeds achter de feiten aan blijven lopen.”
Kijk naar procedures
Volgens Tippett is het slechts toelaten van gecertificeerde applicaties op het bedrijfsnetwerk niet meer werkbaar. Computernetwerken zijn namelijk heterogener dan ooit. “Toen we daar destijds bij Norton 3 aan werkten, draaide alles nog op hetzelfde OS en maakte de applicaties gebruik van dezelfde instructiesets. Tegenwoordig zijn er zoveel processen die weer door andere applicaties worden geinterpreteerd, dat het probleem bijna niet meer op te lossen is met een simpele whitelist. Misschien is het technisch wel mogelijk, maar er is in ieder geval geen leverancier meer die dit aanbiedt.” Tippett meent ook dat het zinloos is van een securityproduct te verwachten dat het alles en iedereen weet tegen te houden. Hij was een van de eersten die liet zien dat het onbetaalbaar zou worden om één allesomvattend product te ontwikkelen. “Natuurlijk is het zo dat het gros van de nieuwe kwaadaardige code alleen maar kleine wijzigingen op een bestaand thema bevat en daarmee eenvoudig tegen te houden is. Je kunt echter niet verwachten dat een anti-virusproduct alle aanvallen tegen kan houden. Daarom is het verstandig om meerdere lagen aan te brengen. Een dergelijke laag hoeft overigens geen technische oplossing te zijn. Het kan ook een relatief goedkope procedure zijn. Alleen al door gebruikers te leren geen onbekende bijlagen te openen, hebben we in het verleden een hoop bereikt. Dat kunnen we verder doorvoeren. Geen van die lagen zal overigens een volledige bescherming bieden, maar als ze elkaar overlappen, zal maar een klein percentage door de mazen glippen. Dat kleine percentage zullen we helaas voor lief moeten nemen.”
Proactief niet dé oplossing
Eugene Kaspersky, de voorman van Kaspersky Labs (en nog steeds hoofd Research) is het eens met de stelling dat er altijd lekken zullen zijn. “Ik geloof wel dat we, zeker binnen bedrijfsnetwerken, enorme vorderingen hebben gemaakt. Meestal zijn we er ook snel genoeg bij om epidemische uitbraken te voorkomen. Dat is belangrijk, maar niet het hele verhaal. Zoals bekend is het viruslandschap aan het veranderen. Het gaat niet langer om het creëren van een epidemie om zo het nieuws te halen. Die vandalen, zoals ik ze maar noem, kijken tegenwoordig wel uit. Wie een nieuw, grootschalig virus ontwikkelt, weet dat de FBI ze achterna gaat en vervolgt. Het venijn zit ‘m in de criminalisering waarbij een schrijver van malware er juist alles aan doet om onopgemerkt te blijven. Het is helemaal niet meer in het belang van de criminele opdrachtgever om zoveel mogelijk computers te besmetten. Een zombieleger van een miljoen is simpelweg niet beheerbaar. Er zou veel te veel werk gaan zitten in het verwerken van gegevens en met tienduizend bots kan je ook een gevoelige aanval uitvoeren.” Als het gaat om de bestrijding van virussen gelooft Kaspersky niet dat de huidige ontwikkeling van heuristische en proactieve methodes de definitieve oplossing zullen opleveren. “De schrijvers van malware zijn ook niet gek. Die hebben de laatste versies van alle anti-virusproducten en wijzigen hun kwaadaardige code net zo lang totdat deze niet wordt herkend.” Kaspersky is net als Tippett een voorstander van overlappende beveiligingslagen en wijst op de noodzaak om naast de pc’s alle andere apparaten binnen de infrastructuur te beveiligen. “Het begint al bij de gateway, maar ook alle mobiele componenten, zoals laptops, pda’s en smartphones moeten hun eigen beveiligingslaag hebben. Hoe vaak komt het niet voor dat alles redelijk dicht zit maar de laptop of PDA van thuis in het systeem wordt gehangen en zo malware naar binnen brengt. Ik geloof dat er verschillende procedures moeten zijn waar ieder apparaat en misschien wel iedere gebruiker maar een beperkte toegang tot het netwerk krijgt. Voor een desktop gelden namelijk andere risico’s dan voor een smartphone met bluetooth. Organisaties moeten nadenken of ze iedereen wel dezelfde toegang tot het netwerk moeten geven. Waarom een P2P- of multimediapoort open laten staan als de gebruiker alleen maar toegang hoeft te hebben tot een beperkt deel van de administratieve software? Natuurlijk zijn technische oplossingen een deel van de oplossing; investeren in procedures is voor de zakelijke markt zeker zo belangrijk.”
Lagen
Zowel Tippett als Kaspersky vindt dat het bedrijfsleven er helaas niet aan ontkomt te blijven investeren in informatiebeveiliging. Tippett meent echter dat het onnodig is geld te steken in de allernieuwste technieken. “Het gaat om het toevoegen van lagen. Een enkele laag zoals een anti-virusproduct, een firewall of een procedure hoeft helemaal niet zo duur te zijn. Liever twee goedkope, overlappende lagen dan één duur product dat alles denkt te bevatten.” Kaspersky denkt vooral dat de houding van het management moet veranderen. “Antivirus moet niet gezien worden als een product dat steeds opnieuw moet worden aangeschaft, maar als een dienst of service. Je huurt toch ook iedere maand opnieuw beveiligers in die ‘s nachts af en toe langs je bedrijfspand rijden. Dat doe je toch ook niet eenmalig in de hoop dan voor altijd van inbrekers af te zijn! Verder is de schade wanneer er wel wat gebeurt, vele malen hoger dan de investering.”
What’s in a name
Virussen, wormen, trojans of spyware. Volgens zowel Tippett als Kaspersky doet het er niet meer toe hoe we ze noemen. Volgens hen is het allemaal malware met een meer of mindere kwaadaardige intentie. De verschillen zitten ‘m vooral in de manier waarop ze zich verspreiden of hoe ze hun kwaadaardige werk doen. Het gaat erom dat ze de gebruiker en de onderneming schade berokkenen. Die schade is met een DoS-aanval duidelijk, maar datadiefstal, reputatieschade of het simpelweg opsouperen van bandbreedte kan net zo duur zijn. Anti-virussoftware ziet adware vaak als spyware. Op dit moment lopen er een aantal rechtszaken waarin de rechter wordt gevraagd of men deze adware rechtmatig mag verwijderen.
Tippets theorie
Peter Tippett is ervan overtuigd dat geen enkele techniek alle rotzooi tegen kan houden. Volgens hem is het zoeken naar een ultieme oplossing vooral een te dure en een heilloze weg. Hij gelooft meer in verschillende, overlappende veiligheidslagen die op zichzelf maar een beperkte bescherming bieden, maar in samenwerking zo’n 97 procent van de kwaadaardige code kunnen tegenhouden. De Bayes Theorem is een simpele formule om dit te bewijzen.
– Als een beschermingslaag voor 70 procent effectief is, zal het in 30 procent van de gevallen juist niet functioneren.
– Twee lagen die elk 70 procent tegenhouden, geven een foutpercentage van 9 procent (0,30 x 0,30 = 0,09). Drie lagen laten dan nog maar 3 procent van de kwaadaardige code door (0,30 x 0,30 x 0,30 = 0,027).
Geen angst om security uit te besteden
Het mag geen verwondering wekken dat bij multinationals informatiebeveiliging het komende jaar een hoge prioriteit krijgt. Dat beweert tenminste Equant dat in een klein onderzoek onder 35 specialisten bij multinationals peilde wat hun plannen voor het komende jaar zijn.
Uit de studie blijkt dat 20 procent van de respondenten voor de investeringen in informatiebeveiliging een apart budget creëert, terwijl 37 procent aangeeft dit te doen via een specifieke business case. Uit een onderzoek van Watchguard blijkt verder dat de helft van de it-specialisten binnen een onderneming probeert het senior management te overtuigen van de noodzaak met wat zij de AOO-methode noemen. Angst, onzekerheid en ontkenning betekent vooral het schetsen van doemscenario’s omdat gewone aanbevelingen van de specialisten blijkbaar onvoldoende worden opgevolgd. “Hoewel veel organisaties informatiebeveiliging via de top-down formule benaderen en erg proactief zijn, heeft een groot aantal it-managers meer argumenten nodig om securityprocedures te implementeren en te updaten,” aldus Mark Stevens, verantwoordelijk voor de strategie bij Watchguard.
Uit de studie van Equant komt verder naar voren dat grote bedrijven steeds meer zijn geneigd delen van hun informatiebeveiliging uit te besteden. Vooral de alarmeringsfunctie laat men graag aan anderen over. Het afhandelen van incidenten doet men daarbij het liefste zelf. “Multinationals voelen zich steeds meer op hun gemak bij uitbesteding”, meent Lars Heeg, marketing director bij Equant. “Dat komt omdat ze zich realiseren dat de kern ligt in een duidelijk securitybeleid en een strategie waarover ze zelf de controle hebben en houden.” Een recent voorbeeld van zo’n uitbestedingstraject is de beslissing van ABN Amro om het beheer van de datanetwerken en firewalls wereldwijd onder te brengen bij MCI.
