Bedrijven worstelen met telewerken, ketenintegratie en beveiliging. Internet maakt veel mogelijk én onmogelijk. Philips’ DAP-divisie , die huishoudelijke producten produceert en ontwerpt, geeft distributeurs, leveranciers en werknemers toegang tot zijn datacenter via een webportaal.
De divisie Domestic Appliances & Personal Care (DAP) van elektronicaconcern Philips, die huishoudelijke producten produceert en ontwerpt, heeft een oplossing gevonden om werknemers en derden van buitenaf beveiligde toegang te geven tot de kern-ict. DAP geeft distributeurs, leveranciers en werknemers via een webportaal toegang tot zijn datacenter. Omdat het gebruik van internet niet zonder risico is, heeft men software van NetIQ in gebruik genomen. Dit om beter inzicht te krijgen in het beveiligingsniveau van de gehele infrastructuur én om hackers buiten de deur te houden.
Senseo en Philishave
Bij de productdivisie DAP worden huishoudelijke producten en items voor persoonlijke verzorging bedacht, ontworpen en geproduceerd. De R&D-afdeling, IT en de administratieve afdelingen zitten in Drachten, het hoofdkantoor zetelt in Amsterdam. Men ontwikkelt hier bekende producten als de Senseo, Philishave en de Perfect Draft Thuistap, maar ook andere huishoudelijke apparatuur als strijkijzers, friteuses en mixers. “De locatie Drachten heeft binnen Philips DAP een uitvinderspositie”, zegt Herrien Bisschop, manager Philips DAP Enterprise Security.
“Voor onze heterogene multi-platformomgeving hebben we de zogeheten Internet Centric Strategie ontwikkeld. Dat houdt in dat we het internet centraal stellen als platform. Wij willen rechtstreeks zaken doen en samenwerken met leveranciers, distributeurs, ontwikkelaars en toeleveranciers van kennis en materiaal en hen hiervoor onze webgebaseerde werkplekken aanbieden. In de toekomst krijgen onze eindgebruikers ook de mogelijkheid om onze producten rechtstreeks te kopen.”
Volgens Bisschop leent het internet zich uitstekend als netwerkinfrastructuur voor dit doel. Hiervoor hoeft immers geen speciaal netwerk voor te worden aangelegd (en onderhouden), zoals Philips’ eigen PGN (Philips Global Network). Het gedeeltelijk openstellen van het eigen netwerk op het internet betekent wel een verschuiving van het beveiligingsparadigma.
Toegang en beheer
Bisschop wilde de focus verleggen van ‘device security’ naar ‘content security’. Een werknemer of leverancier zou met iedere willekeurige pc op het netwerk van Philips DAP moeten kunnen binnenkomen. Alleen een browser, Internet Explorer of Firefox, is noodzakelijk. Dat maakt speciaal beveiligde computers overbodig en is een zegen voor de gebruiker en tegelijkertijd ook een enorme kostenbesparing wat betreft ict-onderhoud.
Bisschop: “Een gebruiker logt vanaf een webpagina één keer in op basis van een gebruikersnaam en wachtwoord. De software zoekt uit wie hij is en welke rechten hij heeft. Vervolgens komt hij dan terecht op een startpagina met verschillende applicaties. Technisch gezien is dat een ‘demilitarized zone’ die weer onderverdeeld is in verschillende gebieden. Een applicatie heeft een verbinding met een aantal backend servers in een bepaalde ‘straat’ en is gescheiden van de andere servers.”
“Afhankelijk van het informatietype en de bewerkingsrechten kan een tweede authenticatievorm noodzakelijk zijn. Wil je bijvoorbeeld toegang krijgen tot de SAP-omgeving met manipulatierechten, dan is SecureID nodig.” Bisschop overweegt ook een biometrische beveiligingsmethode, bijvoorbeeld voor de werkplekken van werknemers. “Omdat zij heel diep in het datacenter kunnen komen, wil je zeker weten dat ze zijn wie ze zeggen dat ze zijn.”
Identiteithacks voorkomen
Een online entree naar het datacenter is natuurlijk een regelrechte uitnodiging voor hackers. Identiteithacks en diefstal van intellectueel eigendom zijn de afgelopen jaren flink toegenomen en internetcriminelen gaan steeds professioneler te werk. Omdat het online toegankelijk maken van de infrastructuur van Philips DAP veiligheidsrisico’s met zich meebracht, ging men op zoek naar een gespecialiseerde partner. Bisschop had een aantal criteria: “De beveiligingssoftware moest kunnen samenwerken met de bestaande system management infrastructuur, uniformiteit van management bieden en eenvoudig te installeren en onderhouden zijn. Bovendien moest de software kunnen opereren met verschillende besturingssystemen. Ook zochten we een wereldwijde speler die zich al bewezen had.”
Er bleef slechts een kleine lijst met potentiële kandidaten over. De naamsbekendheid en mond-tot-mondreclame leidde Bisschop naar NetIQ. “De software van NetIQ werkt op verschillende besturingsystemen, kan real-time toegangscontrole en gebruikersactiviteiten monitoren zodat men sneller kan reageren op niet-geautoriseerde acties, en bevat een uitstekende log-analyzer ten behoeve van forensische analyse. Bovendien wilden we onze beveiligingsproducten zoveel mogelijk homogeniseren.”
Correlaties
“Wij zijn sterk in cross-device correlatie en analyse”, zegt Michel van der Laan, sales director Security van NetIQ – onderdeel van Attachmate. “Er worden correlaties gelegd tussen acties op verschillende niveaus. Een systeem registreert bijvoorbeeld dat iemand drie keer foutief heeft ingelogd. Dat zegt op zichzelf nog niets, wij leggen verbanden. Een aantal foutieve inlogpogingen in combinatie met een zogenaamde ACL change, waardoor rechten veranderd kunnen worden, is kenmerkend voor een geplande aanval. Deze worden out-of-the-box herkend door de NetIQ-software.”
“Vroeger hadden we allemaal verschillende security tools, van verschillende makers, voor verschillende doelen”, vervolgt Bisschop. “We zaten met verschillende contracten en platformafhankelijke software. Bovendien werden er geen correlerende verbanden gelegd tussen verschillende events. NetIQ Security Manager analyseert de logbestanden op basis van forensische analyse. Oftewel, de software zoekt correlaties op basis van acties in het heden én verleden met voorgedefinieerde en aanpasbare regels.”
“Dit verbetert de kennis van de beveiliging van de infrastructuur, verhoogt het beveiligingsniveau en toont aan dat men voldoet aan interne en externe security policies. Het legt een holistisch verband op drie verschillende plekken: de demilitarized zone, de netwerkarchitecturen en het datacenter zelf. Als er bepaald gedrag is op één van die drie plekken dat niet aan de baseline voldoet, dan wordt dat direct gerapporteerd. Dat geschiedt via een enterprise console en de helpdesk.”
‘False positives’ voorkomen
Het leggen van correlaties legt al snel veel verdachte omstandigheden bloot. Als die allemaal worden gemeld, kan dat echter leiden tot een ‘information overload’. “Personen die de beveiliging monitoren worden vaak ondergesneeuwd met meldingen”, zegt Van der Laan. “Grote bedrijven als Philips hebben te kampen met ongelooflijk veel hackpogingen. Dat levert dus ook een overvloed aan events op. Die zijn wel belangrijk om te noteren, maar vaak wordt de infrastructuur al afdoende beschermd, waardoor tegenmaatregelen niet nodig zijn.
“Daarom worden alleen de belangrijkste events er uit gefilterd en als waarschuwing getoond. Het aantal false positives wordt hierdoor geminimaliseerd. Onze oplossingen bevatten heel veel voorgeprogrammeerde regels op basis van best practices. Daarom worden alleen maar die events getoond die daadwerkelijk bedreigend zijn, waardoor onder andere de medewerkers van de helpdesk zeker weten dat als er een alert verschijnt dat deze ook serieus genomen dient te worden.”
Bisschop vult aan: “Normaal installeer je een product en bevat deze een standaardconfiguratie die nog helemaal moet worden afgestemd op de specifieke omgeving. De eventregels van NetIQ zijn gebaseerd op ervaringen bij andere ondernemingen, oftewel op concrete ervaring. Het systeem werkte out-of-the-box al prima en we wilden alleen nog een minimale set aan eventregels aanvullen. In sommige meldingen hebben we bijvoorbeeld direct een werkinstructie opgenomen, waardoor de helpdesk concreet op een event kan reageren.”
Proof of concept
Na de software bij een ander bedrijf in actie te hebben gezien werd een ‘proof of concept’ overeengekomen, waarmee NetIQ zich mocht bewijzen. De software werd geïmplementeerd om samen te werken met de eerste tachtig servers. Consultants van NetIQ liepen mee met de beveiligingsspecialisten van Philips om het verloop te bekijken en de eventregels optimaal af te stemmen. Na twaalf dagen zat het erop, wat volgens Bisschop ongekend vlot is.
“Tien tot twaalf dagen is wat ons betreft standaard voor een initiële implementatie in een dergelijke omgeving”, legt Van der Laan uit. “Uiteraard hebben we vooraf uitgebreide gesprekken. Daarbij vragen we de klant heel concreet wat men wil en schatten wij in wat we kunnen waarmaken en hoeveel tijd dat zal kosten. Out-of-the box zit er al heel veel content in de software, waardoor het relatief eenvoudig te implementeren is. Uiteraard rekenen we ook tijd voor aanpassingen. Iets dat het ook toegankelijker maakt is dat onze software gratis te downloaden is van onze website www.netiq.com. Tijdens een beperkte periode – met volledige functionaliteit – krijgt de klant al een goede indruk van de mogelijkheden, waardoor hij dan concreter kan aangeven wat hij wil.”
Oplevering
Halverwege juli werd de eerste fase opgeleverd, waarbij leveranciers via het web in het systeem van Philips DAP kunnen. Later dit jaar volgt de webgebaseerde werkplek voor de werknemers, op basis van dezelfde infrastructuur. Wanneer deze werkwijze aanslaat, zal de internetstrategie van Philips DAP bedrijfsbreed worden overgenomen.
Expertisegebieden
Volgens Bisschop zijn er vijf aandachtsgebieden die ict-beslissingsbevoegden het beste kunnen onderzoeken als ze overwegen aan integratie en interoperabiliteit te beginnen met portal services, namelijk:
* Portal-standaarden
* Portal access management (vooral federatieve componenten als SAML)
* Portalinterfaceontwikkeling met content en collaboratiemogelijkheden
* Enterprise portal-integratie
* Portal identity management
Beveiliging gaat vanuit dit perspectief vooral over access en identity management. Het is daarom aan te bevelen eerst samen te zitten vanuit een architectuurperspectief en deze vijf expertgebieden vervolgens in break-outsessies verder te onderzoeken. Access management is meer dan alleen authenticatie. Het gaat om het holistische geheel van internetontsluitingstechnieken. Dus zowel fysiek (de demilitarized zone), waarbij security-in-depth architecturen een rol spelen, als logisch, waarbij access en identity management en (virtuele) directory management de hoeksteen van de mate van succes bepalen. Let er ook op om de look & feel van de klanten niet uit het oog te verliezen. Dit betekent niet automatisch dat alle data- en ict-hulpmiddelen op één plaats gehost moet worden. Kosten, maar ook de flexibiliteit voor veranderingen zullen daar de doorslag geven in de mate van federatieve decentralisatie van ict-infrastructuren.
Wie is wie?
Herrien Bisschop (links) werkt als manager Security bij Philips DAP en is lid van het Philips Core Security Team. Naast het ontwerpen en uitvoeren van de identity & access-strategie en het ondersteunen van de strategie Internet Centric, hield hij zich in het verleden ook bezig met security monitoring, business risk management en virtualisatieprojecten . Hij is verantwoordelijk voor de beveiliging van alle servicelijnen van Philips DAP. Ook houdt hij zich bezig met de technische en functionele toekomstvisie van het Philips Security Enterprise Program.
Michel van der Laan (rechts) werkt sinds 2002 bij NetIQ, dat in 2006 is overgenomen door Attachmate. Hij heeft eerder gewerkt bij softwareleverancier UNIFACE, waar hij als pre-sales engineer verantwoordelijk was voor de positionering in de Nederlandse markt. Nadat UNIFACE in 1994 werd overgenomen door Compuware heeft hij de overstap gemaakt naar de commercie. Sinds 1 april 2007 is hij bij NetIQ verantwoordelijk als sales director Security voor de Benelux, Scandinavië en de Baltische staten.
