Menige, zo niet iedere, infrastructuur bestaat uit een groot aantal bouwblokken met ieder hun eigen doel of functie. Waar connectiviteit de basis vormt, worden security-componenten voor specifieke doeleinden ingezet (denk aan proxies, firewalls, malware scanners, endpoint security, web application firewalls, loadbalancers, et cetera). Door het aantal en de diversiteit van deze producten vormt de beheerbaarheid, maar zeker ook de kans op een zwakheid in de keten een grote uitdaging voor ieder operationeel team. Mét een directe impact voor het bedrijf.
Met elkaar zetten we grote stappen op het gebied van virtualisatie (in een hybrid cloud-omgeving) en schaalbaarheid. Zo zijn niet alleen servers, maar ook networking (switches) en security devices en services vaak reeds gevirtualiseerd. Is dat dan software defined networkin (sdn)? Nee, virtualisatie van services noemen we nfv (network function virtualisation), maar ondanks dat de hypervisor gebruikt wordt zijn veelal de data en control plane nog geconsolideerd.
Is sdn realiteit? Ja , het is realiteit, het groeit, en security dient te worden omarmd. Dat gezegd hebbende zal sdn niet alles vervangen, in ieder geval niet op korte termijn. Op korte termijn is de realiteit wat ik noem ‘api driven infrastructures. Dit betekent het intensief gebruik maken van api’s om zaken te configureren, te integreren en te monitoren. Voorwaarde is de keuze voor componenten die api’s ondersteuning bieden (en niet alleen basic functionaliteit). Daarnaast vereist dit DevOps skills om de api’s correct aan te spreken en te gebruiken. Het grote voordeel is dat alle clouddiensten (zoals AWS) api-driven zijn vanuit hun basis. Kortom, api support is een requirement in iedere offerte-aanvraag of architectuur-design.
Noodzaak voor machine learning
Alle componenten leveren een grote hoeveelheid verschillende logging. Waarbij moet worden opgemerkt dat de logging uit een gevirtualiseerde (in de public cloud) omgeving heel anders kan zijn dan we tot dusver kennen (veelal syslog). De logging van api-resultaten is namelijk heel wat anders. Voor goede security monitoring zijn wij afhankelijk van al deze logsources en dienen we de mogelijkheid te hebben hierin eenvoudig en snel te kunnen zoeken waarbij er verbanden gelegd moeten worden, de data verrijkt dient te worden en waarbij wellicht ad hoc (via api’s) extra logs of packet captures verzameld dienen te worden. De noodzaak voor een goede automatisering en het creëren van slimme intuïtieve engines is een logisch gevolg om efficiënt de juiste zaken te vinden en actionable items te genereren. Én om enerzijds serendipiteit (het vinden van iets onverwachts en bruikbaars terwijl je op zoek bent naar iets totaal anders) te voorkomen, maar aan de andere kant daarvan te profiteren.
Op de RSA Conference in San Francisco is veel gesproken over machine learning-technieken om dit proces continue te verbeteren en om middels technieken als artificial intelligence (ai – kunstmatige intelligentie) een efficiënte en bruikbare toolset te realiseren. Er zijn veel ontwikkelingen gaande, maar de waarheid is dat het nog in de kinderschoenen staat. De conclusie is dat ook hier de komende tijd het belang van de juiste skills en dedicated personen om de security operations (denk aan soc-services) goed uit te kunnen voeren.
