Het netwerk ziet alles
Hoewel traditionele oplossingen voor netwerkbeveiliging zoals firewalls en IPS'en noodzakelijk blijven, wordt het steeds belangrijker om te weten wat er op het netwerk zélf gebeurt. Moderne aanvalstechnieken weten zich steeds beter te vermommen als 'stealths' en zijn daardoor door de gangbare perimeterbeveiliging moeilijk of niet te ontdekken of te stoppen. Dat vergt een holistische kijk op netwerkbeveiliging en de analyse van datastromen die dagelijks over de wereld gaan.
Het beveiligingslandschap verandert snel en puntoplossingen zijn daarom steeds minder afdoende als enige remedie tegen aanvallen. Daarom is in de loop der jaren een systeem ontwikkeld dat een veel bredere kijk op het netwerk mogelijk maakt en waardoor aanvallers ook op andere manieren kunnen worden ontdekt. Bekende aanvalstechnieken kunnen prima worden gepareerd met een goed ontworpen security-infrastructuur met componenten zoals intrusion prevention, antivirus, content security en firewalls. Maar het verhaal wordt anders wanneer het gaat om handgemaakte aanvallen op specifieke doelwitten met een specifieke bedoeling. Deze aanvallen zijn vaak gebaseerd op kennis van een doel, vaak het netwerk zelf of een persoon in de organisatie, of beide. Wanneer zo'n ‘custom threat’ eenmaal door de perimeterdefensie heen is, wordt het actief in het hart van het netwerk, waar doorgaans veel minder bescherming aanwezig is. Door zich stil en schuil te houden in het 'geruis' van normaal netwerkverkeer, kunnen deze dreigingen zich onder de radar verder verspreiden naar de uiteindelijke doelen. De perimeterverdediging beschikt niet over de ‘ogen’ om dergelijke dreigingen te zien. Vaak komt dergelijke malware binnen via social engineering of phishing, of via externe media zoals usb-sticks of eigen apparatuur van medewerkers (BYOD).
Vingerafdrukken
Wanneer de malware eenmaal binnen is, kan deze alleen daar nog ontdekt worden. Daarom wordt gekeken naar 'vingerafdrukken' van de dreiging. Dit gebeurt door afwijkend gedrag te analyseren van het verkeer dat over de switches en routers van het netwerk gaat, wat aanwijzingen op kan leveren over geavanceerd aanvalsverkeer. Zo kan phising in principe door web security worden opgevangen, omdat te zien is of een link kwaadaardig is.
Een specifiek voorbeeld is het StealthWatch-systeem van Lancope, dat voor de analyse wordt gebruikt. Cisco heeft nauw met dit bedrijf samengewerkt om de StealthWatch onderdeel te maken van de brede Cisco Cyber Threat Defense-oplossing. StealthWatch verzamelt en analyseert NetFlow- en IPFIX-informatie van Cisco-apparatuur. Daarnaast wordt gekeken naar de context van verkeer (identiteit, reputatie, applicatie, etc.) door informatie te analyseren die geleverd wordt door de Cisco Identity Service Engine, Cisco Secure Intelligence Operations en Cisco-routers.
24×7
Cisco Secure Intelligence Operations (SIO) verzamelt informatie afkomstig van bepaalde Cisco-apparatuur over de hele wereld en is in staat om de allernieuwste dreigingen zichtbaar te maken. Deze 'malware intelligence' wordt gegenereerd door de dagelijkse analyse van 13 miljard bezoeken aan websites en het doorlichten (niet doorlézen!) van 93 miljard e-mailberichten per dag. Hier wordt gezocht naar afwijkende of opvallende verkeerspatronen. Dit werk wordt verricht door big data-specialisten, die 24 uur per dag actief zijn. Bij elkaar analyseert het SIO elke dag meer dan 100 TB aan data, afkomstig van meer dan twee miljoen beveiligingsapparaten. Ongeveer één op de twee klanten van Cisco is gelinkt aan SIO, waardoor de een de ander kan 'voeden'. Uiteindelijk wordt alle relevante informatie overzichtelijk getoond op een beeldscherm.
De beveiligingsanalist kan op basis hiervan verdachte activiteit waarnemen, gebruikersinformatie verzamelen, de gebruikte applicaties identificeren, de reputatie van de host zien en het potentiële gevaar inschatten. Is dat eenmaal bekend, dan kan nauwkeuriger gezocht gaan worden naar aanvalsmateriaal op het netwerk dat gebruikt zou kunnen worden in combinatie met handgemaakte malware. Ook kan nu gerichter gezocht worden naar malware die bijvoorbeeld backdoors creëert en kan de communicatie van de hacker met de gecompromitteerde interne hosts worden gevolgd. Tot slot kan worden nagegaan of er sprake is geweest van datadiefstal.
Wij zijn er van overtuigd dat alleen een dergelijke geïntegreerde en holistische aanpak de enige juiste weg is om bedrijfsnetwerken en daarmee de economie van morgen te beschermen. Gelet op het steeds grotere gewicht van de digitale economie absolute noodzaak!
Storage essentiële pijler voor Cisco
Dat storage voor Cisco essentieel is, blijkt onder meer uit de nauwe samenwerkingsverbanden die het bedrijf onderhoudt met storagespecialisten NetApp en EMC. Samen met NetApp maakt Cisco de Flexpods-platforms, terwijl Cisco met VMware en EMC via het samenwerkingsverband VCE de vBlocks op de markt brengt. Daarnaast heeft Cisco begin september zijn voornemen bekendgemaakt om het Amerikaanse bedrijf Whiptail over te nemen. Whiptail is specialist op het gebied van solid-state geheugensystemen, die zijn geoptimaliseerd voor high-performance computing (HPC). De systemen van Whiptail zijn schaalbaar van één tot 30 nodes en halen maar liefst ruim 4 miljoen IOPS (input/output operations per seconde). De ruwe capaciteit bedraagt in de grootste uitvoering 360 TB. Met deze acquisitie wil Cisco de performance van zijn Unified Computing System (UCS) een flinke boost geven. Juist businesskritische applicaties zoals virtualisatie, big data, databases en HPC zullen hiervan gaan profiteren.
Flexpod
Op het gebied van geconvergeerde infrastructuren toont Cisco op de Storage Expo onder meer Flexpods en vBlocks. Het met NetApp ontwikkelde Flexpod-platform bestaat al weer bijna drie jaar. Afgelopen zomer is er een naamswijziging doorgevoerd: het Expresspod heet voortaan Flexpod Express en het standaard Flexpod heet nu Flexpod DataCenter. Belangrijk nieuws is dat beide bedrijven een nieuw Flexpod aankondigen, genaamd Flexpod Select. Deze oplossing is speciaal ontwikkeld voor big data-omgevingen en momenteel gevalideerd voor Cloudera en NortonWorks.
Afgelopen jaar heeft Cisco het aantal gevalideerde oplossingen voor Flexpod sterk zien toenemen. Waren de validaties in het begin vooral op VMware gericht, nu worden er ook veel Microsoft- en Citrix-workloads gevalideerd. Juni jongstleden is al weer de derde versie van het Microsoft Private Cloud-ontwerp op Flexpod gepresenteerd.
SAP HANA op Flexpod
Samen met partner Intenzz heeft Cisco een compleet package voor SAP HANA op het Flexpod-platform ontwikkeld. Dit is een zogenaamde in-memory computing oplossing die voor een drastische versnelling van intensief rekenwerk zorgt. De Flexpod-appliance met SAP HANA wordt geleverd inclusief licenties, applicaties en implementatie.
Nieuwe vBlocks
Medio september heeft VCE – zoals gemeld het samenwerkingsverband van VMware, Cisco en EMC – enkele nieuwe vBlocks geannonceerd. Het gaat onder meer om de vBlock 340, voorzien van de nieuwste VNX-systemen van EMC. Dit vBlock is vier keer sneller dan het vorige 300-model en heeft een twee keer zo grote capaciteit. Later dit jaar zal VCE ook een vBlock met ExtremeIO op de markt brengen bestemd voor VDI-omgevingen en een vBlock voor high-performance database-omgevingen (Oracle). Bezoekers van de Storage Expo kunnen op de Cisco-stand een vBlock bezichtigen.
Automation & Orchestration met Cisco UCS Director
IT-as-a-Service is tegenwoordig hét toverwoord voor veel organisaties. Wie snel moet kunnen reageren op veranderende omstandigheden stelt andere eisen aan de onderliggende IT-infrastructuur. Om via selfservice-portalen resources aan te kunnen vragen dient de onderliggende hardware gestandaardiseerd te zijn. Cisco realiseert dat door middel van een geconvergeerde infrastructuur. Hier bovenop draait Cisco UCS Director, de software voor centraal management, beheer en orkestratie.
Cisco UCS Accelerator (Fusion-io)
Op de B200-M3 blades en in de Cisco rackservers levert Cisco een UCS Storage Accelerator op basis van Fusion-io of LSI-technologie. Deze flash-gebaseerde oplossingen bieden een grote hoeveelheid IOPS om de workload richting harde schijf af te vangen en bevinden zich daarom zo dicht mogelijk bij de CPU op de blade of rackserver. Cisco ziet deze UCS Accelerator-technologie een enorme vlucht nemen, voornamelijk in virtuele en/of database-omgevingen.
Auteurs: Jan Heijdra is Product Specialist Data Center & Cloud Solutions, Rik Chorus is Product Specialist Security
