Bouwstenen voor een proactieve cybersecurity-strategie

infosecurity05-2013HR2

De krantenkoppen over cyberaanvallen in het afgelopen jaar lezen als een bestseller – ze staan bol van de spionage, internationale hackers en geavanceerde wapensystemen. Cyberaanvallen op financiële organisaties, overheden en de vitale infrastructuur zijn in 2013 daadwerkelijk geëscaleerd.

Deze cyberaanvallen hebben niet alleen ernstige gevolgen voor overheden, maar ook voor bedrijven die elektriciteits- en mobiele netwerken beheren. Dit betekent dat cybersecurity zich nu uitstrekt naar overheidsinstellingen en bedrijven. Erger nog: de trend voor veel van deze aanvallen lijkt zich te bewegen in de richting van vernietiging versus economische spionage.
Op dit moment wordt gewerkt aan nieuwe regelgeving, bedoeld om cyberaanvallen aan te pakken. De voorzitter van de Joint Chiefs of Staff (het militaire adviesorgaan van de Amerikaanse federale overheid) brengt bijvoorbeeld gedeeltelijk veranderingen aan in de bestaande geweldsinstructies van het Amerikaanse leger, die bepalen wanneer, hoe en met welke tools Amerika reageert op een aanval. Met de nieuwe cyber-regels kunnen militaire leiders direct in de aanval gaan tegen cyberaanvallen zonder goedkeuring van het Witte Huis of de National Security Council (NSC).

1205 Palo Alto2

Robuuste strategie
Met het oog op de toegenomen cyber-spionage is het nodig om een robuuste cyber-security te implementeren, die alle essentiële systemen beschermt, compliant is met regelgeving en de nationale veiligheid garandeert. Maar wat zijn de fundamentele overwegingen voor het ontwikkelen van zo’n strategie? De Zero Trust-principes van Forrester Research zijn om te beginnen nog steeds de basis: vertrouw niemand, onderzoek en log alle verkeer, en zorg voor veilige toegang tot alle belangrijke assets in het datacenter. De uitbreiding is dat vandaag het ‘campus’-netwerk als vlag de lading niet meer dekt. Dezelfde focus en principes dienen toegepast te worden op al het netwerkverkeer, ook het verkeer dat mobiel is via mobiele gebruikers/toestellen en in de ‘mobiele’ gevirtualiseerde datacenters (wat ook wel oost-westverkeer wordt genoemd).

Alternatieve routes
Verzuiling of netwerksegmentatie is een essentieel onderdeel van Zero Trust en is belangrijk om het bereik van een aanval te beperken. Een van de unieke overwegingen voor cyberaanvallen is het vaststellen van de wegen die aanvallers bewandelen. Interne medewerkers leken altijd de zwakste schakel te zijn in doelgerichte aanvallen, maar cyber-aanvallers kijken nu ook naar de ecosystemen van partners en leveranciers voor alternatieve routes. Er is meer inspanning nodig om toegang tot applicaties voor externe gebruikers te beveiligen en te beheren.

APT’s
Ook moeten we het onderzoeken en loggen van alle verkeer uitbreiden naar doelgerichte, moderne en vaak onbekende malware. De term ‘geavanceerde aanhoudende dreiging’ (Advanced Persistent Threat – APT) is een te eenvoudige uitleg van een meer uitgebreide, multistage, multivector aanvalstrategie die aanvallers nu gebruiken. Een nuance is dat APT eigenlijk eerder doelt op ‘georganiseerd’ en op de ‘hoofrolspelers’ in de actie dan ‘moderne malware’. ‘Persistency’ doelt ook op het feit dat de aanvallen vaak in heel onopvallende golfjes gebeuren met als bedoeling zo lang mogelijk aanwezig te blijven in het netwerk van het doelwit.

Versnippering
Nogmaals, de markt beweegt zich meer richting versnipperde technologieën die proberen deze aanvalscomponent via virtuele sandbox-analyse aan te pakken. Hierdoor wordt er vaak alleen naar een heel klein gedeelte van de multistage aanval gekeken, namelijk de initiële infectie. Feit is echter dat we eigenlijk moeten aanvaarden dat een infectie altijd zal gebeuren, zelfs met sandbox-analyse in actie.

‘Altijd AAN’
De realiteit is dus dat een robuuste cybersecurity-strategie een uitgebreide aanpak voor malware nodig heeft, die vergelijkbaar is met de life cycle-aanpak voor het infecteren van een netwerk, die de aanvaller gebruikt. Dit houdt in: alle verkeer en hoe malware zich verbergt (versleuteling, tunnels, ontwijkende tactieken) vaststellen, risicovolle applicaties en gebruikers controleren, en het onbekende beheren bovenop de virtuele sandbox-analyse, onafhankelijk van hoe het netwerk er fysiek uitziet of hoe de gebruikers connecteren; met andere woorden: een consistente ‘altijd AAN’-cybersecurity-policy die het gehele ‘bedrijfsnetwerk’ afdekt. Het laatste belangrijke punt is natuurlijk een robuust systeem voor monitoring en rapportages, dat inzicht biedt in het netwerk en proactieve acties mogelijk maakt als iets verdachts is gevonden.

Al met al verschillen de bouwstenen voor een robuuste cybersecurity-strategie niet wezenlijk van de security-eisen voor een traditionele onderneming. Sterker nog, inzicht in de vereiste bedrijfsapplicaties en het veilig activeren van deze toepassingen, inclusief de subfuncties, gerelateerd aan de juiste gebruikers, maken het mogelijk een focus te leggen op het beveiligen van wat toegelaten is. Deze aanpak maakt het ook mogelijk terug te grijpen op de ‘white list’ die niet meer van toepassing was sinds de firewalls (ook veel next-generation firewalls) als basis de poorten moeten openzetten. Dit is een aanpak die we ook voor 2014 moeten blijven hanteren.

Over Palo Alto Networks
Palo Alto Networks loopt voorop in een nieuw tijdperk van cybersecurity door bescherming te bieden aan duizenden bedrijven, overheden en serviceproviders tegen cyberaanvallen. In tegenstelling tot bestaande deelproducten zorgt het next-generation security-platform van Palo Alto Networks voor het op een veilige manier uitvoeren van bedrijfsprocessen, terwijl het tegelijkertijd bescherming biedt voor essentiële factoren van hedendaagse dynamische computeromgevingen: applicaties, eindgebruikers en content.

Stijn Rommens, Manager Systems Engineering Northern Europe, Palo Alto Networks