Column: Beveiliging in laagjes
Vroeger was IT-beveiliging de ‘slagboom aan de poort’ of, andere metafoor, de ‘schil van de kokosnoot’. Dat werkt niet meer en daarom denken we niet meer in kokosnoten maar in laagjes. Gelaagde beveiliging is een militair concept, losjes vertaald naar IT-beveiliging: op componentniveau is beveiliging aangebracht, dat is per laagje, dus er is gelaagde beveiliging. Deze meerlaagse beveiligingsstrategie staat ook wel bekend als Defense in Depth.
Een rondgang langs wat de specialisten te melden hebben, leidt tot een duidelijk verhaal over het waarom van deze strategie. "Als één beveiligingslaag wordt geslecht, dan is de beveiliging [] nog steeds intact. Het liefst maken deze verschillende barrières gebruik van verschillende technologieën, zodat het voor inbrekers lastiger is om meerdere lagen te doorbreken (veel technische kennis nodig). Elke laag kan voorzien worden van een IDS (Intrusion Detection System) of andere maatregelen om inbraken op te merken (pakkans verhogen). Bovendien zorgen de meerdere lagen voor onzekerheid: hoeveel lagen moeten er nog worden doorbroken en hoe lang gaat dit nog duren? (demotivatie)”.
Een geïntegreerd en samenhangend stelsel van beveiliging dus. Helder en overtuigend. Waar kan ik tekenen?
Zo reageerden we allemaal en zo werd Defensie in de Diepte het leidende model voor ICT-beveiliging. Maar bij nadere beschouwing is gelaagde beveiliging in de diepte eigenlijk helemaal niet zo helder. Wat betekent het in het echt? MT magazine: “Gasten mogen alleen het internet op, veilige apparaten kunnen gewoon bij de bedrijfstoepassingen en gegevens, en eigen apparaten kunnen bijvoorbeeld alleen gebruikt worden om mail, agenda en documenten te bereiken”. Aha, apparaten zijn lagen. Of toch niet? Bij Trend Micro zijn de lagen “applicaties die meervoudig beveiligd worden”. Zijn applicaties dan lagen? En is één product dan meervoudig omdat het meerdere protocollen snapt? Dus zijn protocollen dan lagen?
Tja. Wat is een laag? Hoeveel lagen moet ik beveiligen? Allemaal misschien? Zoals ik al zei, toch niet zo helder allemaal.
Sommige lagen zijn duidelijk. We hebben de netwerklaag, de applicatielaag en de informatielaag. Deze lagen liggen niet op elkaar, maar bestaan ook náást elkaar; ze zijn afzonderlijk te adresseren. Dus is er op iedere laag beveiliging nodig. Logisch ook, want de lagen kunnen fors verschillen en de beveiligingsmiddelen dus evenzeer; ik heb nog nooit een spamfilter een DNS amplifier attack zien tegenhouden. Daarbij bestaat iedere laag ook weer uit lagen. Alleen de netwerkkant bestaat theoretisch al uit – minimaal – vier (of zeven) lagen waarvan er geen enkele per design beveiliging heeft, en iedere applicatie die op de netwerklaag staat is op zichzelf aangewezen.
Zo zijn er onnoemelijk veel virtuele lagen naast de traditionele drie: het beveiligen van mail is iets heel anders dan het beveiligen van een VPN over SSL, hoewel beide op de applicatielaag wonen en alleen virtueel (op portniveau, wat overigens ook alleen maar een abstractie omwille van de adressering op de netwerklaag is) anders zijn. Alle computertechnologie is namelijk gelaagd.
Echte gelaagde beveiliging zou zijn: op iedere laag en iedere mogelijke aanvalsvector meer dan één beveiligingsmiddel. Dan zou iedere desktop (minimaal) twee antivirusproducten hebben, twee lokale firewalls en twee mechanismes om file access te beperken. En eigenlijk zouden er twee AV-producten op de mailverbinding moeten acteren, twee op de web access, twee op IM en twee op fileniveau. Minimaal. Maar de meeste antivirusproducenten doen er alles aan om de concurrent bij je pc vandaan te houden. En dit is maar één voorbeeld.
Kijk ook naar de beveiliging op bestandsniveau – daar heb je één middel voor, in de regel NTFS. Nu kun je beargumenteren dat één AV op de desktop voldoende is, omdat er op de gateways zoals de mailserver en de http-proxy ook antivirus draait, maar dan doe je de portable waarheid behoorlijk wat geweld aan, want een mailserver of een webproxy zijn afzonderlijke componenten die weliswaar voor een deel overlappen met wat een lokale AV vermag, maar niet helemaal. Zeker niet als de pc een laptop is die best wel eens in een ander netwerk hangt.
Als je zegt dat je gelaagde beveiliging hebt, dan heeft ieder van de honderden technologielagen een eigen beveiligingslaag van ongelijke technologieën, die ook nog goed met elkaar samenwerken. Dat heb je niet. Dat heeft niemand.
En dan nog dat diepteverhaal. Iedere aanvalsvector zou door meerdere beveiligingslagen moeten; dat is in een aantal gevallen ook zo, maar even vaak is die diepte niet meer dan een veronderstelde diepte, omdat lang niet alle aanvalsvectoren bekend zijn. De tegenstander heeft er immers baat bij om ongebruikelijke vectoren te kiezen waar de beveiliging niet op rekent. Zo houdt een statefull firewall aanvallen op de netwerklaag op een laptop in het LAN tegen, maar niet als er data op de laptop kan komen via een andere route. Of als de laptop niet altijd in het LAN hangt. Hier sluiten de lagen soms wel en soms niet aan.
De integratie van de beveiliging zou moeten bestaan uit slimme en geautomatiseerde interactie tussen de lagen; als eentje knel komt te zitten of niet werkt, springt een ander bij. Gegeven dat de lagen geen interactie hebben met elkaar (een lokale firewall die de rules afstemt met de enterprise firewall ben ik nog niet tegengekomen, laat staan één die interacteert met een applicatiebeveiligingsding zoals een Claims Based Security decision) bestaat er helemaal geen integratie in de diepte van de beveiliging. Een gezamenlijke interface om allerlei losse functies in te stellen is geen integratie; die zit op z’n best in de persoon die één en ander bedient.
In de praktijk is de beveiliging op de laagjes statisch en enkelvoudig; als één laagje faalt, is er geen back-up (al zeker niet in realtime) en valt het geheel om. Computerbeveiliging bestaat niet uit soldaten die de ene keer als infanterist en de volgende keer als luchtdoelgeschutsbemanning kunnen werken. In plaats van een gelaagde beveiliging in de diepte hebben we een lappendeken van niet samenwerkende technologieën, met de nodige gaten tussen de lapjes en geen enkele diepte. Defense in depth via gelaagde beveiliging is dus een hele stompzinnige illusie.
Geen wonder dat de bad guys aan het winnen zijn.
Laatste 10 columns
Meer columns van Peter Rietveld.
Door onszelf voor de gek te houden over meerlaagse beveiliging zijn we eigenlijk minder flexibel dan we zouden moeten zijn. Helaas is het grootste probleem een die we kennen als "eiland mentaliteit". Door afzonderlijke eilandjes te bouwen zonder bruggen denken we veilig te zijn. Echter ieder eiland is een klein doelwit op zich, verover er 1 en je kunt je aanval vanaf het water en vanaf het eiland verder uitvoeren. En zo ben je uiteindelijk de grote verliezer.
Ethical Hackers should be cherished for they are the white knights that can save the world.
En een diepe buiging.
Wat een staaltje LOGISCH vakwerk. Dank je wel.
Ik zou een titel willen voorstellen; security by acceptance.
Wat dan inhoud dat je ook de nadelen van binaire technologie meewerkt in je security/business implementation. Bijvoorbeeld in sommige context gewoon internet gescheiden houden van bepaalde gevoelige data of daar op een andere manier mee omgaan dan alles maar aan elkaar knopen en opstapelen. Er zijn legio top mogelijkheden.
Mens, you make my day.
Als je een goede hardware firewall inzet kun je AV scanning profiel inschakelen op verschillende policies.
Je kunt dan alsnog op de desktop een antivirus applicatie draaien ( uiteraard van een andere fabrikant).
Je doet dan dus AV scanning op 2 plaatsen, net 2 verschillende producten.
Mocht de desktop AV iets missen of uitstaan word het verkeer door de firewall nog steeds gescand.
Je kunt ook in een hardware firewall aan mail filtering doen, op je exchange kun je het een en ander uitfilteren, en je kunt een deticated email gateway inzetten.
Ik denk dat gelaagde beveiligning geen illusie is, maar dat het vaak verkeerd geïmplementeerd wordt.
Het Defense in Depth binnen de IT is vergelijkbaar met meerdere rijen loopgraven. Als je een aanval doet en je springt in een loopgraaf kan niemand je meer tegenhouden en is die defensie rij aan zichzelf overgelaten...en net zoals in de IT..hoe verder je naar binnen komt des te slechter de soldaten (lees technologie).
dat gelaagde beveiliging NOOIT iets per definitie is en ook niet andersom. Het is een gevolg. En peter rietveld begint dat punt te raken. Heel mooi zelfs. Het dus de context die de implementatie en dus ook illusie (of niet) bepaald. En mensen bepalen de context. Als die mensen massal napraten en niet naar de technisch inhoudelijke aspecten van de context op DAT moment kijken, bepalen die mensen nogal egoistisch een context die de realiteitsplank misslaat.
Zoals het resultaat van een som, is die illusie of wat ook.
1+1 = 2. de factoren die maken staan voor de =. daarna is gevolg, resultaat. Dat bepaal jij niet door naar wens wat voor de is staat maar even te verzinnen. Dat is de formule voor een illusie, of niet. en ook het wel of niet accepteren van nadelen binnen it. stel je gerust voor dat wat de security wereld gedaan heeft (de scene voornamelijk) en ook de rest van het it, alsook het bestuur (ook publiek, niet alleen) is gewoon naar eigen gerief wat voor de is staat even verzinnen. dus als een x mooier staat dan een plus, schijt aan de context wij maken een x. dat strookt niet pikkie, met de harde werkelijkheid. thats your dream. its the same as revenue assurance. its the problems we will continue to stumble upon until we are enough of a knowledge economy to understand a ball to fall down, not up.
Gaat enkel nog maar om detectie en reponse op je gevoelige data.
Doet me sterk denken aan een oud idee/principe: "De hinkelende computer".
Klopt niet. De lagen liggen wel degelijk op elkaar. Je moet via de fysieke laag door de andere lagen heen om hoog om bij de applicatie laag te komen. Je kunt niet bij de informatie laag komen zonder door de andere lagen heen te gaan. Wat wel naast elkaar ligt is de vormen van toegang en de wijze waaarop deze afzonderlijk beveiligd zijn. Een beheerder komt binnen via andere toegangspaden en met andere rechten dan een gebruiker. Dus moet je het toegangspad van beheerder anders beschermen, vaak ook omdat deze technisch anders is, dan het toegangspad van een gebruiker.
Ook is het een correct punt dat infiltratie in een van de lagen kan leiden tot het falen van alle bovenliggende security lagen als het slecht ontworpen is. Maar ook hier is de realiteit wederom dat een SSL tunnel 1 laag is en XML versleuteling van het bericht met een ander ceritificaat de tweede laag is. Daarnaast dienen dan ook de andere toegangswegen, applicatiebeheer en OS beheer, voorzien te zijn van juiste functiescheiding. OOK op technisch niveau met volledige afscherming en juiste auditeerbaarheid. Het blijft echter per laag en protocol een afweging in combinatie met de mate van werkelijke, dus (technisch) geborgde, functiescheiding die je weet aan te brengen in de ontwerpen. Daarom heet het ook Enterprise Security Architectuur en zijn er zo verdomde weining mensen die dat kunnen. Laat staan dat er (veel) organisaties zijn dat dan ook nog eens politiek enablen...
My two cents...
Heb ik het nu mis, als ik zeg dat Peter gelijk heeft voor wat betreft Availability (want als 1 laag omvalt, valt de rest inderdaad ook om) maar ongelijk voor confidentiality en integrity (want als 1 laag en dus alles omvalt, kom je ook niet meer bij die confidentiality- en integrity-gevoelige informatie)?
Stel dat ik gelijk heb, dan betekent dit dat we moeten kijken wat in welke situatie welke factoren (C, I of A) het belangrijkst is. Als dat de beschikbaarheid is, dan hebben we met z'n allen een groot probleem. Als dat de vertrouwelijkheid en/of integriteit is, dan valt het weer iets meer mee.
Hoe dan ook, ik ben erg benieuwd naar een vervolg column van Peter, waarbij die aspecten ook aan bod komen. Want, of ik het nou 100% eens ben of niet, het zijn altijd columns die me aan het denken zetten.
En als daar dan uitkomt dat alle 3 evenveel een probleem hebben, des te beter... In ieder geval leer ik dan weer iets.
Deze meerlaagse beveiligingsstrategie staat ook wel bekend als Defense in Depth (http://nl.wikipedia.org/wiki/Defense_in_depth).
Het doel van "defence in depth" (Britse spelling dit keer) is dus het vertragen van de aanvaller zodat je in de gelegenheid bent de aanval te detecteren en zonodig maatregelen te nemen. Het is daarbij noodzakelijk dat je, naast allerlei filters, ook "tripwire"-achtige sensoren implementeert, die sensoren actief monitort en actie neemt op het moment dat er bellen gaan rinkelen. Desnoods door de internetstekker eruit te trekken en te onderzoeken hoe een aanvaller door de eerste laag (of lagen) kon breken!
Echte gelaagde beveiliging zou zijn: op iedere laag en iedere mogelijke aanvalsvector meer dan één beveiligingsmiddel. Dan zou iedere desktop (minimaal) twee antivirusproducten hebben, twee lokale firewalls en twee mechanismes om file access te beperken.
In de praktijk is de beveiliging op de laagjes statisch en enkelvoudig; als één laagje faalt, is er geen back-up (al zeker niet in realtime) en valt het geheel om.
[...]
Defense in depth via gelaagde beveiliging is dus een hele stompzinnige illusie.
Echter, het feit dat "Defense in depth via gelaagde beveiliging" soms (of vaak?) verkeerd wordt wordt geïnterpreteerd en geïmplementeerd, betekent niet automatisch dat het een stompzinnige illusie is. Ik ben het dan ook oneens met de stelling!
Laag 1:
1. Is de ACL correct (alleen bevoegde gebruikers en systeembeheerders hebben toegang tot de bestanden)?
2. Is de versleuteling correct (alleen bevoegde gebruikers en security officers hebben toegang tot de sleutels)?
Als dit niet klopt, bestaat de rest uit een in mijn optiek ontoereikende verzameling lapmiddelen, al dan niet geïntegreerd.
Hierbij hoort:
hoe zeker weet je dat de aangemelde gebruiker inderdaad deze persoon is?
Als je dit niet zeker weet, heeft geen enkele maatregel enige zin.
Laag 2: is de integriteit van de systemen waar de data op bewerkt/gelezen wordt te garanderen?
up2patch voor OS en toepassingen, anti-malware en hips, client firewall, etc.
Laag 3: is de integriteit van de systemen waar bovengenoemde systemen maar op moeten vertrouwen te garanderen?
servers, proxies, vpn gateways, etc
etc.
Dat hangt volledig van het risico af dat je wilt inperken. Hoe groter het risico, hoe meer maatregelen normaliter genomen dienen te worden en hoe meer lagen daardoor geraakt zullen worden.
Waarom "dus"? Waar is die gevolgtrekking op gebaseerd? Ik kan gerust lagen overslaan als het risico in die laag afwezig is (wat de definitie van "laag" dan ook mag zijn). Het gaat om het risico dat we lopen, niet om het dwangmatige gedrag iedere laag van beveiliging te voorzien.
En full disk encryption? En Tripwire-achtige beveiliging op kritische bestanden? En ...? Waarom vallen die er niet onder?
Het gaat niet om kwantiteit, maar risico-inschatting en kwaliteit. Het feit dat alle honderden lagen geen eigen technologie hebben wil niet zeggen dat de gelaagde beveiliging er niet is.
Dat ligt er helemaal aan. Als ik als voorbeeld de beveiliging van een firewall neem, dan is die beveiliging zeker niet statisch. Ik heb namelijk allerlei dynamische en meervoudsige maatregelen getroffen (althans, als ik het goed heb gedaan):
- De firewall wordt gemonitored (zowel het systeem als de regels die worden toegevoegd, verwijderd of gewijzigd).
- Bij nieuwe aanvallen worden mogelijk additionele maatregelen genomen (zie de recente discussies op security.nl over het Java lek en de bijbehorende IP adressen die worden geblokkeerd).
- Firewall aanpassingen mogen niet door iedereen worden doorgevoerd, aangevraagd, ingediend, gemonitored etc.
- Het systeem wordt gepatched (onderdeel van het LCM proces).
- ...
Kortom, dat de beveiliging op de firewall laag statisch is (en dan heb ik het nog maar over 1 component), is echt lariekoek. Er vindt een permanente PDCA-cyclus plaats. Dat daarnaast meteen alles omvalt zou slechts getuigen van een slecht doordachte/ geimplementeerde security architectuur.
Inderdaad. En daarom hebben we meerdere producten die allemaal gespecialiseerd zijn in datgene waar ze goed in zijn. De enterprise security architectuur zorgt ervoor (of zou ervoor moeten zorgen) dat het geen lappendeken wordt en dat de risico's worden afgedekt daar waar nodig.
Dat ligt helemaal aan de security architectuur die is opgesteld. Wie zegt dat die technologieen niet samenwerken? Op technisch niveau wellicht niet, maar het smeermiddel tussen die technologieen zijn o.a. de processen die gevolgd dienen te worden wanneer een laag doorbroken wordt. Security is namelijk niet alleen een technische aangelegenheid.
De vraag is of dat komt doordat de gelaagde beveiliging te wensen over laat (als dat al zo is), of dat dat andere oorzaken heeft. Als ik kijk naar het DBIR rapport van 2012 (http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf), dan zit het probleem niet zozeer in het gebrek aan gelaagde beveiliging, maar in de open deuren die met eenvoudige maatregelen op slot zijn te doen.
Kijk ook naar de beveiliging op bestandsniveau – daar heb je één middel voor, in de regel NTFS.
Nu zeggen er een paar reageerders iets over Full Disk encryptie.
Zolang je PC uit staat is dat een prima bescherming.
Maar vaak gebruik je je PC.
Het eerste wat je doet is het ww invullen en vervolgens is het eigenlijk een gewone PC aan een netwerk... Waar is dan de full disk beveiliging in beeld? Die ligt volgens mij nog steeds dan alleen op NTFS niveau.
Zolang je PC uit staat is dat een prima bescherming.
Maar vaak gebruik je je PC.
Het eerste wat je doet is het ww invullen en vervolgens is het eigenlijk een gewone PC aan een netwerk... Waar is dan de full disk beveiliging in beeld? Die ligt volgens mij nog steeds dan alleen op NTFS niveau.
Het ligt er maar aan tegen welke aanvallen je je wilt beschermen. Inderdaad, als je een file server voorziet van full disk encryption en je schakelt de server aan, dan zal iemand die toegang heeft tot de bestanden op die server niets merken van de encryptie (afgezien van mogelijk wat performanceverlies). Iemand die toch al geen rechten heeft zal door de encryptie niet worden tegengehouden, maar door de ACL's op share en/of file niveau.
Er zijn echter ook andere aanvallen denkbaar waar je je wellicht tegen wilt beschermen en waar encryptie wel werkt en een meerwaarde heeft naast NTFS. Denk aan de laptops en USB sticks die te pas en te onpas kwijt raken. Denk aan backup tapes die al dan niet extern worden opgeslagen. De vraag is of de personen die toegang hebben tot de backup tapes ook toegang mogen hebben tot de data op die tapes. Zo niet, hoe bescherm je je tegen die personen? Full disk encryption (of database encryption, of codering van slechts een partitie, of codering van een enkel bestand zoals bij KeePass, of ...) kan dan een levensvatbare oplossing zijn. Zorg dan wel voor het fysiek loskoppelen van het encryptie- en/of authenticatiemechanisme en de locatie van de authenticatiegegevens, opdate beide niet op dezelfde backup tape terug zijn te vinden.
Dat hangt volledig van het risico af dat je wilt inperken. Hoe groter het risico, hoe meer maatregelen normaliter genomen dienen te worden en hoe meer lagen daardoor geraakt zullen worden.
En ik heb weer wat moeite met deze reactie. Eigenlijk weten we dit allemaal. Bij het lezen ben ik er van uitgegaan dat Peter gewoon ieder risico als even zwaar weegt. Het gaat niet over de individuele implementatie van beveiligingsmaatregelen vor een specifiek systeem, maar over een beveiligingsstrategie.
Toch?
'Leekje'
Dat hangt volledig van het risico af dat je wilt inperken. Hoe groter het risico, hoe meer maatregelen normaliter genomen dienen te worden en hoe meer lagen daardoor geraakt zullen worden.
En ik heb weer wat moeite met deze reactie. Eigenlijk weten we dit allemaal. Bij het lezen ben ik er van uitgegaan dat Peter gewoon ieder risico als even zwaar weegt. Het gaat niet over de individuele implementatie van beveiligingsmaatregelen vor een specifiek systeem, maar over een beveiligingsstrategie.
Ik mag hopen dat niet het standpunt wordt gehanteerd dat alle risico's even zwaar wegen. Risico's worden door 1001 dingen beinvloed en het is niet correct om te denken dat die factoren altijd en overal voor alle organisaties of voor alle "lagen" gelijk zijn. Als dat de basis is van de column, dan ontstaat er een situatie dat we echt langs elkaar heen gaan praten.
Dat het niet over de implementatie van beveiligingsmaatregelen gaat blijkt niet echt uit de column. Ik zie namelijk nogal wat implementatie-specifieke voorbeelden, bijvoorbeeld dat de verschillende puntoplossingen op technisch niveau niet met elkaar communiceren (is in mijn ogen geen vereiste). Over je laatste zin: het is de vraag of "dieptebeveiliging" een strategische of tactisch-operationele benadering is of iets van beide heeft. Als dat duidelijk is, kunnen we denk ik die discussie wat beter vorm geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
