Vroeger was IT-beveiliging de ‘slagboom aan de poort’ of, andere metafoor, de ‘schil van de kokosnoot’. Dat werkt niet meer en daarom denken we niet meer in kokosnoten maar in laagjes. Gelaagde beveiliging is een militair concept, losjes vertaald naar IT-beveiliging: op componentniveau is beveiliging aangebracht, dat is per laagje, dus er is gelaagde beveiliging. Deze meerlaagse beveiligingsstrategie staat ook wel bekend als Defense in Depth.
Een rondgang langs wat de specialisten te melden hebben, leidt tot een duidelijk verhaal over het waarom van deze strategie. "Als één beveiligingslaag wordt geslecht, dan is de beveiliging [] nog steeds intact. Het liefst maken deze verschillende barrières gebruik van verschillende technologieën, zodat het voor inbrekers lastiger is om meerdere lagen te doorbreken (veel technische kennis nodig). Elke laag kan voorzien worden van een IDS (Intrusion Detection System) of andere maatregelen om inbraken op te merken (pakkans verhogen). Bovendien zorgen de meerdere lagen voor onzekerheid: hoeveel lagen moeten er nog worden doorbroken en hoe lang gaat dit nog duren? (demotivatie)”.
Een geïntegreerd en samenhangend stelsel van beveiliging dus. Helder en overtuigend. Waar kan ik tekenen?
Zo reageerden we allemaal en zo werd Defensie in de Diepte het leidende model voor ICT-beveiliging. Maar bij nadere beschouwing is gelaagde beveiliging in de diepte eigenlijk helemaal niet zo helder. Wat betekent het in het echt? MT magazine: “Gasten mogen alleen het internet op, veilige apparaten kunnen gewoon bij de bedrijfstoepassingen en gegevens, en eigen apparaten kunnen bijvoorbeeld alleen gebruikt worden om mail, agenda en documenten te bereiken”. Aha, apparaten zijn lagen. Of toch niet? Bij Trend Micro zijn de lagen “applicaties die meervoudig beveiligd worden”. Zijn applicaties dan lagen? En is één product dan meervoudig omdat het meerdere protocollen snapt? Dus zijn protocollen dan lagen?
Tja. Wat is een laag? Hoeveel lagen moet ik beveiligen? Allemaal misschien? Zoals ik al zei, toch niet zo helder allemaal.
Sommige lagen zijn duidelijk. We hebben de netwerklaag, de applicatielaag en de informatielaag. Deze lagen liggen niet op elkaar, maar bestaan ook náást elkaar; ze zijn afzonderlijk te adresseren. Dus is er op iedere laag beveiliging nodig. Logisch ook, want de lagen kunnen fors verschillen en de beveiligingsmiddelen dus evenzeer; ik heb nog nooit een spamfilter een DNS amplifier attack zien tegenhouden. Daarbij bestaat iedere laag ook weer uit lagen. Alleen de netwerkkant bestaat theoretisch al uit – minimaal – vier (of zeven) lagen waarvan er geen enkele per design beveiliging heeft, en iedere applicatie die op de netwerklaag staat is op zichzelf aangewezen.
Zo zijn er onnoemelijk veel virtuele lagen naast de traditionele drie: het beveiligen van mail is iets heel anders dan het beveiligen van een VPN over SSL, hoewel beide op de applicatielaag wonen en alleen virtueel (op portniveau, wat overigens ook alleen maar een abstractie omwille van de adressering op de netwerklaag is) anders zijn. Alle computertechnologie is namelijk gelaagd.
Echte gelaagde beveiliging zou zijn: op iedere laag en iedere mogelijke aanvalsvector meer dan één beveiligingsmiddel. Dan zou iedere desktop (minimaal) twee antivirusproducten hebben, twee lokale firewalls en twee mechanismes om file access te beperken. En eigenlijk zouden er twee AV-producten op de mailverbinding moeten acteren, twee op de web access, twee op IM en twee op fileniveau. Minimaal. Maar de meeste antivirusproducenten doen er alles aan om de concurrent bij je pc vandaan te houden. En dit is maar één voorbeeld.
Kijk ook naar de beveiliging op bestandsniveau – daar heb je één middel voor, in de regel NTFS. Nu kun je beargumenteren dat één AV op de desktop voldoende is, omdat er op de gateways zoals de mailserver en de http-proxy ook antivirus draait, maar dan doe je de portable waarheid behoorlijk wat geweld aan, want een mailserver of een webproxy zijn afzonderlijke componenten die weliswaar voor een deel overlappen met wat een lokale AV vermag, maar niet helemaal. Zeker niet als de pc een laptop is die best wel eens in een ander netwerk hangt.
Als je zegt dat je gelaagde beveiliging hebt, dan heeft ieder van de honderden technologielagen een eigen beveiligingslaag van ongelijke technologieën, die ook nog goed met elkaar samenwerken. Dat heb je niet. Dat heeft niemand.
En dan nog dat diepteverhaal. Iedere aanvalsvector zou door meerdere beveiligingslagen moeten; dat is in een aantal gevallen ook zo, maar even vaak is die diepte niet meer dan een veronderstelde diepte, omdat lang niet alle aanvalsvectoren bekend zijn. De tegenstander heeft er immers baat bij om ongebruikelijke vectoren te kiezen waar de beveiliging niet op rekent. Zo houdt een statefull firewall aanvallen op de netwerklaag op een laptop in het LAN tegen, maar niet als er data op de laptop kan komen via een andere route. Of als de laptop niet altijd in het LAN hangt. Hier sluiten de lagen soms wel en soms niet aan.
De integratie van de beveiliging zou moeten bestaan uit slimme en geautomatiseerde interactie tussen de lagen; als eentje knel komt te zitten of niet werkt, springt een ander bij. Gegeven dat de lagen geen interactie hebben met elkaar (een lokale firewall die de rules afstemt met de enterprise firewall ben ik nog niet tegengekomen, laat staan één die interacteert met een applicatiebeveiligingsding zoals een Claims Based Security decision) bestaat er helemaal geen integratie in de diepte van de beveiliging. Een gezamenlijke interface om allerlei losse functies in te stellen is geen integratie; die zit op z’n best in de persoon die één en ander bedient.
In de praktijk is de beveiliging op de laagjes statisch en enkelvoudig; als één laagje faalt, is er geen back-up (al zeker niet in realtime) en valt het geheel om. Computerbeveiliging bestaat niet uit soldaten die de ene keer als infanterist en de volgende keer als luchtdoelgeschutsbemanning kunnen werken. In plaats van een gelaagde beveiliging in de diepte hebben we een lappendeken van niet samenwerkende technologieën, met de nodige gaten tussen de lapjes en geen enkele diepte. Defense in depth via gelaagde beveiliging is dus een hele stompzinnige illusie.
Geen wonder dat de bad guys aan het winnen zijn.
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.