image

Managed Security - Snel geld verdienen of meer?

woensdag 15 juni 2005, 15:46 door Redactie, 2 reacties

Trens, trends, trends
Bij de huidige trend van het uitbesteden van allerlei diensten is het verleidelijk om ook het ICT-beveiligingspakket onder te brengen bij een externe partij. Immers: de complexiteit van ICT-beveiliging is groot, het is een dynamisch proces dat veel tijd kost en continu up-to-date kennis vereist. Alle reden dus om met een boog om de materie heen te lopen en (op papier) een ander de verantwoordelijkheid te geven.

Door Leo Willems Chief Security Officer van TUNIX Internet Security en Opleidingen

Verantwoordelijkheid
En daar zit hem de kneep: een ander de verantwoordelijkheid te geven: in tegenstelling tot netwerkbeheer en werkplekbeheer dient bij beveiliging het top-management verantwoording te nemen, beleid te maken en toe te zien dat dat beleid geborgd wordt in de organisatie. Vroeger kon het bij die opmerking blijven maar Amerikaanse CEO's weten tegenwoordig dat ze de gevangenis in draaien als ze het daarbij laten (de SOX-act). Of dat in Europa ook gaat gebeuren is niet zeker maar de trend is er wel. Welke afspraken heeft u met uw externe werkplekbeheerder als ze kinderporno aantreffen op een computer van een van uw medewerkers? Stil houden kan niet: dat is strafbaar. Informatie beveiliging is daarmee een zaak van de bedrijfsleiding en dat wordt gelukkig ook steeds vaker onderkend.

Geschiedenis
In het begin van de jaren 90 van de vorige eeuw rukte het Internet op in het bedrijfsleven. Systeembeheerders realiseerden zich dat een router met eenvoudige filters niet meer voldoende was om hun netwerk afdoende te beschermen. Firewalls uit die tijd waren Seal van DEC, Raptor/Eagle, TIS/Gauntlet en Checkpoint/Firewall-1. De beheerders dienden veel verstand te hebben van hun favoriete operating systeem, moesten kennis hebben van netwerk-technologie (IP-fragments, Glue-records voor DNS, routering om maar wat te noemen) om de firewall-software in te kunnen richten. Dat was een taak die ze op zich namen uit verantwoordelijkheidsgevoel (want beleid was er niet) en die ze naast hun bestaande taak deden. Maar er zaten wat addertjes onder het gras: zelfs beheerders moeten slapen en op vakantie, dus wie leest de logging? De firewall-software moet worden vernieuwd (patches, nieuwe functies e.d.). En bovenal: de beveiligingsmaterie werd snel complexer door virussen, mooiere client-software zoals grafische browsers met veel te veel mogelijkheden en enorme schaalvergroting want midden jaren 90 brak Microsoft door op de werkplek en thuis. Gebruikers raakten verwend, eisten op het werk dezelfde luxe als thuis en konden van alles zelf installeren want ze hadden toegang tot Internet vanaf de werkplek. Beheerders raakten verwend want de moeilijke Internet-technologie raakte steeds beter verborgen onder de (Microsoft-) motorkap. Keerzijde van al die luxe is dat niemand meer weet wat er moet gebeuren als er iets mis is, of weet hoe afwijkend gebruik zichtbaar gemaakt moet worden.

Al snel sprongen bedrijven in op de ontstane situatie: het upgraden kon de beheerder uitbesteden, midden jaren 90 kon het tweedelijnsbeheer uitbesteed worden en konden er standby-verzekeringen worden afgesloten. En inderdaad: vanaf eind negentiger jaren kon je het hele pakket 7x24 uur uitbesteden (inclusief hardware) en daarmee was de eerste vorm van Managed Security een feit.

Bewaak de ketting, niet een paar losse schakels
Maar er zitten meer addertjes onder het gras: beveiliging gaat niet alleen over het netwerk. Het gaat ook over de mailserver, de anti-virusupdates, name-services, kortom: de hele client-server keten. Het gaat ook om bewaking, incident management, (steeds meer) beleid en wetgeving.

Is het mogelijk de keten uit te besteden? Het beleid niet maar het werk wel. Het werk en de verantwoordelijkheid worden ingevuld in een Managed Security Service overeenkomst.

Managed Security: soorten en maten
Managed Security Services vallen ruwweg uiteen in twee soorten:

  • Perimeter-netwerkbeveiliging: deze bestaat uit een packet-level firewall die gemonitored wordt op bereikbaarheid en performance. Afspraken over het volgen van de logging en opvolgen van security incidenten worden meestal niet gemaakt of zijn onduidelijk.

  • Keten-beveiliging: deze bestaat uit de voornoemde perimeter-netwerkbeveiliging maar is aangevuld met het management van ondersteunende diensten zoals email, name services, content-controle op datastromen, incident opvolging, 7x 24 uur bewaking op deze zaken en met name op de security aspecten.
Bij de eerste vorm van managed security zijn de kosten lager en zijn de SLA's over beschikbaarheid makkelijk te definieren. De tweede vorm is kostbaarder en de SLA's zijn complexer. Maar de betrokkenheid van de leverancier is groter en de hoeveelheid intern beheer is minder. Door de keten-opzet worden ook de klassieke muren (ze komen weer terug!) tussen netwerkbeheerder, systeembeheerder en applicatiebeheerder geslecht. Door te kiezen voor keten-beveiliging dwingt een organisatie zich tot het maken van beleid want anders kunnen ze de SLA's niet toetsen want keten-SLA's raken aan de bedrijfsprocessen en niet alleen maar aan de beschikbaarheid van een Internet-verbinding.

Waait Managed Security over?
Alleen als beveiling als proces wordt gezien op de hele keten, integraal wordt gemanaged en in beleid is geborgd, dan is Managed Security meer dan alleen ad-hoc beveiliging en valt er meer dan alleen financieel voordeel bij te halen.

Wat gaan we nog meer managen in de toekomst?
Neem de hype van enkele jaren terug: Network Intrusion Detection. De verkoopverwachtingen van NIDS-oplossingen zijn inmiddels stevig getemperd. Waarom? NIDS is geen slechte technologie maar wel arbeidsintensief vanwege de vele valse alarmen. Daar kijkt dus geen beheerder meer naar om na verloop van tijd. Dit is een gemiste kans. Door NIDS onder te brengen in een Managed Security Service wordt het werk uitbesteed en houd je de positieve kant over: een betere beveiliging.

To manage or not to manage
In navolging van NIDS beginnen nu switches op de markt te verschijnen die op hol geslagen virulente PC's geen toegang geven tot het netwerk en bij verdachte datastromen alarmeren. HP had al 5 jaar geleden zo'n apparaat, nooit meer wat van gehoord, hij moest namelijk bewaakt worden om effectief te zijn.....

Leo Willems

Meer informatie betreffende Managed Security is te vinden op www.tunix.nl/managedsecurity

Reacties (2)
16-06-2005, 08:06 door Mr Wizard
Een Hype is een toestand waarbij een gedeeltelijke waarheid
wordt verheven tot onmeetbare proporties die na enige tijd
zullen afzwakken....met andere woorden: het zal we weer
overgaan, maar voor een deel is het zeker nodig.

Vroeger werd er niet zo naar gekeken, omdat bijna niemand
aangesloten was op internet, als je standaard security op
orde was, had je gewoon 90% van de lading afgedekt en vond
iedereeen het prima, nu is die 10% ook nodig.
22-06-2005, 03:44 door Anoniem
NIDS is geen slechte technologie maar wel
arbeidsintensief vanwege de vele valse alarmen. Daar kijkt
dus geen beheerder meer naar om na verloop van tijd. Dit is
een gemiste kans. Door NIDS onder te brengen in een Managed
Security Service wordt het werk uitbesteed en houd je de
positieve kant over: een betere beveiliging.

Wat een bullshit, je spreekt je zelf wel tegen.
Dus als je NIDS intern doet, dan kijkt er geen kip naar.
Maar als je het uitbesteed dan kijkt men er wel naar?

Wat jij bedoelt wellicht is dat je het uitbesteed je
leverancier er filters en scripts om heen bouwt die alle
false positives negeren.
Iets wat je dus ook zelf kunt doen indien je de juiste
mensen in dienst hebt.

Maar het lullige van false positives dat het ook een attacks
vector kan zijn.
Immers als je bewust iets target kan je er voor kiezen een
dusdanig lame hack te plegen dat je weet dat je als false
positive in het lijstje voorkomt.

Los hiervan is het nadeel van NIDS dat signatures zo open
zijn, immers het is geen geheim dat SNORT het meest up2date
signatures aan heeft.

Tevens dat je signatures zelf simpel kan maken en dat heel
veel managed security providers (MSP) SNORT gebruiken.

Een NIDS zal alleen goed werken indien je ook Host based IDS
gebruikt en de data hiervan analyseerd, hiermee zijn wel
degelijk false positives er simpel uit te filteren.
Immers alles wat je NIDS detecteerd maar niet door je HBIDS
word opgemerkt is false positive.
Iets wat door je HBIDS word gedetecteerd (zoals registry
aanpassing) maar niet doos je NIDS is een reden om een
signature te schrijven (en te publiceren uiteraard)
En alles word door beide gedetecteerd word is een incident.

Ook is het probleem van NIDS dat ze slecht presteren qua
performance mbt application layer. Immers lagere nivo's zijn
de risico's middels conventionele technieken af te denken
(firewalls, routing, hardening) maar op applicatie nivo zal
er data in en uit moeten.....

Ik ben dan ook niet van mening dat NIDS geoutsourced moet
worden omdat er dan opeens (wonderbaarlijk genoeg) wel naar
gekeken zal worden, integendeel zelfs....

Ik ben het overigens eens met je betoog omtrent keten
beveiliging, echter wa t gebeurd er als je NIDS uitbesteed?
Dan zit er toch een duidelijke breuk in je keten ?
Dit kan alleen opgelost worden door alles uit te besteden
(ook server beheer) of niets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.