image

Column: Unified Threat Management: dure mensen, goeie spullen?

maandag 12 februari 2007, 12:12 door Redactie, 13 reacties

In 2004 introduceerde de zeer gerespecteerde analistenclub IDC het begrip United Threat Management (UTM). Hierbij voorspelden ze een ontwikkeling waarbij de traditionele functies van een firewall (packet dan wel statefull) in een appliance 'geconsolideerd' zullen worden met nieuwere rollen als Intrusion Detection en Prevention, mail en browse encryptie, packet shaping, antivirus en antispam en VPN terminatie. Volgens IDC is deze ontwikkeling wenselijk voor onder meer banken, overheden en nog 15 andere sectoren die één gezamenlijk kenmerk hebben: het zijn grote clubs. De analisten zijn het er met zichzelf over eens dat er dus een zeer grote markt bestaat voor UTM. Volgens IDC zullen UTM appliances in 2009 de helft van de hele verkoop van security apparaten uitmaken. ITSecurity.com meldt dat deze magische dozen "proactieve bescherming bieden tegen bekende én onbekende aanvallen". Bescherming snap ik. Maar wat is er nu precies proactief?

In de praktijk is 'een UTM' een firewall die voorbij packet filtering of statefull inspection gaat. Gartner geeft aan deze ontwikkeling een iets minder hoogdravende naam: Next Generation Firewalls. Maar ook die term impliceert dat het iets is wat je gaat willen. Feitelijk bouwt de UTM voort op de traditionele application layer gateway, wat tegenwoordig vaak aangeduid wordt als proxy based firewall. De kern is het samenvoegen van alle netwerk perimeter functies. Het probleem dat UTM wil oplossen is dat een Best-of-breed combinatie van tig van deze rollen leidt tot een filtering DMZ waarin rustig een twintigtal kostbare doosjes staan te zoemen: kostbaar in aanschaf en complex in beheer.

Anno 2007 is UTM natuurlijk al passé, we evolueren immers van Anomaly Based naar Identity Based beveiliging. Nou, geen zorg, er zijn al leveranciers die Network Access Management aan het koppelen zijn aan hun doosjes van Pandora. Er komt er vast nog wel eentje op het idee er XML signatures en Windows Rights Management aan te lijmen. Kan het nog járen mee.

Managerial is UTM natuurlijk een zegen: een stuk minder dozen en minder beheerders betekent dat je minder geld uitgeeft en minder zeurpieten op de loonlijst hebt staan. Bovendien heb je aan een appliance geen beheerkosten, nietwaar?

Dit idee wordt ondersteund door certificeringclubs die er een kwaliteitsstempel op drukken. Niemand kan meer hard maken dat de doos in kwestie niet goed is: dure mensen hebben vastgesteld dat het prima producten zijn en dure raad is goed. Ik heb een hint voor iedereen die op die manier met een UTM opgezadeld dreigt te worden: lees het testverslag. Wát is er getest? Wat betékent een 'Common Criteria' level 4 nu eigenlijk? Er is een belangrijk semantisch verschil tussen een kwaliteitscertificaat van een gerenommeerde instelling en kwaliteit zoals normale mensen dat ervaren. Meestal betekent een certificaat dat je een bepaald theoretisch beveiligingsniveau kunt bereiken - mits je allerlei andere zaken rond het product op een bepaalde manier doet, die misschien niet helemaal aansluiten bij je eigen werkelijkheid. Dat niveau beschrijft de inspanning die je doet, maar zegt hooguit indirect iets over de veiligheid. Ik zie de gevolgen al voor me. 'Ja baas, we hebben wel een netwerk vol virussen en wormen die onze belangrijkste klant besmet hebben, en iemand gebruikt onze firewall als Counterstrike server, maar we zijn toch wel mooi wél level 3 qua beveiliging'.

Technisch georiënteerde beveiligers moeten over het algemeen weinig hebben van Multi-functie doosjes. Immers: je creëert een Single Point of Failure. Bovendien is een all-in-one zelden op alle gebieden even goed. Ook hier schiet ITSecurity.com te hulp: ze melden dat een UTM 100% van alle virussen vangt, antispam 95% scoort en anti-spyware 97%. Blijkbaar detecteert Trend beter virussen als ie op een packet shaper draait. De praktijk zal bewijzen dat de techniek niet beter wordt als je de functies opeenstapelt in een enkele machine.

En is het wel een enkele machine? Als één functie te maken krijgt met een veel hogere belasting (bijvoorbeeld veel gefragmenteerde packets) dan mag dat niet ten koste gaan van de werking van de andere functies. Dit houdt in dat er een reserve rekencapaciteit moet zijn voor iedere functie. Effectief betekent dit dat alle functies hun eigen reserve zullen hebben, met een sterke scheiding tussen de rollen. Is een UTM dan in feite niet meer dan tig doosjes in één omhulsel, met een geünificeerd beheerschilletje? Oftewel: de totale hoeveelheid benodigde rekenkracht neemt niet af, dus in plaats van 6 lichte dozen heb je één doos die zeven keer zo zwaar is - alleen in één chassis met drie netwerk interfaces. Je kúnt ook geargumenteren dat een quad quadcore server met 32GB natuurlijk wel één systeem lijkt, maar er eigenlijk gewoon zestien zijn.

Alleen, dit is een boodschap die je moeilijk over de bühne krijgt bij het gemiddelde management. Bovendien speelt mee dat je nu eenmaal zelden het allerbeste krijgt, misschien wel om te bewijzen dat jij niet de baas bent, maar zij. Daarom is het belangrijk om je te realiseren dat er betere argumenten bestaan.

Vereenvoudiging van beheer wordt voorgesteld als één van de grootste winstpunten. Je hoeft immers minder dozen in de lucht te houden. Hieronder zit een levensgrote denkfout: beveiligingsbeheer is niet het in de lucht houden van beveiligingsdoosjes, maar het zorgen dat ze doen wat ze moeten doen, en acteren op de informatie die ze opleveren. Een firewall is categorisch anders dan een reguliere server: voor een IT club moeten een server 'up' zijn, zodat de gebruikers hun ding kunnen doen. Maar van een beveiligingsdoosje ben je zélf de gebruiker. Het is geen ding dat 'het moet doen', je moet er zélf je ding mee doen. En daarom neemt met een 'unified' oplossing de hoeveelheid beheer niet af. Of je rar parser nu in een UTM zit of in een open source doos die virussen scant, je zult de functie tijdelijk moeten uitschakelen als er weer eens een gat gevonden wordt in de parser en de patch nog niet beschikbaar is. De signatures die de IDS dan wel de IPS gebruikt werken niet out of the box, je zult ze altijd moeten afstemmen op je omgeving. En als ze iets engs zien, moet je wat dóen. Dit beheer blijft, of het nu één appliance, tien appliances of twintig BSD servers zijn.

Erger nog. Het feit dat veel functies in één chassis zitten, compliceert het beheer. Je hebt immers tal van gelijktijdige ingrepen om de verschillende functies goed uit te kunnen blijven voeren. Dan gaat de change kalender je bijten: je wilt immers niet in ieder onderhoudswindow twintig wijzigingen op een enkel systeem doorvoeren. Bij veel verschillende dozen is het risico van interferentie van changes veel kleiner. Kort samengevat: beheer wordt met UTM juist níet eenvoudiger. Het beheer van beveiligingsmiddelen is gerelateerd aan functies en niet aan een enkele doos of een heleboel dozen. Het wordt dus ook niet goedkoper, want de hoeveelheid werk blijft hetzelfde. De enige kostenvoordelen bestaan uit minder inkoop en minder housing. Of dit opweegt tegen de grotere beheercomplexiteit en interferentierisico's, moeten de voorstanders van de geünificeerde toverdoosjes maar aantonen.

IDC roept inmiddels dat Fortinet marktleider is op dit gebied. Grappig, want hoewel een Fortigate een heel leuk doosje is, heeft ze lang niet alle functies die een UTM system zou moeten hebben. Dames en Heren ontwikkelaars: ga niet bouwen wat IDC en vergelijkbare clubjes bedenken. Hoewel het marketingpad voor je klaar ligt, en je weinig moeite zult hebben investeerders te overtuigen, neem je het grote risico iets te ontwikkelen waar niemand op zit te wachten. Laat het UTM verhaal maar voor zich spreken – de zoveelste hype waar niemand ooit van gehoord heeft. Heren managers: zeg die abonnementen op en laat het kiezen van oplossingen over aan mensen die het probleem begrijpen. Ze zeuren wel, maar je betaald ze toch al elke maand hun salaris.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (13)
    12-02-2007, 12:57 door Anoniem
    De opmerking over Fortinet snap ik eigenlijk niet, want wie
    bepaald hoeveel functionaliteiten er op een UTM oplossing
    moeten zitten?
    Met mijn kennis van Fortinet kan ik zeggen dat het
    behoorlijk veel (en kwalitatief goede) oplossingen biedt op
    een platform.
    Natuurlijk zijn er functionaliteiten die niet kunnen tippen
    aan point solutions (ssl-vpn is er een van).
    Echter de meeste functionaliteiten zijn gewoon goed en
    voldoen ruimschoots voor een groot deel van de markt.

    Hoe dan ook, ik denk dat goede UTM oplossingen zeker gaan
    aanslaan in de markt en een groot deel van de pie krijgt.
    Wel moet ik toegeven dat door de vele mogelijkheden op zo'n
    doos, het soms te uitgebreid wordt. Daarom moet je een
    dergelijke uitrol gefaseerd doen en niet alles in 1x gelijk
    up and running willen.

    Edwin
    12-02-2007, 13:24 door Anoniem
    Edwin, Fortinet ziet een WinRAR sfx (executable archive) als suspicious.
    Zegt niets over UTM, maar wel over kwaliteit van Fortinet.
    12-02-2007, 22:54 door Anoniem
    Door Anoniem
    Edwin, Fortinet ziet een WinRAR sfx (executable archive) als
    suspicious.
    Zegt niets over UTM, maar wel over kwaliteit van Fortinet.


    Ik ken Fortinet dan niet, maar uit ervaring vind ik als mens
    een executable archive al verdacht... dus waarom zegt dat
    dan iets over de kwaliteit van Fortinet?
    13-02-2007, 15:04 door Anoniem
    Rietveld is een van de weinige mensen hier die snapt wat d'r werkelijk aan
    de hand is. De meesten hier zijn omhooggevallen sysadminnetjes die
    allemaal flashy termen rondstrooien en geilen op "security management
    prevention threat analysis weet ik veel bullshit". Rietveld slaat de spijker op
    z'n kop met dit artikel.
    13-02-2007, 15:24 door Anoniem
    Dat is maar hoe je de Fortigate configureerd inderdaad.
    Persoonlijk vindt ik een Winrar executable ook suspicious,
    maar dat hoeft bij een andere organisatie niet het geval te
    zijn.
    In dit geval laat je de executable gewoon door.

    Edwin
    13-02-2007, 15:53 door Anoniem
    Door Anoniem
    Ik ken Fortinet dan niet, maar uit ervaring vind ik als mens
    een executable archive al verdacht... dus waarom zegt dat
    dan iets over de kwaliteit van Fortinet?

    Als je een executable archive verdacht vind, dan raad ik je af ooit nog een
    programma te installeren. Veel setup programma's zijn executable
    archives.
    13-02-2007, 16:05 door Consultant
    Wat een voordeel zou kunnen zijn van een UTM is dat een packet parrallel
    onderzocht wordt door meerdere engines i.p.v serieel. Praktijk is echter dat
    dit, hoewel in 1 box, niet gebeurd. Koppelen van bijvoorbeeld IPS met
    Firewall rules kan direct performance opleveren en geen dubbel beheer
    van rules. De koppeling met AV is door de beperkte protocol support al
    weer een stuk minder relevant. Combineren van IPSEC voor site-to-site en
    SSL VPN voor client to site is ook een vrij logische stap nadat Firewall en
    VPN in een doos zijn gestopt. Voor MKB lijkt UTM me een ideale oplossing,
    maar ook voor het hoger kader kunnen samensmeltingen voordelen
    opleveren. Grote samensmelters als Microsoft en Cisco bestaan nog
    steeds ondanks alle kritiek, terwijl de superieure standalone producten het
    niet hebben overleefd. En wordt je nu echt vrolijk van al die verschillende
    management interfaces voor al die aparte doosjes? Alleen hier wil men al
    SSO voor implementeren. Nee, ik denk dat een Fortinet nog lang niet op
    een goed niveau zit, maar zeker potentie heeft. Men zit echt niet meer te
    wachten op een domme firewall die nog steeds geen bescherming biedt
    voor de applicatie erachter. Mensen willen een simpele oplossing voor al
    hun problemen, een slimme doos en dan is alles opgelost. Het is niet
    vreemd dat juist MPV's het in autoland het zo goed doen op dit moment.
    Tuurlijk zal er daarna weer een reactie komen die het tegengestelde zal
    promoten. Client-Server, Centraal-Decentraal zijn dezelfde type discussies.
    14-02-2007, 16:41 door Anoniem
    Ik ga helemaal mee in het verhaal van "Consultant" en de
    zinloze reply die daarboven staat... nagoed, daar zal ik
    niet teveel aandacht aan besteden.

    Edwin
    19-02-2007, 12:06 door Martin de Gier
    Jammer dat men altijd de resultaten van de Amerikaanse markt noemt.
    Fortinet is in Nederland (europa) helemaal geen marktleider.

    UTM is voor het MKB alleen interessant als het niet de zoveelste
    vervangingsoplossing is. Alleen als men UTM kan toevoegen zonder de
    boel moet vervangen is voor het MKB interessant.
    Want men heeft vaak een ADSL router met VPN en firewall dus waarom
    deze vervangen. Producten als de SecPoint Protector voegen UTM functie
    toe zonder dat bestaande firewalls en VPN vervangen moeten worden.

    Elke keer als de markt overspoelt wordt met nieuwe producten is de klant
    de dupe als deze wilt “bijblijven.”Want wij adviseren deze klanten immers
    toch?
    26-02-2007, 16:07 door Anoniem
    @Martin de Gier:
    Het wordt inderdaad hoog tijd dat de ontwikkeling doorzet
    dat grote spelers in de markt hun werknemers op ieder niveau
    bewust maken van het belang van mensen boven geld. Het op en
    neer tussen vraag & aanbod versus aanbod & vraag is
    inmiddels genoeg in de praktijk gebleken. Je mag er van uit
    gaan dat er kinderen van 6 zijn die de wet van de grote
    getallen al lang doorzien.

    'Wij' zijn computermensen - wij hebben de zaken getest, wij
    hebben de mensen getest - social engineering is
    vanzelfsprekend voor ons, maar nog vanzelfsprekender is het
    voor ons dat juist al deze kennis eenvoudiger is te
    misbruiken dan te gebruiken. En wij weten ook dat je de
    wereld niet eerlijker moet willen maken... net zoals
    vrijmetselaars en andere humanisten al eeuwen doorhebben:
    linksom of rechtsom, dat doet er allemaal niet toe...

    Nou kan het mijn verbeelding zijn, maar volgens mij begint
    het bewustzijn sinds een jaar of vijf weer vruchten af te
    werpen.

    In ieder geval heb ik het gevoel dat we in een tijdperk
    leven waarin we zeer terughoudend moeten zijn met het
    toepassen van onze kennis, maar waarin de mogelijkheid ligt
    om de oneerlijkheid wat eerlijker te verdelen.

    Zeker vanuit een symbolische Nederlander gedacht.

    But then again... wie ben ik & wie is ik
    26-02-2007, 21:39 door Anoniem
    Dit lijkt mij eerder op het beeld van de metrosexuele nerd. En doet me
    beetje denken aan het james bond idee van als je veel tooltjes hebt en wat
    lief lacht lijk je profecioneel.

    Geef ze een cursus security managent voor retards en ze denken dat ict
    profecional zijn. Ze lachen je wel uit zonder opleiding maar beetje concrete
    confrontatie gaan ze flippen doe dan een gelijk een cursus sociale
    communicatie erbij zou ik zeggen!
    27-02-2007, 11:35 door joashh
    People,

    feit blijft dat UTM (of hoe je het ook noemt) een goeie
    oplossing is.
    Het geeft een security professional een single point of
    administration waar hij vroeger minstens 7 point solutions
    draaiende moest zien te houden.

    niemand, ook fortinet niet, pretendeert dat hun oplossing
    alles afvangt, het is een goeie en bijna complete 1e lijns
    verdedigins oplossing.
    het zal b.v. altijd nodig blijven om desktop/server AV
    oplossingen te blijven gebruiken.

    zoals "consultant" ook al aangaf, het MKB en ook grotere
    bedrijven, erg zitten te wachten op een oplossing als deze.
    En laten we wel wezen, we (als security mensen) moeten blij
    zijn dat er nu een bewust wording is in het midden en hoger
    management voor een goede security policy en infrastructuur
    binnen steeds meer bedrijven.
    19-11-2009, 11:56 door cpt_m_
    Door Martin de Gier: Jammer dat men altijd de resultaten van de Amerikaanse markt noemt.
    Fortinet is in Nederland (europa) helemaal geen marktleider.

    UTM is voor het MKB alleen interessant als het niet de zoveelste
    vervangingsoplossing is. Alleen als men UTM kan toevoegen zonder de
    boel moet vervangen is voor het MKB interessant.
    Want men heeft vaak een ADSL router met VPN en firewall dus waarom
    deze vervangen. Producten als de SecPoint Protector voegen UTM functie
    toe zonder dat bestaande firewalls en VPN vervangen moeten worden.

    Elke keer als de markt overspoelt wordt met nieuwe producten is de klant
    de dupe als deze wilt “bijblijven.”Want wij adviseren deze klanten immers
    toch?

    Producten als SecPoint Protector moeten eerst hun producten beter uitwerken voordat ze op de markt gaan.
    Ik heb dit product gezien bij verschillende organisaties.
    Er was géén enkele appliance die zijn werk goed deed, tevens hoor of zie ik tegenwoordig niet meer.
    Leveranciers die producten als Watchguard, Juniper of Fortigate leveren hebben nog nooit gehoord van het product SecPoint.
    Dit zegt genoeg, als je gebruik wil maken van UTM, geloof dan niet alles want de verkopende partij je vertelt MAAR ga zoals al vaker in de forum wordt aangegeven --> ZELF OP ONDERZOEK UIT!
    Tevens is het bij de meeste partijen mogelijk om een demo te plaatsen zodat je daadwerkelijk kunt zien wat en hoe zo'n appliance werkt.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.