Column: Afscheid van het netwerk
Een netwerk is niet meer wat het geweest is. Sommige mensen hebben het daar best moeilijk mee. Door de groeiende toepassing van mobile devices, koppelingen naar buiten en het werken buiten de eigen kantoorlocaties is het niet altijd duidelijk waar het eigen netwerk ophoudt en de buitenwereld begint. Waar is de buitenmuur gebleven? Vooral 35-plussers in onze branche moeten nog wel eens wennen aan het idee dat de buitenmuur níet meer het focuspunt van de beveiliging is.
Voor wie het niet (bewust) meegemaakt heeft: er was een tijd dat een netwerk bestond uit aan elkaar geknoopte pc’s die – met een vaartje van maximaal 2 Mb – over coax printers en bestanden deelden. Centraal stond wat groot ijzer, waarop alle belangrijke dingen gebeurden. "Buiten" was waar je wat kon "ophalen". Dat deed je bij wazige dingen als BBS-en, later compuserve, en nog later Internet. De buitenmuur bestond uit modempools waarop onverlaten zo maar inbelden. Beveiliging was het geheimhouden van die nummers. Dat was best overzichtelijk.
Wél een uitdaging was het om binnen een netwerk verschillende classificatieniveaus van informatiebeveiliging aan te kunnen. De grootste bedreiging vormden hobbyende gebruikers. Toen bleek dat het toch wel zeer lastig was om een granulaire autorisatie af te dwingen en te onderhouden, ontstond System High. Kwade tongen beweren overigens dat System High een semantische truc is voor het afschaffen van beveiliging.
In System High wordt alle informatie binnen een netwerk als even waardevol beschouwd, omdat het op dat netwerk staat. Het netwerk wordt dan ook als geheel gerubriceerd. Het concept is met name binnen de overheid en bij grote financiële instellingen formeel omarmd, maar heeft ook daarbuiten veel invloed op het denken van beveiliging gehad. In System High is het netwerk een geïsoleerde omgeving, en ieder koppelpunt met de buitenwereld een controlepunt waar alle informatiestromen tot in detail gecontroleerd worden. De oplossing die System High biedt voor het probleem van hobbyende medewerkers is dus een strikte selectie aan de poort.
Het klassieke alternatief voor System High is Multi Level Security (MLS): in een MLS-netwerk worden verschillende classificaties onderkent en er worden technische en procedurele maatregelen getroffen om vermenging van deze te voorkomen. Nu is het adagium dat MLS niet realistisch was en System High wél, gegeven de kosten en de technische stand van zaken. Maar dat was in 1974.
System High is nog steeds een belangrijk beginpunt van veel beveiligingsdenken, bij een incidentele tent zelfs nog formeel. Hier wreekt zich dat het theoretische kader onder informatiebeveiliging niet echt onderhouden wordt. Dat laat zich volgens mij verklaren uit dat je eerst techneut wordt en als je het allemaal niet meer kunt of wilt volgen op grond van je leeftijd het management mag versterken. In beleidsland heet dit conservatisme proven technology en best practices. Laten we eens dieper ingaan op de theorie.
ICT-beveiliging kent twee deelgebieden, te weten informatiebeveiliging (InfoSec) en computerbeveiliging (CompuSec). Het gaat natuurlijk allemaal om het beveiligen van de informatie. Het beveiligen van de computersystemen, waarop de informatie zich zou kunnen bevinden, de CompuSec, wordt daarom meestal ondergeschikt gemaakt aan de informatiebeveiliging.
Voor Informatiebeveiliging geldt als randvoorwaarde het labellen van informatie en hulpmiddelen als applicaties en systemen, om deze te kunnen besturen. Dit betekent dat objecten voorzien worden van een uniek kenmerk, een identiteit. In de regel bestaat deze identiteit alleen in de beleidsstukken, omdat bitjes, bestanden en computers geen label kunnen krijgen.
In feite wordt CompuSec als "Next Best Thing" ingezet voor het bereiken van InfoSec: we kunnen de informatie niet beveiligen omdat we niet daadwerkelijk labellen, dus we steken de inspanning in het beveiligen van de computersystemen en netwerken. In het "System High" denken wordt dit tot in extremo doorgetrokken: we schaffen labelling af en concentreren ons op de afscherming van het netwerk als logisch geheel. Zo wordt informatiebeveiliging indirect gerealiseerd, met weinig zekerheid rond de resultaten.
Maar de jaren 70 zijn toch echt voorbij. Het aantal koppelpunten met de buitenwereld is zo groot en complex geworden dat het eigen netwerk zelfs in beleidsstukken niet meer af te kaderen valt. De theoretici van informatiebeveiliging zien het ook. Op deze schokkende ontdekking zie je verschillende reacties.
De ene school roept dat 'het lokale netwerk' niet meer bestaat ('deperimeterisatie'), en dat iedere machine dus beschermd moet worden als ware het onderdeel van het Internet. Dit slaat vooral aan bij mensen die privé al lang geleerd hebben om te gaan met de risico’s van Internet. Meestal door een gemengde aanpak: lokale beveiliging, het besef dat afgeschermde informatie eigenlijk niet bestaat, en de acceptatie van het feit dat virussen en aanvallen net zoiets zijn als de files op de A2 – ze horen er kennelijk bij. Deze school wordt ondersteund door een merkwaardige coalitie van makers van desktopfirewalls, antivirusproducten en aan de andere kant Linux en Mac adepten. Dit leidt immers tot onkwetsbare systemen, nietwaar.
De andere school roept dat de buitenmuren nog hoger en beter moeten en kunnen en dat je binnen 'gelaagde beveiliging' moet opstellen. Hierin vind je vooral de meer klassieke enterprise automatiseerders en bestuurders die het individualistische van de deperimeterisatie niet zien zitten – het categorisch vertrouwen van gebruikers en het accepteren dat écht vertrouwelijk niet bestaat is voor hen een aantal bruggen te ver. Deze school wordt ondersteund door de leveranciers van 'oplossingen' van laag 2 tot en met 8, met schitterende appliances die IDS, IPS, IdM, IAM, DomSec en de hele verdere afkortingenbrij in hapklare brokken kunnen 'implementeren'.
Beide stromingen weerspiegelen in feite een veel dieper liggend wereldbeeld. De eerste school is een liberale school waarin mensen zelf kunnen – en moeten – denken. De vrije stroom van informatie levert meer op dan het monopoliseren ervan. Deze school gelooft in intern ondernemerschap en innovatie.
De tweede school heeft een meer autoritair wereldbeeld, waarin een organisatie een koekjesfabriek is waarvan de medewerkers de processen moeten uitvoeren zoals ze 'in het beleid' voorgeschreven zijn. Mensen worden in dit beeld tegen zichzelf en elkaar beschermd en het onthouden van informatie ('Intellectueel eigendom') is de basis van concurrentievoordeel. Je kunt deze posities in feite zo projecteren op de klassieke links-rechts verhouding. Het is dan ook niet erg waarschijnlijk dat er een hanteerbare synthese zal ontstaan. Waarschijnlijk blijven we tot in lengte van dagen de concrete dingen uit beide scholen naast en door elkaar implementeren. Keuzes maken blijft immers lastig.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
informatiebeveiliging. De praktijk zoals ik die ervaar zegt
mij het volgende. De tweede school die voornamelijk
autoritair te werk gaat heeft alleen kans van slagen als de
onderliggende organisatie inderdaad de structuur van een
koekjesfabriek heeft. Toch heeft elke organisatie inderdaad
een liberale tak ( eerste school) nodig om de creativiteit
in het ondernemerschap te faciliteren.
Kijk naar banken bijvoorbeeld. Deze hebben een behoorlijk
aantal zwaar gereguleerde processen voor het kantoren
netwerk en customer facing diensten. Om zowel commerciele
als juridische redenen moet dit behoorlijk dicht getimmerd
zijn. Een dealingroom daarintegen moet reageren of de
realiteit van de minuut. Hier zijn langdradige procedures
domweg niet acceptabel omdat de kosten / verliezen anders
exponentieel toenemen. Hier is iets nodig wat ik zou
betitelen als real time ICT en security. In zeer korte tijd
moet vaak functionaliteit worden opgeleverd die nodig is om
om te gaan met de realiteit van het moment.
Mischien is het beter om dan te gaan nadenken over de
houdbaarheid van informatie als leidraad voor de
classificering hiervan. Alsook om te bepalen op welke wijze
de infosec met dergelijke informatie dient om te gaan.
De historische klantgegevens zijn bijvoorbeeld langdurig
gevoelig vanuit het privacy oogpunt. Maar de koersen op een
dealingroom moeten correct en zo snel mogelijk worden door
gegeven. Hiervan is de integriteitsfactor meer van belang
dan de confidentialiteitsfactor. Door informatie te
analyseren in de tijd onstaat een beeld. Hierdoor kan de
clasificatie van informatie veranderen van aard gedurende
het gebruik. Een goed infosec systeem kan dus met de juiste
architectuur informatie flexibel beveiligen over de tijd die
nodig is. Waarbij zowel de eerste als de tweede school beide
van toepassing zijn afhankelijk van de status van de informatie.
My two cents,
Carlo
Ik verbaas me over je stelling dat 'écht vertrouwelijk niet bestaat'. Er zijn
organisaties die hun informatie wel degelijk als zodanig classificeren. Te
denken valt aan gegevens die betrekking hebben op de overname van
ABN, maar ook de Nederlandse plannen met betrekking tot militaire acties
in Afghanistan.
Alhoewel je gelijk hebt dat er steeds de grenzen van een netwerk steeds
verder vervagen, ben ik het niet eens dat een buitenmuur daardoor niet
meer het focuspunt mag zijn, beter is het, mijns inziens om te stellen dat
het zeker niet de enige focus mag hebben.
Al met al, is me niet helemaal duidelijk welk doel je met dit artikel
probeert te bereiken.
Al met al, is me niet helemaal duidelijk welk doel je met dit artikel
probeert te bereiken.
Het doel van een column is om reacties uit te lokken bij de lezer.
Wikipedia: Een column is een kort stukje proza waarin de auteur spits en
uitdagend zijn mening ventileert.
snapt.
Alleen vreemd dat je voor een 'Identity management' bedrijf
werkt met deze inzichten. Mischien moet je het volgende eens
lezen:
http://www.hpl.hp.com/techreports/2007/HPL-2007-105.html t.m. 4.
Ik denk dat je dan, zeker gezien je bovenstaande inzichten,
ook in moet zien dat identity management op het verkeerde
(eerste school)
spoor zit.
Als je trouwens terug kijkt in de vere IT geschiedenis, zie
je dat in het verleden extreem 1e school systemen (MLS)
geimplementeerd zijn boven op extreem 2e school systemen
(capability based) , en dat ze dus prima naast, of eerder
boven elkaar kunnen bestaan.
Met recente ontwikkelingen (Horton protocol) zie je dat het
zelfde nu mogelijk is met identities boven op ABAC, dus er
is hoop ;-)
Ik denk dat je dan, zeker gezien je bovenstaande inzichten,
ook in moet zien dat identity management op het verkeerde
(eerste school)
spoor zit.
Als je trouwens terug kijkt in de vere IT geschiedenis, zie
je dat in het verleden extreem 1e school systemen (MLS)
geimplementeerd zijn boven op extreem 2e school systemen
(capability based) , en dat ze dus prima naast, of eerder
boven elkaar kunnen bestaan.
Met recente ontwikkelingen (Horton protocol) zie je dat het
zelfde nu mogelijk is met identities boven op ABAC, dus er
is hoop ;-)
elkaar hier, ik hoop dat het toch duidelijk is.
Al met al, is me niet helemaal duidelijk welk doel je met dit artikel
probeert te bereiken.
Het doel van een column is om reacties uit te lokken bij de lezer.
Wikipedia: Een column is een kort stukje proza waarin de auteur spits en
uitdagend zijn mening ventileert.
Bedankt dat je duidelijk maakt wat column betekend, het maakt duidelijk
wat ik met mijn opmerking bedoel. De column is in mijn beleving nog spits
of uitdagend. Het raakt kant nog wal, en, als je mijn reactie leest, is het
ook deels gewoonweg niet waar, nogmaals in mijn beleving.
voor een correct informatie beveiliging en toegang allang beschikbaar is.
Gebruik gewoon Mandatory Access Control met een Lattice Based Access
Control. Samen met het Bell-Lapadula model voor hoe je confidential info
mag lezen en behandelen. Samen met een secure state machine server
ontwerp moet je dat redelijk veilig zijn.
Om de availability te waarborgen zal je mogelijk nog wel een netwerk
perimeter nodig hebben. Maar die is dan meer bedoelt om je netwerk
operationeel te houden. Minder om je systemen te beschermen.
Van ontwikkelingen die ik zie lijkt het toch dat men steeds meer naar een
layered systeem gaat waar elk onderdeel om z`n minst zichzelf beschermt
en nog een zeer kleine maar specifiek taak heeft. Waarbij als die taak faalt
niet alles meteen onderuit gaat.
uitersten, terwijl de werkelijkheid veel meer nuances kent.
Op een slecht beveiligde computer, heeft het labelen van
informatie weinig zin; de indringer kan makkelijk de
sleutels achterhalen en alsnog de informatie misbruiken.
Met de link naar conservatisme en liberalisme worden in
feite ook weer twee uitersten beschreven. Ook hier zie je
dat die twee in elkaar overvloeien dwars door de samenleving
heen. Dat overvloeien gebeurt in de individuen zelf, want
niet iedereen is op alle punten liberaal of conservatief.
Binnen conservatieven en liberalen bestaan onderling ook
meningsverschillen.
Waarschijnlijk blijven we tot in lengte van dagen de
concrete dingen uit beide scholen naast en door elkaar
implementeren. Keuzes maken blijft immers lastig.
Men zou dit kunnen lezen als een stelling dat mensen dom
zijn, wanneer die niet duidelijk kiezen voor een van de twee
scholen.
In de praktijk zouden we dan alle informatie open en bloot
over onbekende superveilige netwerken versturen, terwijl
onze apparatuur potdicht zit. Of zouden we groeiende
beveiligings-overhead aan de werkelijke informatie plakken,
terwijl onze apparaten volledig openstaan. En
maatschappelijk zou dat betekenen dat de politiek uit een
conservatieve en een liberale partij zou moeten bestaan. Ik
denk dat een veel-partijenbestel een genuanceerder beleid
kan geven. Bij het samenstellen van mijn computer, heb ik
ook liever de keuze die ik nu heb, dan uit twee merken. En
bij m'n stereo. En dus zeker bij mijn mogelijkheden om het
overheidsbeleid ook met mijn wensen rekening te laten
houden. De wereld is niet zwart-wit (maar kent wel
{HateFilterRqst_PassWordJoke}kleurenblinden ;).
Apparatuur- en informatiebeveiliging vloeien ook ergens in
elkaar over. Het gaat er om dat elke keten zo zwak is als
zijn sterkste schakel.
Dus hoewel ik het met plezier gelezen heb, ben ik het niet
helemaal eens met de strekking van het verhaal.
Ik denk dat de waarheid meestal in het midden ligt.
Als ik dit zo lees inclusied de commentaren krijg ik het
idee dat de basis
voor een correct informatie beveiliging en toegang allang
beschikbaar is.
Gebruik gewoon Mandatory Access Control met een Lattice
Based Access control. Samen met het Bell-Lapadula model
voor hoe je confidential info mag lezen en behandelen. Samen
met een secure state machine server ontwerp moet je dat
redelijk veilig zijn.
Het BLP model werkt dus niet in een moderne multi realm
networked omgeving met veel untrusted code, namelijk omdat
de *-property in zo'n omgeving simpelweg betekenisloos is.
Gezien het feit dat vrijwel iedereen in zo'n omgeving werkt,
moeten we gewoon inzien dat BLP
dood is, in ieder geval tot er iemand een oplossing voor het
cooperating conspiritors probleem en/of voor covert channels
bedenkt. Jammer dat er nog steeds mensen zijn die het
overleiden van BLP nog niet hadden meegekregen. Zo lang we
blijven proberen om onoplosbaar geachte problemen (CC
probleem/Covert channels)
op te lossen, komen we er nooit aan toe om de echte
problemen (access/ambient authority) aan te pakken, of zelfs
maar als prioriteit te herkennen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
