image

Column: Maak van het kasteel een hotel

donderdag 3 april 2008, 10:38 door Redactie, 15 reacties

Internet wordt vuiler en vuiler, de virussen slimmer en agressiever. Het moment is nabij dat de narigheid niet meer buiten de deur is te houden. Althans, als je blijft vasthouden aan het ‘kasteelconcept’ van beveiliging. Wat houdt dat in?

Virtuele kasteelheren zien hun organisatie als een losstaand bouwsel dat ze afdoende denken te beschermen met een enkele firewall en antivirus?software tussen internet en het eigen netwerk – de dikke muren, de slotgracht en de ophaalbrug van vroeger. De traditionele kastelen hebben echter geen verweer tegen alles wat uit de lucht of uit de grond komt. Elke innovatie in de oorlogsvoering, zoals de uitvinding van het buskruit en de ontwikkeling van het vliegtuig, verzwakte het kasteelconcept. In onze tijd is het nagenoeg onbruikbaar geworden. Ook in informatiebeveiliging tekent zich een wapenwedloop af. Het traditionele beveiligingsconcept – het ‘kasteel’ – is niet opgewassen tegen de aanvallen van vandaag en morgen. Die aanvallen zullen alleen maar agressiever en vernuftiger zijn.

Er valt niet aan te ontkomen: het eigen netwerk raakt straks net zo vervuild als het publieke internet. Wat te doen? Het ‘hotel?beveiligingsconcept’ biedt soelaas. In een echt hotel zijn er heel wat ruimtes algemeen toegankelijk: de receptie, de lobby, het restaurant. De bezoekers worden ongemerkt in de gaten gehouden door de portier en de andere hotelmedewerkers. De beveiligingsdienst houdt met camera’s en detectiesystemen een oogje in het zeil. De hotelkamers en de ‘werkruimtes’ – de keukens, de voorraadkamers en de kantoren – zijn veel strenger beveiligd: daar kom je alleen in als je bevoegd bent. Het hotel vertoont een prettige en werkbare combinatie: semi?open als het kan, gesloten als het moet. Die kant gaat het op met informatiebeveiliging.

In het hotel?concept fungeert elke pc en elke server als ‘hotelkamer’. Een personal firewall, een certificaat en encryptie zorgen ervoor dat onbevoegden niet bij de pc naar binnen kunnen. Ook de servers worden uitgerust met certificaten, host firewalls en specifieke applicaties voor authenticatie en tweedelijnsbeveiliging. Tussen de cliënten en de applicaties komen firewalls met tal van DMZ’s (demilitarized zones) voor de neutralisering van het dataverkeer. Vlan’s en systemen voor bandbreedtecontrole bewaken de bandbreedte en segmenteren het netwerk om een uitbraak te beteugelen. Systemen voor intrusion detection en prevention weren ongewenste aanvallers en sluiten netwerknodes af bij verdacht verkeer. Volledig geautomatiseerd op basis van artificiële intelligentie en vooraf gedefinieerde rules. Alles wordt dubbel uitgevoerd: valt de ene verdedigingslinie uit, dan schuift de andere er voor in de plaats.

Toekomstmuziek? Bepaald niet. Het is onze stellige verwachting dat elke organisatie van een zekere omvang het hotelconcept zal omarmen.

Hoe dan ook: je bent beter af in een hotelkamer dan in een tochtig kasteel…!

Door Rhett Oudkerk Pool, oprichter en CEO van Kahuna.

Reacties (15)
03-04-2008, 11:03 door [Account Verwijderd]
[Verwijderd]
03-04-2008, 13:21 door Anoniem
De kasteelmuur wil men dus nu om iedere hotelkamer leggen. Fantastisch
dan is het overzicht van de hotelhouder helemaal zoek. Kun je niet inbreken
ikn hotelkamer no.1 dan probeer je gewoon een andere. Eens zal je toch
succes hebben, nietwaar?
03-04-2008, 15:26 door Anoniem
Blijkbaar snappen jullie het niet helemaal.

Het kasteel-model gaat uit van een heel dikke buitenmuur als
enig vorm van beveiliging. Dat betekent dat je vrij spel
hebt zodra je door de muur heen bent.

Het hotel-model heeft een dunnere buitenmuur, maar toegang
tot het hotel betekent nog niet toegang tot de hotelkamers.
Dus niet van binnen het network op de webserver inloggen
zonder wachtwoord, maar altijd inloggen met wachtwoord.

Het hele idee is dus dat je elke entiteit in je netwerk
beveiligd, in plaats van dat je een muur om je eigen domein
heen zet en je beveiliging alleen van die muur laat afhangen.
03-04-2008, 19:02 door generaldeejee
als elke pc in een bedrijfsnetwerk een eigen firewall en
virusscanner moet hebben ben je massa's geld kwijt aan
licentie's
03-04-2008, 20:50 door Anoniem
Door generaldeejee
als elke pc in een bedrijfsnetwerk een eigen firewall en
virusscanner moet hebben ben je massa's geld kwijt aan
licentie's
Met de standaard firewall van Windows XP SP2 kom je een heel
eind, en Avira is een goede, gratis virusscanner.
03-04-2008, 21:06 door Anoniem
Probleem met analogiën is dat ze NOOIT kloppen. Bij het
'oorspronkelijke' artikel gingen mijn wenkbrauwen al omhoog.
Als je je vakgebied aan een leek slechts in analogiën of
modellen kan uitleggen, dan zou je volgens mij ook een ander
beroep kunnen ambiëren...
04-04-2008, 08:35 door [Account Verwijderd]
[Verwijderd]
04-04-2008, 10:23 door Anoniem
Waarschijnlijk was de kreet Jericho al in gebruik bij deconcurrent, dus maar
een eigen naam voor een bestaand concept?

In een hotel zijn er geen camera's in de kamers, dus het lijkt mij een beetje
kromme term, ook. Als bedrijf wil je immers conform de boekjes en de
gangbare psyche toch bovenal het eigen personeel in de gaten houden. Dat
gaat niet in de hotel benadering, alleen in de tunnelvisie van AV denken (waar
het an sich wel lijkt te kloppen).
Als de PC's zo dichtgespijkerd zijn dan ze Internetbestendig zijn, heeft
bovendien beheer een heel groot probleem.
04-04-2008, 15:25 door Anoniem
ongelovelijk hoe mensen een concept direct tot op de milimeter willen
uitpluizen en met elke kanloze vergelijking komen waardoor het niet zou
kloppen.

je moet het niet zo letterlijk nemen, het is een principe, niet direct een absoluut
vergelijking.
10-04-2008, 16:33 door joashh
Het concept opzich klopt wel, het is niet revolutionair nieuw, "defense in depth"
is een term die al langer rondzingt in deze context.

Door een gelaagde aanpak van beveiliging is het mogelijk om je, soms toch
beperkte, security budget te verspreiden over de verschillende lagen in de
organisatie, waarmee de totale val v/h "kasteel" beter te voorkomen is.

zoals gezegd, op een analogie is altijd wel wat aan te merken, maar dat wil
niet zeggen dat hij geen grote kern van realiteit bevat, maw, give the man a
break...
10-04-2008, 18:51 door ITert
Hmmm, het hotel consept he. nee doe maar nie(ooit Faulty Towers gezien, dat
wil je echt niet als consept)
11-04-2008, 14:13 door Anoniem
Analogiën zijn verschrikkelijk belangrijk in de
maatschappij. Meestal zijn het techneuten welke hiermee een
probleem hebben omdat ze niet in staat zijn in dergelijke
beeldvorming te denken.
Zij denken (willen denken) zo verschrikkelijk technisch,
vaak versterkt door de omgeving waarin zij zich bevinden dat
ze er ook helemaal geen noodzaak in zien om hun vakgebied te
vergelijken met een hotel, auto of kasteel.

Realiseer je dat het je werk vaak eenvoudiger maakt wanneer
je met (bijvoorbeeld) het management spreekt in analogiën in
plaats van technisch jargon. Je zult je probleemstelling en
aangedragen oplossing moeten laten leven in de hoofden van
technische nitwits welke niks nodig hebben met jouw
technisch jargon. Dat jargon is namenlijk waarvoor ze jou in
dienst hebben genomen.

Let maar eens op wanneer je eens met bijvoorbeeld een
medicus spreekt, die zal wel wat moeilijke woorden gebruiken
maar veelal worden deze direct vertaald naar iets wat jij
kunt begrijpen, wat ze vervolgens in het dossier kalken ten
behoeve van collega's daar zul je als leek echt geen touw
aan vast kunnen knopen. Toch fijn dat de dokter jou toch
heeft kunnen uitleggen wat er eventueel aan de hand is
zonder dat je precies de ins en outs weet.

Het is voor de mens gelukkig onmogelijk om alles te weten en
overal grondige kennis van te hebben, daarom heeft de mens
beeldspraak uitgevonden zodat je gezamenlijk toch een gevoel
van overeenstemming kunt creëren zonder dat de leek precies
de exacte technische details kent van hetgeen besproken is
weet hij toch waarover het gaat.
12-04-2008, 00:29 door Anoniem
Aan wat hierboven staat:

Wat een grote onzin! Sjongejonge! Jargon en analogiën
gebruik je tegen vakgenoten. En als je een buitenstaander je
vak, je passie, niet in gewone woorden uit kan leggen moet
je op zoek gaan naar een ander vak. Dat betekent domweg dat
je niet in staat bent om te vertellen wat je doet, en
waarschijnlijk kan je dat dan ook niet. Het vak uitoefenen.
Of je nu putjesschepper, tandarts, security specialist of
cassiere bent.

Pffft..
12-04-2008, 11:56 door Anoniem
Ach ja,bij gebrek aan argumenten gaan beledigen is ook een
vak zullen we maar zeggen.
14-04-2008, 16:34 door mokum
Toekomst muziek is het zeker niet, want de Jericho forums schrijven hier al
jaren over. Jammer dat de grote Kahuna dat niet even vermeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.