Het verlies van USB-sticks bij Defensie en andere instellingen heeft geleid tot veel aandacht voor onbedoeld verlies van data. Een groot aantal organisaties heeft met enige spoed een oplossing ingevoerd. Zo werd data-encryptie voor USB-sticks snel gemeengoed. Over het algemeen komt het er op neer dat bestanden versleuteld worden zodra je ze op een stick zet, mits ze binnen het netwerk aangemaakt zijn. Dus: als iemand de stick verliest, dan is hij alleen het ijzer kwijt. Probleem opgelost.
De praktijk is echter weerbarstiger: USB-encryptie werkt niet zoals voorzien - nu ja, de techniek doet het prima maar het concept dekt gewoon niet alle scenario’s en creëert weer nieuwe problemen. Een onbedoelde bijwerking is bijvoorbeeld dat mensen, om toch portable te kunnen werken, de bestanden dan maar gewoon naar huis mailen. Op de privé-PC kan je immers de versleutelde USB-stick niet lezen. Hiermee is de kans op dataverlies misschien kleiner dan bij USB sticks, maar zeker niet klein. Thuis-PC’s worden zelden netjes gewist alvorens het pand te verlaten. De incidentele PC die letterlijk van de straat geplukt wordt die ik zie, is altijd keurig ingericht, met bedrijfsdata, belastingaangiftes en wat dies meer zij. Naar huis mailen betekent dus op zijn best dat de bestanden met een grotere vertraging lekken.
Een andere bijwerking is dat mensen ook op kantoor meer gebruik maken van handige privé-middelen. Zo zie je steeds meer mensen met "kekke mini-laptops" rondlopen. Dat is geen vooruitgang, beveiligingstechnisch. Er worden weinig auto’s opengebroken of mensen overvallen om een USB-stick, zeker met de huidige prijzen, maar voor laptops wél.
Je kunt dergelijke schaduwinfrastructuur natuurlijk gewoon verbieden, maar dat moet je niet zo maar doen. Kijk eerst eens naar waarom mensen eigen middelen gebruiken. Gebruikers (ook beheerders) omzeilen de beveiliging omdat deze te hinderlijk is. Verbieden geeft het signaal af dat veiligheid boven productiviteit gaat, terwijl het gaat om medewerkers die wat extra doen om hun werk af te krijgen. Veiligheid gaat lang niet altijd boven productiviteit, zeker niet als de risico’s relatief gering zijn. De meeste mensen die een USB-stick of laptop op straat vinden, gooien de bestanden die erop staan namelijk gewoon weg.
Hoe het wel zou moeten? Met Data Loss Prevention technologie (DLP) zouden we deze problemen beter op moeten kunnen lossen. Deze techniek wordt ook Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) of Extrusion Prevention System genoemd. Ik houd het op DLP, het lijkt erop dat deze kreet gaat winnen.
DLP is nog niet zo bekend. Het werkt als volgt. Bewerkingen op gevoelige data worden beperkt en beveiligd vanuit het lokale besturingssysteem, het netwerk OS, de netwerkinfrastructuur zoals switches en routers en op de communicatie-infrastructuur (mailservers, portals, web proxies en gateways). Voor DLP werken diverse grote partijen innig samen (zoals EMC/RSA met Microsoft en Cisco). Het is ook erg populair bij de antivirus en firewall boeren. De huidige marketingcampagne is alleen niet erg succesvol te noemen. FUD verkoopt blijkbaar niet zo goed meer.
Het doel van DLP is het tegengaan van het lekken van informatie. Daarbij gaat het vooral over onbedoeld lekken, van gebruikers die niet weten dat het niet mag, dan wel door technische zaken (zoals auto-forwards op mail). De oorsprong is PCI-DSS, waarbij creditcardnummers extra beveiligd moesten worden. Ook is er andere regelgeving, waar bijvoorbeeld adresgegevens (zoals onze Wet Bescherming Persoonsgegevens) of burgerservicenummers met extra zorg behandeld moeten worden.
Hiervoor doet DLP het volgende: een netwerkbreed zoeksysteem stelt vast (op grond van zoektermen of andere functionele input) wat gevoelig is en waar dat staat. Hiervan wordt een fingerprint gemaakt, die door allerlei interne barrières gebruikt wordt om de gevoelige info te kunnen identificeren.
Zo is een creditcard of burgerservicenummer gemakkelijk te herkennen en zal deze informatie binnen gehouden worden. In zekere zin wordt informatie voorzien van een identiteit, zodat er sturing mogelijk wordt: deze informatie mag je wel printen en intern mailen, maar mag niet naar buiten. Deze informatie mag je inzien, maar niet veranderen. Deze informatie mag je wel e-mailen, maar alleen versleuteld. Het DLP systeem kan op basis van een bestand en een policy de benodigde (zelf te kiezen) acties starten, van een stille blokkade en alarmering, een versleuteling die past bij de handeling, tot een extra ‘Weet U Het Zeker?’-button.
Een belangrijke ontwikkeling voor DLP is het aanhaken van Microsoft met ERM. Hiermee wordt geautomatiseerde versleuteling van de meest gangbare bestanden en cryptografische binding ervan aan een netwerk mogelijk gemaakt. Dan kan het bestand dat versleuteld naar buiten is verzonden, alleen geopend worden door iemand die verbinding kan opbouwen met de verificatieserver van het bedrijf. Dat maakt het onmogelijk om bestanden te delen met mensen van andere bedrijven die niet bekend zijn op het interne netwerk en daarom het bestand niet kunnen openen. Hiervoor heeft Microsoft het aloude maar zwaar ondergewaardeerde ADFS uitgebreid, zodat de verificatieservers van ERM gefedereerd kunnen worden. Met deze federatie kunnen netwerken elkaar 'vertrouwen' en zo elkaars gebruikers bepaalde rechten toekennen. Hiermee kunnen organisaties heel fijnmazige policies definiëren; medewerkers van partnerbedrijf X kunnen bestanden me-zus-en-me-zo altijd lezen, en bestand huts-en-fluts ook nog editen waarbij de versleuteling intact blijft. Medewerkers partner Y kunnen weer hun dingen doen met andere beveiligde bestanden.
Deze ontwikkelingen zullen het werk van de beveiligingsmens ingrijpend veranderen. DLP inrichten en onderhouden is een bak werk. Veel werk is het op informatieniveau definiëren van policies die anders dan het huidige hoog abstracte beleid, ook daadwerkelijk ingrijpen. Nog meer werk is het zoeksysteem voeden dat bepaalt wat gevoelige informatie is. Beveiligers zijn niet langer mensen die dikke nota’s vol goede bedoelingen schrijven, maar mensen die computersystemen bedienen. Ik denk dat we dit werk zo snel mogelijk naar de ICT afdelingen moeten duwen.
Met dat zoeksysteem van DLP heb ik moeite. Dat heeft twee redenen. Allereerst hebben zoekmachines niet genoeg aan woordjes om mee te zoeken. Kijk naar Google, dat ondanks allerlei hoogst geavanceerde logica bij de meeste queries toch vaak een paar onzinnige flutpagina’s tevoorschijn haalt in de top tien. En dat terwijl de meeste webbouwers wel weten wat zoekmachine-optimalisatie en link-popularity is. Oftewel, er zullen een boel false positives en false negatives zijn in DLP. Vervelend, maar geen showstopper.
De tweede is erger. Het systeem inventariseert alle data op het netwerk tot in lokale mailarchieven aan toe. Daarom heeft het parsers aan boord om alle meer of minder gangbare bestandstypes en databases te kunnen lezen. Nu hebben we in anti-virusland één ding geleerd en dat is dat parsers kwetsbaar zijn voor aanvallen. Het DLP-systeem zal gegeven de rechten die het heeft om overal te kijken, zelf een belangrijk aanvalsdoel zijn. En als het als grid opgezet is, ook een omvangrijk doel met een groot aanvalsoppervlak. De parsers analyseren alles wat aangeboden wordt en een simpele overflow in een parser kan leiden tot een inbraak op het systeem. Met de historie van de antivirus-producten in gedachten is het aantal mogelijke gaten in een systeem met honderden parsers immens. Een absolute showstopper.
De impact van een ger00te DLP is veel groter dan bij een gehackte AV-appliance. Het grootste probleem voor de aanvaller is immers niet het binnenkomen op een bedrijfsnetwerk, maar het vinden van waardevolle informatie op dat netwerk. Met tientallen terabytes in een gemiddeld LAN kunnen interne medewerkers dit ook al niet. Met de zoekmogelijkheden van het DLP-grid krijg je als aanvaller veel meer kans. Zo bezien is het een hackers dream.
DLP is door de ingebouwde parsers dus zeer gevoelig voor aanvallen en storingen en zal regelmatig gepatched moeten worden. Je moet het bovendien fijnmazig voorzien van alle technische termen, intern jargon en kreten die gebruikt worden door de eigen medewerkers. Medewerkers die er bovendien op uit zijn om de bestanden toch te kunnen openen om er thuis aan verder te werken. Kortom: ga maar vast taalkundigen, beheerders en extra medewerkers voor de helpdesk werven.
Ik zou voorlopig de zoekfunctie negeren en met de rest van de DLP-propositie aan de slag gaan. Het is zeker een revolutie dat DLP de informatie centraal stelt, in plaats van het computersysteem of de gebruiker zoals we tot nu toe altijd deden. In organisaties waarin er al een zekere ervaring is met dataclassificatie, kun je met DLP een boel winst behalen. Zoals Forester al signaleerde, zullen dat er niet veel zijn. Maak daarbij niet de fout te veel ‘policy’ schermen in te zetten die melden dat iets alleen mag als je het zeker weet; je versterkt de gewoonte overal maar op ja te klikken en de gevolgen daarvan zijn bekend.
De nieuwe generatie spullenboel een levert een heleboel kansen en uitdagingen op. Ik denk dat er prima middelen bij zitten, maar de kans dat organisaties in staat zullen zijn om ze in de huidige vorm op een zinnige manier te gebruiken, acht ik bijzonder klein. Niet alleen voor nu, maar ook in de toekomst. Bij iets veel simpelers als USB-encryptie is het tenslotte ook niet goed gelukt.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.