Nieuws

Dubbel netwerk houdt hackers buiten de deur

dinsdag 30 maart 2010, 17:10 door Redactie, 20 reacties

Twee verschillende computersystemen, twee gescheiden netwerken en twee keer zoveel servers lijkt misschien overdreven, maar voor Cryptography Research is het dé manier om hackers en malware buiten de deur te houden. Het A-netwerk bevat alle gevoelige gegevens en bedrijfsgeheimen en is niet met het internet verbonden. Het B-netwerk wordt gebruikt voor e-mail, surfen en andere internetactiviteiten. Het bedrijf begon tien jaar geleden met het gescheiden netwerk, toen het met zeer gevoelige klantgegevens te maken kreeg. "We moesten beslissen of we de met de buitenwereld verbonden infrastructuur wilde beveiligen, of een parallel systeem bouwen. We zijn zeer blij met de gemaakte keuze en hebben nooit teruggekeken", zegt opricht en president Paul Kocher.

Door deze opzet is het onmogelijk voor een drive-by download of gerichte aanval om toegang tot de broncode en andere gevoelige gegevens te krijgen. De meeste werknemers hebben een laptop voor internetactiviteiten en een desktop voor het werken met zakelijke en klantgegevens. De laptop wordt zoals de meeste bedrijfscomputers behandeld en beschikt over een virusscanner, firewall en andere beveiligingssoftware.

E-mail
Alle e-mail op het B-netwerk wordt van de server gehaald en op een lokale versleutelde harde schijf bewaard. Zelfs als de schijf wordt gestolen, kan de aanvaller zonder private key nog steeds niet de inhoud lezen. Ook de desktops op het A-netwerk zijn van virusscanner en firewall voorzien, maar er draait geen hardwarematige firewall om aanvallers van buiten op afstand te houden. Alleen een interne host-gebaseerde firewall is actief. Voor beide netwerken zijn gebruikersnaam en wachtwoord vereist.

Werknemers op het A-netwerk gebruiken VNC om met een virtuele desktop verbinding te maken. Als werknemers gevoelige informatie naar klanten moeten mailen, versleutelen ze het met PGP, kopiëren het bestand op een USB-stick, en versturen het via het B-netwerk. De klant ontsleutelt de e-mail en leest de inhoud. In het geval de klant geen encryptie gebruikt, krijgt hij de data via Fed Ex of op een andere offline manier. Na het gebruik van de USB-stick wordt die volledig gewiped. Daarnaast draait de webserver in een apart datacentrum en bevat geen gevoelige informatie. Om misbruik door personeel tegen te gaan, wordt iedereen grondig gescreend.

Kosten
De kosten voor het gehele netwerk liggen twee keer zo hoog, omdat alles in tweevoud moeten worden aangeschaft, van licenties tot printers en bedrading. Maar de kosten voor beveiligingssoftware zijn lager dan bij andere bedrijven, die hun bedrijfsgeheimen tegen aanvallen vanaf het internet proberen te beschermen, zo merkt IT-directeur Tory Kallman op. Hij moet twee keer zoveel computers beheren. "Maar ik hoef niet na te denken over of geld uit te geven aan ongepatchte zero-day lekken voor ons stand alone netwerk." Kallman beveiligt nog steeds het B-netwerk, maar daar is geen echt gevoelige informatie op te vinden. "Dus kan ik 's nachts wat makkelijker slapen."

Het nadeel voor werknemers is dat het iets langer duurt om gegevens met klanten te delen, maar voor het bedrijf is het de moeite waard. Toch is het niet voor elk bedrijf de ideale oplossing. "Soms sluit een groot bedrijf een groep zoals human resources af, of een aantal mensen, om zo de impact van netwerkaanvallen te beperken", zegt Kocher. "Maar een bedrijf zoals Google kan dit niet doen, omdat het bij hen draait om het internet. Je kunt Google's diensten niet benaderen als je dit doet. Onze opvatting is het tegenovergestelde van de cloud computing visie."

Foxit Reader patcht onpatchbaar PDF-lek

Winkelketen wilde datalek in doofpot stoppen

Reacties (20)

30-03-2010, 17:32 door [Account Verwijderd]

[Verwijderd]

30-03-2010, 17:36 door [Account Verwijderd]

[Verwijderd]

30-03-2010, 19:51 door Anoniem

Helaas komen de ergste aanvallen niet van buiten maar van binnenuit door personeel.

30-03-2010, 21:11 door Anoniem

Het enige wat nog zorgen baart is het gebruik van USB sticks. Gebruik dan gewoon een apparaat wat unidirectional networking implementeert verzorgt

http://en.wikipedia.org/wiki/Unidirectional_network

30-03-2010, 21:41 door Anoniem

Lijkt me obvious dat dit ervoor zorgt dat er geen kwaadwillenden bij de gevoelige data komen, zolang de medewerkers zich tenminste aan de procedures voor het uitwisselen van data houden. Een inside job is dus nog steeds mogelijk, werknemers kunnen nog steeds gegevens zelf meenemen/onversleuteld versturen. En aangezien bij een groot deel van de data-lekken sprake is van (medewerking van) mensen van binnen, is dit ook niet de heilige graal.

Neemt natuurlijk niet weg dat remote aanvallen zeer lastig casu quo onmogelijk zijn, wat me wel bevorderlijk lijkt voor de nachtrust van de beheerders en CIO/CTO.

30-03-2010, 22:22 door Anoniem

VNC ?????

zeer goed bezig.

30-03-2010, 22:56 door Anoniem

Een USB stick wipen is nog niet gemakkelijk, omdat de data waarmee je overschrijft ook elders op de USB stick terecht kan komen (wear levelling).

30-03-2010, 23:35 door [Account Verwijderd]

[Verwijderd]

31-03-2010, 03:29 door Anoniem

Zelf vind ik dit nogal een omslachtige methode. Veilig is het zeker, maar het is totaal niet gebruiksvriendelijk. Door middel van tunneling, virtuele netwerken en firewalling kom je al een heel eind. De truc is om een hacker zo goed mogelijk te weren en te misleiden.

Volgens mij zijn ze bij "Fortress Linux" bezig met een soortgelijk project te ontwikkelen om gebruikers en gegevens zo goed mogelijk af te schermen van het internet. Dit zal waarschijnlijk vrij te gebruiken zijn voor iedereen op het internet zonder een hoop gedoe van dubbele servers en computers.

Veiligheid is altijd een afweging tussen veiligheid en gebruiksvriendelijkheid.

31-03-2010, 07:37 door Anoniem

@ PeterV: Wel eens van insider threats en social engineering gehoord ? Of van remote access functionaliteit ? Indien systemen niet aan internet hangen, dan is het een stuk lastiger, maar nog steeds niet onmogelijk.

31-03-2010, 10:00 door Anoniem

Is niet te hacken.

Helaas is dat onzin. Ook dit systeem is niet 100% veilig omdat het grootste gevaar niet aanvallen van buitenaf zijn maar misbruik, onachtzaamheid of domme fouten van personeel.
Dat is ook de reden dar het genoemde A-netwerk gewoon is en "softe" maatregelen als screening en awareness-training nooit overbodig zijn.

31-03-2010, 10:03 door Anoniem

Oud nieuws. Ik heb dit algezien gedurendede laatste 10 jaar bij organisaties in bepaalde sectoren. Er wordt dan zelfs gebruik gemaakt van een "airlock" die op gezette tijden op het Internet segment open gaat bv voor SMTP verkeer.

Er waren in de jaren negentig zelfs kaarten te krijgen waarmee je een systeem kon opdelen in twee segementen, een soort virtualisatie. Een deel van het systeem draaide OS met een netwerk kaart een ander een ander OS met andere kaart.

IBM is ook met zoiets bezig voor telebankieren..

TH

31-03-2010, 10:11 door cjkos

De achilleshiel hier is dus de mogelijkheid van de USB stick en de toegangscontrole van het personeel (of meer het bezoekers beleid).
Hoewel ik er enkele slechte ervaringen mee heb kan ik me helemaal vinden in het idee van zo'n parallelle netwerk.

31-03-2010, 10:35 door cpt_m_

Mijn klanten vragen met wel eens: "wat is de beste opstelling qua beveiliging"
Mijn antwoord: Pc loskoppelen van het Internet.

Ik vind bovenstaande oplossing erg reëel voor deze tijd.
Ik vraag me af of het netwerk echt veel duurder is omdat zoals gezegd in het artikel minder wordt uitgegeven aan Security oplossingen.

Kan iemand een kosten overzicht verzorgen zodat duidelijk is te zien of het misschien niet goedkoper is.

31-03-2010, 10:48 door Anoniem

Reduceert enkel wat traditionele aanval methode's . Je hebt nog steeds te maken met surfende medewerkers en die pak je gewoon via de browser.

31-03-2010, 11:32 door Anoniem

Als je er van uit gaat dat al het gevaar van buitenkomt. Helaas, dat is nog steeds niet het geval. Integendeel informatie lekkage is over het algemeen nog steeds grotendeels een interne aangelegenheid. Dus al zou je het segregeren dan zit je nog steeds met je eigen personeel die je "vertrouwd". En aangezien bij zoveel bedrijven USB media nog steeds te gebruiken zijn.....voila...internet op de werkplek. RBAC, geen God rechten op je eigen systeem e.d. zal je nog steeds moeten implementeren...

gr

TMH

31-03-2010, 11:38 door Anoniem

Door Peter V: Dit is niet nieuw: ook de Central Intelligence Agency werkt met dit model. Is niet te hacken.

Er zijn heel veel bedrijven en andere organisaties die dit doen.

Dat dit niet te hacken is ben ik volkomen met je oneens. (En iedere serieuze security specialist trouwens...)

31-03-2010, 12:00 door Anoniem

Alles is te hacken, te omzeilen (Nikey network), te misbruiken. Internet is pas sinds eind jaren 80 commercieel in gebruik maar daarvoor lekte informatie ook al uit, waren er ook logische bommen die een netwerk plat konden leggen etc etc.

Struisvogelpolitiek, kosten besparing, risk management (verkeerd gebruik), te kort aan awarenesse.a. dragen bij tot onveiligheid en de incidenten die daardoor plaatsvinden.

TMH

31-03-2010, 13:55 door Anoniem

Je zou dit volgens mij ook vrij gemakkelijk op logisch niveau je netwerk opdelen d.m.v. VLAN's die je niet met de buitenwereld laat communiceren? Als je vervolgens 802.1X & EAP toepast voor toegang tot deze VLAN's zit je volgens mij redelijk safe.

Je zou dan eventueel ipsec kunnen gebruiken voor de encryptie, zodat je trunks ook enigzins veilig zijn. Je hebt dan niet een dubbele fysieke infrastructuur nodig. Zo nieuw is dit idee volgens mij toch niet?

31-03-2010, 19:47 door Anoniem

En dan ga je er nog steeds van uit dat alle incidenten plaatsvinden door externe aanvallen..........Hoeveel bedrijven hebben de rechten van gebruikers geminimaliseerd? Hoeveel hebben het gebruik van USB aan banden gelegd? Een soft AP is zo opgezet(of een hard one), nikey netwerk met USB sticks kan introductie van malware, hacker tools, etc etc erg makkelijk maken. INformatie lekkage, misbruik van systemen, aanpassen van data etc etc...kan ook op andere manieren dan vanaf het internet, sterker nog...het is nog steeds het grootste risico. Dus als je zonodig een Airgap, en gesegregeerd netwerk wil, kijk dan ook naar RBAC, NAC en andere zaken .....wel eens gehoord van VLAN hopping? VLAN's redelijk safe?

TMH

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer