Achtergrond

Expert: Defense in Depth is een mythe

vrijdag 6 september 2013, 14:16 door Redactie, 6 reacties

In tal van beveiligingsadviezen wordt het toepassen van "Defense in Depth" aangeraden, maar volgens een Nederlandse beveiligingsexpert is de bescherming die deze "gelaagde beveiliging" zou bieden een mythe. Verschillende organisaties, van de NSA tot het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit, propageerden of propageren nog steeds het gebruik van Defense in Depth. Het gaat hier eigenlijk om een militair concept dat losjes naar ICT-beveiliging is vertaald, zo stelt Peter Rietveld van beveiligingsbedrijf Traxion.

"Dit model is feitelijk de opvolger van het chokepoint model van de jaren 90. Bij Defense in Depth in de ICT-incarnatie wordt op componentniveau beveiliging aangebracht. Per component is er een beveiligingslaagje. Daaruit hebben we de conclusie getrokken dat er sprake is van gelaagde beveiliging." Volgens Rietveld is dit echter een voorbarige conclusie.

Falende firewall

De eerste reden die hij hiervoor geeft is dat de technologie zelf gelaagd is. Elke technologielaag heeft dan wel een eigen beveiligingslaag, maar per te verdedigen object is er maar één beveiligingslaagje. De tweede reden die Rietveld noemt is dat de laagjes statisch zijn. "Als een laagje faalt is er geen back-up voorziening (al zeker niet in real-time) en valt het geheel om." Een virusscanner kan bijvoorbeeld niet als Intrusion Detection Systeem (IDS) optreden.

Een ander kritiekpunt is dat de lagen losse componenten zijn die niet samenwerken. Een falende firewall kan geen taken overdragen aan een systeem dat daar niet voor is neergezet of klaargemaakt. De beveiligingsexpert stelt dat een gelaagde beveiliging alleen kan als de beveiligingsmiddelen permanent meervoudig zijn uitgevoerd.

"Dat zie je terug in de Best Practices voor de DMZ, die voorschrijven dat er twee verschillende firewalls opgesteld moeten worden. In de praktijk werd dit echter vrijwel nooit zo uitgevoerd. Wat je wel ziet is een border en een gateway firewall, maar dat zijn verschillende, complementaire maar niet 100% inwisselbare rollen."

Mythe

Waar de route naar de vertrouwelijke bedrijfsgegevens in het verleden via het chokepoint model liep en zo beveiligd kon worden, hebben bedrijven tegenwoordig met meerdere toegangsroutes tot de data te maken. Aangezien organisaties niet weten wat de kritieke punten zijn en ze niet alle toegangsroutes kunnen beheersen, hebben ze in de praktijk met verschillende punten te maken waar ze eigenlijk meerdere lagen aan beveiligingsmiddelen zouden moeten opstellen.

"De diepte in de defensie is dus een veronderstelde diepte. De bescherming die uit zou gaan van dit concept is dan ook een mythe. Dat neemt niet weg dat Defense in Depth een uitstekend theoretisch concept is", besluit Rietveld in zijn gratis boek De Toekomst van Toegang, waar hij naast Defense in Depth ook op verschillende andere beveiligingsconcepten ingaat.

Security Tip van de Week: gebruik een evergreen-browser

Juridische vraag: zijn jeugdige hackers strafbaar?

Reacties (6)

06-09-2013, 14:26 door Anoniem

Die "Nederlandse beveiligingsexpert" heeft een verkeerd beeld van Defense in Depth. Het betekent niet dat iedere laag moet kunnen doen wat de andere laag ook kan en dan bij voorkeur op een andere manier. Dat was zelfs niet zo in de tijd dat DiD in het leger werd gebruikt. Je gebruikt een geweer als de aanvaller nog ver weg is. Wordt dat onhandig, dan pak je een pistool. Staat hij voor je neus, dan pak je je mes of je vuisten.

Een centrale firewall heeft een bepaalde taak. Een deel daarvan kan overgenomen worden door lokale firewalls op servers en werkplekken. Terwijl die centrale firewall wel een IDS functie kan hebben, bieden de lokale firewalls de mogelijkheid om vreemd gedrag van een bepaalde applicatie te blokkeren. Iets wat de centrale firewall niet kan doen. De IDS van de firewall werkt niet op individuele servers omdat die geen beeld van het gehele netwerk heeft.

Peter

06-09-2013, 14:46 door Anoniem

Heeft Traxion weer aandacht nodig? Ik kom artikelen uit 2004 tegen die al kritiek hebben op de layered defence strategie.

06-09-2013, 15:12 door Overcome - Bijgewerkt: 06-09-2013, 15:13

Wellicht wordt het standpunt in het boek duidelijker uitgelegd. Zoals het nu is verwoord is het voor mij niet duidelijk waarom het concept een mythe zou zijn. Om wat te noemen:

Elke technologielaag heeft dan wel een eigen beveiligingslaag, maar per te verdedigen object is er maar één beveiligingslaagje... "Als een laagje faalt is er geen back-up voorziening (al zeker niet in real-time) en valt het geheel om." Een virusscanner kan bijvoorbeeld niet als Intrusion Detection Systeem (IDS) optreden.

Wie zegt dat er maar 1 beveiligingslaag is? Laten we als voorbeeld antivirusbescherming nemen. Welke maatregelen hebben we getroffen om virussen en malware via b.v. de e-mail buiten de deur te houden danwel te beheersen?

- Meerdere antivirus engines met verschillende engines op de mailserver en de werkplekken
- Inzet van IDS en IPS op servers en werkplekken
- Geen gebruik van admin rechten op de werkplek
- Software bijgewerkt met de meest recente security patches
- Acceptatie van een beperkt aantal bestandsextensies in e-mail bijlagen
- Inzet van firewalls (lokaal en netwerk) om ongeautoriseerd egress verkeer tegen te gaan
- 24x7 monitoring van servers en bepaalde werkplekken
- ...

Ik wil niet zeggen dat dit een normale gang van zaken is, maar toch. Wanneer 1 laagje faalt, bijvoorbeeld 1 antivirus engine, wie zegt dan dat het geheel omvalt? Als er toch malware doorheen komt, dan hebben we b.v. ook nog de bijgewerkte software, waardoor de Java exploits niet werken. Of hebben de mensen geen admin rechten, waardoor de malware niets kan etc.

Aangezien organisaties niet weten wat de kritieke punten zijn en ze niet alle toegangsroutes kunnen beheersen, ...

Wie zegt dat organisaties dat niet weten? Als je de administratie van je netwerk niet op orde hebt en niet weet welke informatie over welke lijn of koppeling gaat, dan misschien wel. Maar hebben we daar geen business impact assessments en registratie van externe koppelingen voor? Daarnaast is ook nog maar de vraag of alle toegangsroutes niet beheerst kunnen worden. Soms gaat dat op, soms ook niet. Het hangt er allemaal vanaf. Het absolute karakter van dit soort uitspraken zorgt er al voor dat de uitspraken niet kloppen. Er zijn meerdere tinten grijs te onderkennen en die mis ik wel vaker in verhalend proza van Peter.

06-09-2013, 15:16 door Anoniem

Err, is het niet juist de bedoeling dat die zooi niet door elkaar over te nemen is? als je een border firewall hebt die ook als gateway firewall werken kan en deze wordt overgenomen, hoeft de desbetreffende cracker alleen maar de gatewayfirewall functionaliteit aan te zetten om op dat deel van het netwerk te komen. Het hele idee is volgens mij juist dat er meerdere _onafhankelijke_ systemen zijn die allen een op zich zelfstaande beveiliging zijn.

Voorbeeld; wil jij bij mijn ssh key, dan zul je eerst die fritzbox van de xs4all moeten verslaan (an zich waarschijnlijk niet zo moeilijk). Vervolgens kom je een WRT tegen met een iptables firewall die alleen van te voren gespecificeerde traffic toelaat (met een systeem als uitzondering hierop), wil je vervolgens naar dat systeem kom je een andere wrt tegen die o.a. controleert of je wel van het interne netwerk komt.. Op de bak met mijn ssh key staat vervolgens weer een firewall (vergelijkbaar met de tweede wrt dus kom je dan wel door), en moet je sshd/pam zien te verslaan alvorens je bij de ssh key zelf kan komen.

Geen van deze systemen kan een andere overnemen. Maar... als jij de fritzbox p0wnt heb je nog niet de WRT's verslagen. Je kunt 300 0-days hebben voor mijn ssh-daemon, maar zolang jij de iptables firewall niet hebt verslagen kun jij die ssh daemon niet eens aanspreken. Als een van drie routers in het pad 'faalt' in de zin dat 'ie kapot gaat kom jij het systeem ook niet op. Andersom komt dat systeem ook niet het internet op; de vraag of dit gewilt is of niet hangt af van de situatie.

An sich is dit best leuk; maar het is best lastig als je op dat systeem vervolgens wat wilt doen; daarom doet men dan vaak 'even een poortje open...', welk vervolgens open blijft en de 4 lagen aan defensie reduceert tot een enkele laag (namelijk die poort vinden om door de andere lagen heen te komen). Dit is de enige manier die ik zie om de 'mythe' te ontkrachten.

Maar waar komt het idee vandaan dat 'defense in depth' inhoud dat ieder systeem elk ander systeem kan vervangen?

06-09-2013, 18:00 door WhizzMan

Er is niets mis met defense in depth, maar wel met dingen die zo genoemd worden, terwijl ze het niet zijn, dus?

11-09-2013, 21:24 door Anoniem

Leuk hoor een gratis boek, maar als ik me aanmeld om er 1 te ontvangen ontvang ik niks. Nou ja, zo te zien aan de reacties hierboven mis ik misschien ook niks.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer