"Kleine eilanden toekomst van netwerkbeveiliging"
Bedrijven worden aan de lopende band gehackt, het is dan ook tijd om anders over security na te denken, bijvoorbeeld door het overstappen naar kleine, gesegmenteerde netwerken. Daarvoor pleiten beveiligingsexperts Dan Kaminsky en Richard Bejtlich. Volgens Kaminsky hanteren de meeste bedrijven het mantra om te doen wat anderen doen, of het nu werkt of niet. "Het gaat niet om overleven, het gaat erom dat je 'due diligence' kunt claimen. Dat is prima als je je baan wilt behouden, maar slecht als je een technisch probleem probeert op te lossen."
Kaminsky stelt dat niemand op dit moment weet hoe je een veilig netwerk maakt. "Er is geen klip-en-klaar antwoord dat we niet volgen omdat we lui zijn." Het installeren van een intrusion detectie of preventie systeem (IDS/IPS) en het gebruik van een firewall en virusscanner zijn al lang niet meer voldoende.
Phishing
Veel bedrijven weten vaak niet eens dat ze gehackt zijn. Gemiddeld wordt een hack pas na 416 dagen ontdekt, gaat Bejtlich in een interview met Wired verder. En zelfs als de aanval wordt ontdekt en de malware van machines wordt verwijderd, volgen er vaak allerlei golven van nieuwe phishingaanvallen om binnen te komen.
Het Oak Ridge National Laboratory in Tennessee was het doelwit van zo'n aanval. Een e-mail die van personeelszaken afkomstig leek werd naar 530 werknemers gestuurd, ongeveer 11% van het totaal aantal werknemers.
In het bericht konden de ontvangers meer informatie over hun pensioen vinden als ze de meegestuurde link zou openen. De geopende website misbruikte een zero-day lek in Internet Explorer. De aanval werd vrij snel opgemerkt. Toch openden 57 werknemers de link en raakten twee computers besmet met de malware.
Eilanden
Bejtlich stelt dat in het geval van een aanval het bedrijf eerst een vertrouwde omgeving moet opstellen en waar niemand toegang toe heeft. Door uitgebreid al het netwerkverkeer te monitoren wordt vervolgens naar de aanvallers op andere delen van het netwerk gezocht. "Het doel is om ze zo snel te vinden, dat voordat ze je gegevens kunnen stelen, je ze er al uit hebt getrapt."
Kaminsky pleit voor het verkleinen van netwerken om de schade te beperken. "In plaats van een groot serverpark, wil je kleine eilanden maken, zo klein als operationeel mogelijk is. Als je je perimeter verkleint, moet je met mensen buiten je perimeter communiceren en een manier vinden om dat veilig te doen, zoals het gebruik van encryptie en authenticatie."
Daardoor kunnen machines niet meer ongehinderd met elkaar communiceren. "Het verandert de spelregels. Je kunt niet zeker weten dat je ontwikkelmachines of supportmachines niet zijn gehackt." Zo'n opzet is echter niet voor iedereen haalbaar. Bij sommige bedrijven is incident detectie respons dan ook een continu bedrijfsproces, stelt Bejtlich. "Ze hebben geleerd ermee te leven."
En we gaan toch massaal over op IPV6? (not!)
Nat heeft niets te maken met segmentatie. Laat staan dat je het als een beveiligings maatregel kan gebruiken.
De komst van ipv6 verandert niets aan de moeilijkheid om te segmenteren.
En we gaan toch massaal over op IPV6? (not!)
Als je meent van NAT afhankelijk te zijn voor security heb je heel wat meer stappen te maken dan compartimentaliseren.
Waarom denk je dat compartimentaliseren met IPv4 en NAT makkelijker zou zijn dan met IPv6 ?
Met IPv6 heb je ook en juist een grote adresruimte en kun je op een aantal manieren kleine eilanden maken zonder zorgen over snijverlies bij adressen.
Massal _over_ gaan zal uberhaupt niet gebeuren, het er massaal _naast_ gaan doen gaat hopelijk op tempo komen.
En we gaan toch massaal over op IPV6? (not!)
Ooit van routeren gehoord en subnetten? er is geen NAT nodig zolang je er maar tussen gaat firewallen.
En ook dat geeft problemen, er moet imho meer secure software komen, want ookal heb je een tiered approach met losse Frontend, business logic en database segment. Die SQLi query gaat er gewoon doorheen.
WAF's en IDS/IPS zijn ook geen toekomst
Makkelijker. Adresruimte te over, dus waarom moeilijk doen? Nu is een /24 volzetten met subnetjes voor klanten nogal een verspilling vanwege alle broadcast- en netwerk-adressen, gateways en misschien wel HSRP. Als iedere klant 1208925819614629174706176 ip-adressen heeft komt dat niet zo nauw.
En we gaan toch massaal over op IPV6? (not!)
Hard op weg. Het grootste probleem is de klanten overtuigen van de (kleine) extra investering in tijd nu. Van de andere kant: de investering is niet echt de moeite waard, op het moment. Iedere telco kan z'n android- en iphone-gebruikers probleemloos een ipv6-adres geven maar gek genoeg gebeurt dat niet.
Maar: IPv6 maakt het niet moeilijker maar juist een stuk makkelijker om iedere klant z'n eigen verzameling van subnetjes te geven, elk met een toegespits packetfilter.
Segmentering en de Cloud lijken ook erg tegenstijdig. Worden dan waarschijnlijk kuddes schapenwolkjes ;-).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
