'Ids moet en kan beter'

DTO verlangt meer diensten van leveranciers indringersdetectiesystemen

Ids-systemen ('intrusion detection') kunnen een stuk gebruiksvriendelijker. Dit vindt Wim van Geloven, adviseur informatiebeveiliging bij DTO (Defensie Telematica Organisatie). In zijn ogen is er te weinig integratie tussen informatiebronnen, kan het aantal aanvalsdefinities omhoog en moeten leveranciers meer meedenken over de maatregelen die nodig zijn om informatiesystemen waterdicht af te sluiten.

Van Geloven kijkt nuchter naar het nut van indringersdetectiesystemen, waarmee aanvallen en andere dreigingen binnen het netwerk zijn op te sporen. DTO, die naast het netwerk van de strijdkrachten ook dat van andere overheden beheert, gebruikt ids-systemen als één van de hulpmiddelen om integrale beveiliging van informatie te realiseren.
Van Geloven vindt dat er in ids-systemen teveel nadruk ligt op aanvallen via internet. Integraal beheer van netwerkomgevingen is daaraan ondergeschikt, terwijl dit juist het uitgangspunt is van gebruikers van deze systemen. De staat van beveiliging van een omgeving voor kantoorautomatisering is niet in één oogopslag te zien. Leveranciers van ids-systemen zouden aan de hand van de gebruikte systemen een lijst met maatregelen moeten kunnen overleggen.

Tegenwicht

Van Gelovens pleidooi voor meer aandacht voor gebruiksaspecten van ids-systemen vormde een mooi tegenwicht met andere sprekers die vorige week donderdag tijdens de 'Intrusion detection afternoon' in Amsterdam ingingen op ids. Kenneth De Spiegeleire bijvoorbeeld, werkzaam voor Internet Security Systems - een leverancier van ids-systemen, liet in zijn verhaal over de laatste hack-trends op internet zien, dat ids-systemen zo langzamerhand absoluut onmisbaar beginnen te worden. Maar is het iedere leverancier van it-systemen hier niet om te doen: de noodzaak van het eigen systeem onomstotelijk aantonen?
Ook Van Geloven zei dat zijn organisatie voor de beveiliging van netwerken niet meer zonder ids-systemen kan. It-systemen zijn aan elkaar geknoopt en daardoor zo complex geworden dat de kwetsbaarheid en kwaliteit van het geheel moeilijk te overzien is. Ids-systemen vervullen een poortwachterfunctie om ongewenst netwerkbezoek te kunnen ontdekken.

Complexiteit

Hackers spelen op deze complexiteit in door hun aanvallen met name op applicaties te richten. Aanvallen via deze weg zijn moeilijker te ontwaren dan poortscans waarmee de netwerktopologie voorheen voornamelijk werd afgestruind op zoek naar zwakke plekken. Door poorten te scannen lopen hackers sneller tegen de lamp. Met gerichte aanvallen op zwakke plekken in een kluwen van applicaties blijven hackers eerder ongezien en kunnen zij meer schade aanrichten.
Ook De Spiegeleire ziet hackers voornamelijk aanvallen via applicaties opzetten. Als voorbeeld geeft hij een SQL-commando dat toe te voegen is aan een http-verzoek voor informatie aan de webserver. Dit commando kan zo vernuftig ingesteld zijn dat de webserver de inhoud van de volledige database teruggeeft met alle gevolgen van dien.