Informatiebeveiliging blijft doorlopend proces

‘Beter drie goedkope overlappende producten dan één duur pakket’

Menig it-manager zucht als hij een investeringsvoorstel moet doen om het netwerk veilig te houden. Hij weet namelijk dat hij vervolgens de vraag krijgt of het echt nodig is om de budgetten voor informatiebeveiliging wéér op te schroeven. “Er zijn de laatste tijd toch geen grote uitbraken meer geweest!”

Peter Tippett moet het al duizenden keren hebben uitgelegd. Als chief technical officer van Cybertrust of als adviseur van het Witte Huis. Het beveiligen van een netwerk blijft een doorlopend proces waar helaas steeds opnieuw geld in gestoken moet worden. Computers zijn namelijk gemaakt om applicaties op te draaien en een virus of worm is niets anders dan wéér een applicatie op het systeem. “Voor computers is het onmogelijk om onderscheid te maken. Een virus is een programmaatje en pc’s hebben nu eenmaal geen ingebouwd overlevingsmechanisme, dus moeten we dat steeds toevoegen. Er is in dat opzicht helaas geen enkel verschil tussen een virus en een applicatie. Was die er wel dan was informatiebeveiliging eenvoudig”, vertelt Tippett. “Anderzijds ligt het in de natuur van de gebruiker dat hij niet gelimiteerd wil worden in zijn keuzes. In theorie zou de oplossing tegen kwaadaardige code dan ook alleen maar die applicaties draaien waarvan zeker is dat ze geen kwaadaardige code bevatten. We zijn echter verslaafd aan nieuwe software en met die vernieuwingsdrang ontstaan weer verse potentiële gevaren.” Tippett legt uit dat toen hij tien jaar geleden werkte aan de eerste versies van Norton ze geprobeerd hebben deze methodiek van antivirus te introduceren, maar dat dit al snel geen haalbare kaart bleek. “In die dagen was het aantal virussen ook nog beperkt en waren ze gemakkelijk te herkennen aan hun signatures. We zijn die weg dus maar ingeslagen en zo werken de meeste anti-virusprogramma’s nog steeds. Het betekent wel dat we steeds achter de feiten aan blijven lopen.”

Kijk naar procedures

Volgens Tippett is het slechts toelaten van gecertificeerde applicaties op het bedrijfsnetwerk niet meer werkbaar. Computernetwerken zijn namelijk heterogener dan ooit. “Toen we daar destijds bij Norton 3 aan werkten, draaide alles nog op hetzelfde OS en maakte de applicaties gebruik van dezelfde instructiesets. Tegenwoordig zijn er zoveel processen die weer door andere applicaties worden geinterpreteerd, dat het probleem bijna niet meer op te lossen is met een simpele whitelist. Misschien is het technisch wel mogelijk, maar er is in ieder geval geen leverancier meer die dit aanbiedt.” Tippett meent ook dat het zinloos is van een securityproduct te verwachten dat het alles en iedereen weet tegen te houden. Hij was een van de eersten die liet zien dat het onbetaalbaar zou worden om één allesomvattend product te ontwikkelen. “Natuurlijk is het zo dat het gros van de nieuwe kwaadaardige code alleen maar kleine wijzigingen op een bestaand thema bevat en daarmee eenvoudig tegen te houden is. Je kunt echter niet verwachten dat een anti-virusproduct alle aanvallen tegen kan houden. Daarom is het verstandig om meerdere lagen aan te brengen. Een dergelijke laag hoeft overigens geen technische oplossing te zijn. Het kan ook een relatief goedkope procedure zijn. Alleen al door gebruikers te leren geen onbekende bijlagen te openen, hebben we in het verleden een hoop bereikt. Dat kunnen we verder doorvoeren. Geen van die lagen zal overigens een volledige bescherming bieden, maar als ze elkaar overlappen, zal maar een klein percentage door de mazen glippen. Dat kleine percentage zullen we helaas voor lief moeten nemen.”

Proactief niet dé oplossing

Eugene Kaspersky, de voorman van Kaspersky Labs (en nog steeds hoofd Research) is het eens met de stelling dat er altijd lekken zullen zijn. “Ik geloof wel dat we, zeker binnen bedrijfsnetwerken, enorme vorderingen hebben gemaakt. Meestal zijn we er ook snel genoeg bij om epidemische uitbraken te voorkomen. Dat is belangrijk, maar niet het hele verhaal. Zoals bekend is het viruslandschap aan het veranderen. Het gaat niet langer om het creëren van een epidemie om zo het nieuws te halen. Die vandalen, zoals ik ze maar noem, kijken tegenwoordig wel uit. Wie een nieuw, grootschalig virus ontwikkelt, weet dat de FBI ze achterna gaat en vervolgt. Het venijn zit ‘m in de criminalisering waarbij een schrijver van malware er juist alles aan doet om onopgemerkt te blijven. Het is helemaal niet meer in het belang van de criminele opdrachtgever om zoveel mogelijk computers te besmetten. Een zombieleger van een miljoen is simpelweg niet beheerbaar. Er zou veel te veel werk gaan zitten in het verwerken van gegevens en met tienduizend bots kan je ook een gevoelige aanval uitvoeren.” Als het gaat om de bestrijding van virussen gelooft Kaspersky niet dat de huidige ontwikkeling van heuristische en proactieve methodes de definitieve oplossing zullen opleveren. “De schrijvers van malware zijn ook niet gek. Die hebben de laatste versies van alle anti-virusproducten en wijzigen hun kwaadaardige code net zo lang totdat deze niet wordt herkend.” Kaspersky is net als Tippett een voorstander van overlappende beveiligingslagen en wijst op de noodzaak om naast de pc’s alle andere apparaten binnen de infrastructuur te beveiligen. “Het begint al bij de gateway, maar ook alle mobiele componenten, zoals laptops, pda’s en smartphones moeten hun eigen beveiligingslaag hebben. Hoe vaak komt het niet voor dat alles redelijk dicht zit maar de laptop of PDA van thuis in het systeem wordt gehangen en zo malware naar binnen brengt. Ik geloof dat er verschillende procedures moeten zijn waar ieder apparaat en misschien wel iedere gebruiker maar een beperkte toegang tot het netwerk krijgt. Voor een desktop gelden namelijk andere risico’s dan voor een smartphone met bluetooth. Organisaties moeten nadenken of ze iedereen wel dezelfde toegang tot het netwerk moeten geven. Waarom een P2P- of multimediapoort open laten staan als de gebruiker alleen maar toegang hoeft te hebben tot een beperkt deel van de administratieve software? Natuurlijk zijn technische oplossingen een deel van de oplossing; investeren in procedures is voor de zakelijke markt zeker zo belangrijk.”

Lagen

Zowel Tippett als Kaspersky vindt dat het bedrijfsleven er helaas niet aan ontkomt te blijven investeren in informatiebeveiliging. Tippett meent echter dat het onnodig is geld te steken in de allernieuwste technieken. “Het gaat om het toevoegen van lagen. Een enkele laag zoals een anti-virusproduct, een firewall of een procedure hoeft helemaal niet zo duur te zijn. Liever twee goedkope, overlappende lagen dan één duur product dat alles denkt te bevatten.” Kaspersky denkt vooral dat de houding van het management moet veranderen. “Antivirus moet niet gezien worden als een product dat steeds opnieuw moet worden aangeschaft, maar als een dienst of service. Je huurt toch ook iedere maand opnieuw beveiligers in die ‘s nachts af en toe langs je bedrijfspand rijden. Dat doe je toch ook niet eenmalig in de hoop dan voor altijd van inbrekers af te zijn! Verder is de schade wanneer er wel wat gebeurt, vele malen hoger dan de investering.”