De beveiliging van ict-systemen is sterk gericht op de technische infrastructuur. Cybercriminelen gebruiken echter meer en meer de applicaties om data te ontvreemden. Dit stelden diverse experts tijdens de vakbeurs Infosecurity in Londen.
Op de vloer van Infosecurity 2009, de grootste ict-beveiligingsbeurs van Europa in Londen, boden tientallen bedrijven geavanceerde hardware en software aan. Een aantal sprekers hield juist hun gehoor voor dat die aanpak helemaal verkeerd is, omdat ze uitgaat van de gedachte dat je een digitale schil om een organisatie kunt bouwen.
‘Negentig procent van de aanvallen gaat tegenwoordig door poort 80’, aldus Bart Vansevenant van infrastructuurspecialist Verizon, dat een rapport (‘2009 Data Breach Investigations Report’) publiceerde over de schaal van dataverlies in 2008 (zeven keer zoveel als in 2007). ‘Firewalls laten verkeer op die poort standaard door, omdat het http-protocol er gebruik van maakt en een server nu eenmaal is aangesloten op internet om ergens toegang toe te bieden.’
Vansevenant kreeg bijval van Dan Haagman van 7Safe, een bedrijf dat forensische diensten levert aan creditcardmaatschappijen. ‘Bij de incidenten die wij onderzoeken vormt sql-injectie het grootste probleem. Dat is een heel oude methode, waarmee echter ook subtiele aanvallen zijn uit te voeren. Die gaan vaak dwars door de firewall heen.’
De opmerking van Bart klopt daarom hebben wij ons product juist ontwikkeld met dit idee dat heel veel door poort 80 gaat en daar richten wij ons juist op. De Protector is een add on appliance die bestaande firewall situaties uitbreiden met die poort 80 content filtering.
Met de kop ben ik het niet eens, de lezer (ik niet in iedergeval) wordt niet echt geholpen wat te doen
Dat een firewall veel van zijn nut heeft verloren, door de concentratie van verkeer op poort 80 is natuurlijk niet nieuw. We hebben al jaren oplossingen hiervoor die zich richten op de analyse van dit verkeer door Intrusion Prevention, ‘reputation services’ (blacklists van IP-reeksen en domeinen), URL-filtering (categorisering van sites), ‘Deep Packet Inspection’ (aanvulling op de stateful firewall door analyse van het dataveld van pakketen) en de good old (SOCKS-) proxy, die nu weer verkocht wordt als ‘application level firewall’. Allemaal pogingen om de voordeur slimmer te maken en het commercieel aansprekend te verpakken. Dat gaat echter allemaal voorbij aan de belangrijkste te nemen maatregelen: isolatie en vooral immuniteit van doelsystemen. Daar vindt de werkelijke inbraak merendeels plaats.
Zolang we vertrouwen op alleen een voordeur om de veiligheid te waarborgen wordt het niks. Gelukkig doen velen al veel meer dan dat: patchlevels, hardening, applicatieveiligheid (denk OWASP etc.) vooral de controle op de effectiviteit van al die zaken levert veiligheid op.
Zoals ik gisteren las bij een leverancier: ‘configuration drift’ is de grootste vijand van de beheerder. Hoe voorkom je dat je goed ingerichte host immuun blijft tegen aanvallen waar een firewall niets tegen uit kan richten? Continu toezicht is de oplossing: verlies je systemen niet uit het oog, zorg voor meldingen bij afwijkingen op de norm en doe er wat mee. Dan pas neemt de veiligheid echt toe.