Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Het netwerk ont- of Opstelten?

 

Expert

E D
Iets met ICT, nvt. Expert van voor het topic .

Ik vermoed dat de marketingdivisie van Microsoft - net als die van de VVD - momenteel op volle toeren draait nu een ontwerpfout in alle versies van Windows aan het licht is gekomen. Om een technische verhaal simpel te maken, ARP spoofing is als Mark Verheijen verkiezen en er achter komen dat je bedrogen bent omdat integriteit meer is dan je mooi voordoen. Zeggen wie je bent en dat niet bewijzen middels wederzijdse authenticatie zorgt dus voor problemen in het netwerk.

Voor alle duidelijkheid, als de oorzaak van Jasbug ligt in een zwakheid die al zijn 15-jarige lustrum gevierd heeft, dan is de stilte hierover bij NCSC oorverdovend. Het kan natuurlijk ook dat NCSC vorig jaar direct geïnformeerd is toen Microsoft op de hoogte werd gesteld van gevonden zwakheid en dus zijn eigen vrienden bevoordeeld. In dat geval is er sprake van: ‘All animals are equal, but some animals are more equal than others’  Want het euvel van usance met ‘responsible disclosure’ is dat de koopman zich voordoet als dominee. En dat zorgt voor een ‘unresponsible enclosure’ omdat organisaties net als onze minister vaak alleen maar camera’s bij de grens hebben opgehangen. Ze vertrouwen voor de digitale toegang teveel op de firewall zonder het netwerk te segmenteren en blijven hierbij onbetrouwbare protocollen gebruiken.

Maatschappelijk probleem

Wie nog authenticatie-mode van Windows 2003 gebruikt moet zich dan ook zorgen maken over hetRole-Based-Access-Control-systeem dat gebruikt wordt. Het oplossen van nu bekend geworden zwakheden omvat meer dan het aanbrengen van de twee uitgebrachte patches. De ontwerpfout van Microsoft biedt namelijk ‘man-in-the-middle’ aanvalsmogelijkheden die dieper liggen en niet eenvoudig op te lossen zijn. Microsoft veegt dan ook erg makkelijk zijn straatje schoon door te stellen dat het oplossen van gevonden bug voor Windows 2003 te grote architectuur wijzigingen vraagt. Want veel databases in back-office maken nog gebruik van een authenticatie op basis van een protocol uit de vorige eeuw, zoals NTLM.

Het gaat misschien wat ver om Jasbug een ‘millennium bug’ te noemen maar de gedachte komt wel bij me op omdat het niet alleen een patch is op Active Directory, maar dus ook een aanpassing op de protocollen. Een ‘educated guess’ is dat organisaties een flinke uitdaging hebben om alle spaghetti code die in Group Policy Objecten en scripts zit na te lopen. Veel oplossingen maken voor authenticatie en autorisatie namelijk gebruik van pre-Internet technologie en dus is dit werk dat niet meer uitgesteld kan worden om het ‘interconnected risk’ te mitigeren. De definitie voor de term 'IT Debt' is: De kwantificeerbare meting om onvolledige of uit te voeren it-projecten inzichtelijk te maken.

Vorig jaar nam één op de drie gemeenten geen stappen om Windows XP uit te faseren, terwijl van organisaties werd verwacht dat zij systemen waarop zich persoonsgevoelige informatie bevind up-to-date en beveiligd houden. Hetzelfde geldt voor bescherming van intellectueel eigendom of anderszins waardevolle informatie. Maar hoe compenseren we nu het verhoogde risico dat ontstaat als gevolg van een ‘Old Boys’ netwerk?

Trusthworthy Communication

Uiteraard kan er gekozen worden om weer door de pijn van patches en testen heen te gaan, maar met DigiNotar leerden we dat patches niet altijd aangebracht worden als hiermee functionaliteit verloren gaat. Nu Microsoft gestopt is met het Trusthworthy Computing initiatief wordt het hoog tijd om de aandacht te verleggen naar vertrouwde communicatie. Unisys Stealth in combinatie met een Triple A Framework lost bijvoorbeeld risico’s als gevolg van beperkingen met patchen op. De oplossing is gebaseerd op het Risk Accepted Access Control-principe met effectieve controles op (remote) network sessies. Dit door een secure parser tussen laag 2 en 3 van OSI model aan te brengen, wat de scheidslijn tussen fysieke link laag en logische verbinding is. De oude applicaties kunnen op deze manier dus ongewijzigd en veilig gebruikt blijven worden, waardoor de beheercapaciteit en responsetijden op gevonden zwakheden in het netwerk verlaagd worden.

In ‘Jip & Janneke’ taal betekent dit dat niet alleen de toegang aan de netwerkpoort verbeterd wordt door wederzijdse authenticatie, waardoor de met Stealth beveiligd endpoints onzichtbaar worden op het netwerk. En doordat ook de communicatie versleuteld wordt, verdwijnen ze dus in de digitale illegaliteit volgens Opstelten met zijn idee van ontsleutelplicht.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5239380). © Jaarbeurs IT Media.

5,8


Lees meer over


 

Reacties

Geld investeren in dit soort noodoplossingen lijkt me geen goed beleid. Als je nog steeds een (MS)-systeem in de lucht houdt van 2003, dan heb je gefaald en als je leverancier van software de bottleneck is, heb je duidelijk een verkeerde gekozen.

Volgens mij zou dit een tijdstip moeten zijn waar het concept van de IT grondig bekeken wordt en te gaan zoeken naar een oplossing die meer betrouwbaar en toekomstzeker is.
Noodpleisters plakken rond een structureel probleem levert in de toekomst alleen maar grotere problemen.

In een nieuwe situatie kan Unisys Stealth natuurlijk ook ingezet worden, het is zeker een fatsoenlijk product.

Ik begrijp de redenatie en voorgestelde oplossingsrichting.
Maar toch - dit komt wel heel erg dicht in de buurt van een "wij-van-WC-eend" artikel.

@Ewout, ik snap dat je als Unisys-medewerker graag een Unisys Stealth-oplossing aandraagt en misschien is die ook wel goed, maar zijn er ook oplossingen die niet van jouw baas zijn? Ben het met Will Moonen eens met zijn "wij-van-WC-eend" opmerking.

@Ewout vermakelijk en interessant artikel !
@Wil Moonen, ik begrijp je opmerking maar het lijkt me logisch dat Ewout wat minder bekend is met soortgelijke producten van de concurrent.
Beside... met WC-eend krijg je wel degelijk een schone plee !

@Jan
Unisys Stealth is in te zetten voor oude en nieuwe oplossingen waardoor de investering beter rendeert door hergebruik. Gebruik ervan in de hier geschetste situatie koopt inderdaad vooral tijd omdat probleem niet alleen in W2003 zit zoals ik probeerde uit te leggen aangaande de protocollen.

Let even op definitie 'IT-debt' als we overwegen dat we stap-voor-stap naar IPv6 migreren omdat business de waarde ervan niet ziet, netwerk is voor meeste een abstractie wat er gewoon is. Hoe dit precies werkt vinden meesten niet interessant en over integriteit ervan maakt al helemaal niemand zich zorgen.

@Will
Dat je redenantie en oplossingsrichting begrijpt is al winst, het is misschien wat productgericht ingevuld maar de vraag die ik stel is hoe we het verhoogde risico als gevolg van aanwezigheid (en acceptatie?) van kwetsbaarheden in infrastructuur compenseren?

De hier gegeven oplossingrichting geeft een verbeterde toegangs- en beschikbaarheidsprocedures voor het netwerkverkeer, inclusief controle. Het is makkelijk om met 'WC-eend' argument te komen om nog eens 15 jaar niets te doen door een exclusief contract met Microsoft af te sluiten.

Neem me niet kwalijk dat ik Unisys Stealth als kapstok gebruik, toegang tot technische details van eigen producten is nu eenmaal makkelijker als we kijken naar fenomeen van 'responsible disclosure'. Als we het over eenden gaan hebben lijkt in dit geval term 'sitting duck' me toepasselijker.

Zoals ik al zei richting Jan is tijd dus geld, vertrouwen komt dan ook te voet en gaat ter paard. Doel van deze opinie is vooral gericht op bewustwording en daarom gebruik ik metaforen. Het is namelijk opmerkelijk dat we wel camera's ophangen boven autowegen maar de digitale snelweg vrijwel ongecontroleerd laten.

@Ewout:
In mijn beleving ligt de kern van het probleem op een heel ander vlak. Waarbij de inzet van Stealth-achtige producten niet meer is als een vorm van symptoom bestrijding.

In de meeste bedrijven wordt 80% van de opbrengst gegeneerd met 20% van de IT middelen. Je moet dan al van heel goede huize komen wil je die bedrijven zover krijgen dat ze die 20% vervangen – als is het maar gedeeltelijk. Ook al omdat bedrijfskritische systemen gekocht worden met een verwachte levenstermijn van 10-15 jaar.

Om dat vraagstuk op te lossen is het zaak de complexiteitsfactor drastisch terug te brengen zodat vervanging sterk vereenvoudigd wordt en dus nauwelijks meer een risico is. Die complexiteitsfactor speelt zowel op applicatie als op infrastructuur nivo.

De inzet van Stealth-achtige producten in het netwerk deel van die infrastructuur gaat niet helpen. Enerzijds omdat zoiets de complexiteit alleen maar doet toenemen; anderzijds omdat er een gevoel van schijnveiligheid ontstaat. Samen zorgen ze er voor dat er opnieuw 10-15 jaar niks gebeurd (i.e. alsnog een sitting-duck situatie?)… er is immers net stevig geïnvesteerd in een nieuw, bedrijfskritisch product...

:-)

@Will
Puntjes verbindend, plaatjes kleurend en het verhaaltje afmakend denk ik dus dat jij van 'WC-eend' bent als ik je eerdere schrijven er even bij pak over TCP/IP fingerprinting:

http://www.computable.nl/artikel/opinie/management/5152862/2379250/hoe-grip-te-houden-op-een-itlandschap.html

Informatieketens blijven kwetsbaar voor technieken als 'eavesdropping' middels bijvoorbeeld Deep Packet Inspection als je 15-jaar oude applicatiecode virtualiseert. Waar ik het dus over heb is kwetsbaarheid in koppelvlakken welke juist zo complex zijn geworden de door 'lasagna-architecturen' van laagjes.

Ik heb het over touwtje beveiligen dat tussen de blikjes zit, je 80/20 opmerking is aantoonbaar onjuist als ik overweeg dat 'disruptive innovation' van Internet om communicatie gaat. Als je dit onveilig doet door openlijk in de trein de gastactiek te gaan bespreken dan levert dat meer schade dan winst op.

Sorry Will maar je klinkt als de gemiddelde politicus waardoor er soms flink geïnvesteerd wordt in infrastructuur zonder onderhoudsafdeling te raadplegen zoals bleek bij FYRA project, belevingswereld van sommigen is gewoon wonderland.

Het meest bedrijfskritische product blijft vertrouwen, wie dat verliest kan nog zoveel complexiteit met elkaar vermenigvuldigen maar zal uiteindelijk telkens op nul uitkomen.

Beste Ewout,

Mijn reactie was niet meer dan een poging om een lans te breken voor de afbouw van iets wat jij omschrijft als “lasagna-architecturen”!

Het aangehaalde 80/20 voorbeeld was niet meer dan een stukje achtergrond informatie over de business drivers achter die lasagna-architecturen!

Dat bedrijven Stealth-achtige producten inzetten omdat ze een firewall per server en per applicatie niet vertrouwenwekkend genoeg vinden is ook prima!

Maar als je van mening bent dat de applicatie en het OS in de basis al niet veilig en vertrouwenwekkend is vanwege die lasagna-architecturen en het gebruik van out-dated technologie, dan is de inzet van Stealth-achtige producten toch niet te zien als een structurele oplossing? Want dat is in zekere zin wel wat je impliceert met je artikel!

Allez – tis te zeggen – in je artikel bezig je termen als “millenium bug”, “spaghetti code”, “verhoogd risico met Windows XP” en een “Old Boys” netwerk. Met die terminologie heb ik aangenomen dat je applicaties en infrastructuren die gebruik maken van Windows XP en Windows 2003 niet beschouwd als een veilige gebruikersomgeving.

Maar als ik dat niet-structurele karakter van je oplossingsrichting dan expliciet benoem in een reactie, dan ben ik ineens een (blonde?) “gemiddelde politicus” die niet weet waar die het over heeft? Tsss… meten met twee maten…

@Will
Gezien het veelvuldige gebruik van uitroeptekens bekruipt mij het gevoel dat de laatste reactie is geschreven door Reza;-)

Waar jij het over hebt is de economisch aangestuurde ICT, eerder effectief dan efficiënt als ik overweeg dat nog geen 1% van de organisaties levensduur van technische componenten koppelt aan de service. Een hiaat in het contractmanagement dat zorgt voor het ontstaan van legacy.

Als je werkelijk geïnteresseerd bent in de problematiek dan kan ik het uittekenen voor je op een 'whiteboard' omdat tussen applicatie en data link dus nog wat lagen zitten. En nu organisaties steeds vaker middels laagste laag gekoppeld worden denk ik inderdaad dat de firewall ontoereikend is.

Idee van structurele oplossing is jouw aanname, een fata morgana van ontzorgen als het om de beveiliging van informatie gaat heb ik namelijk nimmer geschetst. Enige dat ik gedaan heb is een metafoor trekken naar politici die denken dat meer opleiding gebrek aan werk kan compenseren als we het over cybersecurity gaan hebben.

@ICT-er
Zoals ik al uitlegde heb ik wat meer inzicht in eigen producten, er zullen vast nog meer wegen naar Rome leiden. Want uiteraard staat het iedereen vrij om in plaats van 'cuisine de l'assemblage' waar ik over schrijf te kiezen voor 'haute cuisine' maar tijd is geld in dit geval zoals naar mijn opinie ook twee andere artikelen concluderen die min of meer over hetzelfde onderwerp gaan:

1. Opinie van Jack Niessen die ook over protocollen gaat.
2. Rapport van KPMG dat over een effectief framework gaat.

@Ewout:
Uiteraard slaat dit aspect op de economische kant van IT. Immers, elk IT vraagstuk heeft minimaal 2 kanten: technologie en economie. De combinatie gaat door het leven als de “business case”… ;-)

Vrij vertaalt naar het eerder aangehaalde OSI model hebben we het hier over laag 8 (geloof), 9 (politiek) en 10 (geld). Ik realiseer me wel degelijk dat daarbinnen lang niet altijd de meest handige keuzes gemaakt worden doordat politiek en zeker geld vaak een groter gewicht in de schaal leggen dan de overige 8 lagen.

Maar hoe dan ook, ik heb er wel mee te dealen. Al was het maar omdat ik lang niet altijd in een positie zit dat ik die besluitvorming kan beïnvloeden… laat staan dat het balletje uiteindelijk de goede(?) kant op rolt… :-)

Verder heb ik inderdaad serieus interesse in de (technische?) details achter de geschetste problematiek en oplossingsrichting. Dus ja, ik zou graag gebruik maken van je aanbod om een uurtje te whiteboarden. Heb je volgende week woensdag (18-3) of vrijdag (20-3) nog ergens ruimte?

Ik ben me er niet van bewust ergens de stelling te hebben neergelegd dat er geen aanvullende maatregelen nodig zijn. Sterker nog, zelfs als een gegeven applicatie- en infrastructuur landschap eenvoudig in elkaar steekt en volledig up-to-date is, dan blijven die maatregelen nodig. De eenvoud en het up-to-date zijn maakt dat het minder risicovol is om te moderniseren.

In het kader van modernisering zie ik een belangrijke rol weggelegd voor technologie bedrijven in de vorm van input voor opleidingsprogramma's. Niet zozeer als een vervanging van werk maar meer als een vorm van bewustwording en (on)mogelijkheden – zeker in de wereld van cybersecurity.

:-)

@Will
De business-case gaat bijna nooit over cybersecurity. Zal kijken wat ik op korte termijn kan doen, zit momenteel in het buitenland maar denk dat woensdag of anders vrijdag wel gaat lukken. Mogelijk dat er nog meer nieuwsgierigen zijn?

Als een bonnetje een bonnetje een bonnetje
Een bonnetje dat niemand vind.
Met een recuutje onder een parapluutje
Zo'n hele dikke vette bon bon bon

Als een bonnetje een bonnetje een bonnetje
En Ivo weet waar ie aan begint
Een heel mooi reisje, naar de zon
Zonder die hele dikke vette veel grote dure
Bon, Bon, Bon

Met dank aan Toon voor de melodie.

@Pascal
Titel was een fonetische woordgrap die door politieke realiteit misschien nog een beetje grappiger wordt, de communicatie van Opstelten was namelijk altijd al cryptisch;-)

@Ewout in één woord een geweldig stuk opinie!
Technisch inhoudelijk en vermakelijk vooral door de woordspelingen...

Ook dank aan de respondenten... :)

"secure parser tussen laag 2 en 3 van OSI model"... hmm hoe performt dat in de hedendaagse throughput eisen waar 10Gbit commodity begint te worden... als het functioneert tussen laag 2 en 3 dan trek je veel verkeer naar je routinglaag lijkt me en dat is lang niet altijd wenselijk. Ik kan me ook nog wel andere nadelen voorstellen zoals mixed omgevingen waar je wil monitoren op basis van management protocollen enz.

Maar Ewout, ondanks het verwijt van sommigen dat het een WC eend artikel is ben ik best geïnteresseerd naar een link van de volledige productbeschrijving.

@Victoire22
Vanochtend uitleg en demonstratie van Stealth aan Will gegeven en daarin kwamen ook verschillende use cases in naar voren. Dat er een penalty is zal duidelijk zijn als je gebruik maakt van bit-splitting en encryptie maar belastingen zijn uiteindelik vooral afhankelijk van de wijze van inzet.

http://www.unisys.nl/offerings/security-solutions/unisys-stealth

Vraag aangaande mixed omgevingen kwam te sprake en ook hier moet ik dus antwoorden dat dit afhankelijk is van wat je wilt bereiken want het is niet handig is om investeringen in beveiliging te verzwakken. Beste om dit dus via een 'whiteboard' sessie uit te leggen;-)

@Will,
Als founder en architect van het gepatenteerde Triple A concept is er een ding wat niet het geval is en dat is symptoombestrijding. De fundering van Accepted Access controlled Audit is namelijk dat de beperkingen van "ouderwetse" technieken zoals vpn`s en andere vorm van tunnelling wel degelijk inzichtbaar worden gemaakt. Tevens is het delen van wachtwoorden niet meer nodig en hebben we de zones gereengineerd.
Dat iemand security en goed product in het voetlicht stelt omdat er business value uit ontstaat ( transparent toegang voor de business users , en de it afdeling in control ) kan iemand geen wc eend noemen.
Het zou iets anders zijn als dit gestoeld was op product bashing en zou graag het alternatief oproepen wat bovenstaande beperkingen ( geen SSO, tunnels en end point protectie wat grilling is en zo secure als de next zero day). Als ik nu vraag hoeveel remote access connecties heb je , wie heeft er remote access, welk device gebruiken ze, waarvandaan, op welke assets zitten ze, met welke permissies en belangrijker welke permisies hebben ze , is het non generiek account of generiek account en welke containment middelen zijn er toegepast ?
En dan de hamvraag wat is precies veranderd dan denk ik dat je met veel moeite de eerste 10 kan beantwoorden .
Buiten kostbaar ( expertise en tijd) dat je even bezig bent om uit alle devices een correlatie te maken over diverse disciplines heen . Ewout zit dan allang aan cocktail heeft deze informatie direct beschikbaar...
Dus itt tot wat je beweert, misschien eerst de feiten bekijken en dan repliek geven.
Bonus wij kunnen ook aantonen WAT er veranderd is , unique feature van ons framework..

Groet
Peter Rus

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×