Om de beveiliging van een systeem te beoordelen, wordt vaak een penetratietest uitgevoerd. Hierbij wordt gekeken of je van buiten af kunt inbreken. De meeste aanvallen komen echter van binnen de organisatie. Besteed daarom aandacht aan een goede inrichting van de interne systemen, en aan het voorlichten van de werknemers, bepleit Jeroen van Raalte.
Laatst kwam er een technicus langs om mijn huis te onderzoeken. Ik woon in het zuiden van Amsterdam waar de boel dreigt te verzakken. Om te controleren of de gaten niet in de muren zouden vallen of dat er scheuren zitten op plekken die niet zo opvallen, leek me een deskundig advies geen slechte zaak.
Een paar weken later kreeg ik het eindrapport van het bedrijf dat het onderzoek had uitgevoerd. De technicus die was langs geweest, had de kozijnen bekeken, was op het dak geklommen om te kijken of de dakpannen nog op hun plek lagen en had met een bot voorwerp op de muren geslagen. Het huis was blijven staan, dus alles was prima in orde!
Vreemde gang van zaken? Toch wordt er op het gebied van internetbeveiliging vaak op dezelfde manier gewerkt. Er wordt een penetratietest uitgevoerd, waarbij wordt gekeken of de meest voorkomende gaten gedicht zijn. Met de nodige tools wordt tegen de buitenkant van het netwerk en de systemen van de klant getikt om te proberen als een cracker of script-kiddie in te breken.
Alhoewel penetratietesten zeker hun nut kunnen hebben, is de reikwijdte met betrekking tot de veiligheid van het netwerk en de daarbij behorende systemen beperkt. Deze beperking is alleen op te heffen door ook de binnenkant te bekijken.
Voorlichten werknemers
De meeste aanvallen komen nog steeds van binnen de organisatie en daar helpt een firewall geen bit tegen. Wat wel helpt is een combinatie van beveiligen en goed inrichten van de interne systemen, en voorlichting van de werknemers.
Een goede veiligheid begint natuurlijk met het juist inrichten van de machines die aan het netwerk hangen. Met een aantal simpele principes is de beveiliging van de afzonderlijke machines al sterk te verbeteren: gebruik niet meer dan nodig is, ruim op, houd bij wat je hebt en welke kwetsbare items openbaar worden.
Goed voorlichten van werknemers is minstens zo belangrijk. Als mensen niet klakkeloos elk mailtje openklikken, is er veel winst te boeken. Ook moeten werknemers weten dat aan bepaalde acties die het bedrijf kunnen beschadigen, bepaalde consequenties hangen.
Daarnaast kan een controle van buitenaf niet meten of de procedures intern werken, en hoe de informatie behandeld wordt. Licht de personeelsafdeling de it-afdeling wel in over een recent ontslag, zodat de login van die persoon weggegooid kan worden? Wordt er geen bedrijfskritische (financiële) data op tape gezet en naar de accountant gezonden? Is deze data wel beveiligd door middel van versleuteling?
Een goed voorbeeld hiervan troffen wij aan bij een bedrijf dat gegevens beschikbaar wilde stellen over het internet. Er werd ons gevraagd of we de server met de data konden beveiligen. In het eerste gesprek met deze klant kwam naar voren dat dezelfde data ook op cd’s werd gezet. Er was niet over nagedacht wie bij dit proces de vertrouwelijke informatie kon en mocht inzien,
Een penetratietest is gelimiteerd in tijd. Het vertelt of er in een beperkte tijdsspanne op een bepaald moment vanaf een bepaalde plek geen kwestbaarheden zijn gevonden. Niet of een organisatie is voorbereid op toekomstige ontwikkelingen op het gebied van veiligheid.
Een voorbeeld. Met een firewall is het makkelijk de indruk te wekken dat het netwerk dicht zit vanaf een bepaalde locatie. Blokkeer gewoon al het verkeer dat van dat bepaalde ip-adres komt. Zonder de regels die het verkeer door de firewall beperken in te zien, zal nooit een goede inschatting gemaakt kunnen worden of deze firewall echt dicht is.
Ook is het zo dat een penetratietest niet meer dan gedurende een aantal dagen wordt uitgevoerd. De dag nadat de test is afgelopen, kan er een kwetsbaarheid gevonden worden die tijdens de penetratie nog niet bekend was.
Binnen kijken
Het ‘binnen kijken’ heeft een aantal grote voordelen, die met een penetratietest ‘an sich’ niet behaald kunnen worden. Het grootste voordeel is het inzicht of een organisatie meerdere beveiligingslagen toegepast. Hiermee is schade, die kan ontstaan als laag 1 het begeeft, te beperken of te voorkomen. Stel dat het inloggen op de firewall beperkt is tot de ip-adressen van de systeembeheerders. Dan is het niet direct een ramp als het inlogprogramma een fout bevat, waardoor bijvoorbeeld onbevoegden toegang kunnen verkrijgen.
Daarnaast kan natuurlijk bekeken worden wat de zwakste schakels zijn, of er gebruik wordt gemaakt van logische vernauwingen (plaatsen waar mensen ‘doorheen’ moeten, zoals firewalls of login-schermen) en of er nagedacht is over bepaalde procedures. Onder dat laatste valt bijvoorbeeld het al eerder genoemde verwijderen van een login als iemand uit dienst is, maar ook de aanwezigheid van een herstelplan.
Penetratietesten kunnen nuttig zijn als afsluiting van een totale audit. Als alles van binnen en buiten bekeken is, kan een penetratietest de aangetroffen of verbeterde situatie bevestigen.
Samenvattend: zonder de binnenkant te zien krijg je nooit het hele plaatje. Je kunt je niet instellen en voorbereiden op wat je niet te weet. Zonder de mogelijkheid om van binnen mee te kijken, zal je beveiliging nooit te vertrouwen zijn.
De bouwtechnisch inspecteur zal ook de bouwtekeningen willen zien en de binnenkant van een huis willen bekijken. Hij moet weten hoe de binnenmuren gestut zijn, voordat hij iets kan zeggen over de totale conditie en daarmee de veiligheid van het huis.
Jeroen Van Raalte Sentia Internet Security