Dit verhaal gaat niet over het beveiligingsbeleid. Laten we er vanuit gaan dat zo’n beleid er is en dat dit nu uitgevoerd moet worden. Om veilige toegang te verlenen tot het bedrijfsnetwerk, zal het beleid moeten aangeven wie, waar, op welke manier en met welk device precies toegang tot welke bedrijfsinformatie mag krijgen. Toegangsverzoeken uit China worden dan bijvoorbeeld niet gehonoreerd, tenzij het gaat om werknemers die op dat moment voor zaken in dat land zijn. Maar dan nog kunnen barrières worden ingebouwd. Bijvoorbeeld dat alleen toegang wordt verleend als die medewerkers daarvoor een bedrijfstablet gebruiken (althans, als die onder controle van de it-afdeling staat!). Het is ook slim om te kijken via welke weg zo’n toegangsverzoek komt. Vanaf een publieke hotspot? Dan alleen toegang tot niet-essentiële bedrijfsinformatie of alleen tot enkele specifieke applicaties.
En ja, deze aanpak betekent dat werknemers weliswaar overal hun eigen device mogen en kunnen gebruiken, maar dat zij toch met toegangsbeperkingen te maken krijgen. Het regelen van de toegang tot de bedrijfsinformatie brengt heel wat finetuning met zich mee. Om dat goed te doen en de juiste balans te vinden tussen byod-vrijheid en een goede beveiliging is ook het bovengenoemde beveiligingsbeleid nodig.
Internet
De tweede uitdaging is het tegenhouden van alle bedreigingen die van internet af komen. Hoe dat moet voor de traditionele virussen weten we zo onderhand wel. Maar als het gaat om geavanceerde malware ligt dat anders. Standaard securityoplossingen zijn niet of nauwelijks meer in staat om alle mogelijke malwarevormen te herkennen en tegen te houden. Cybercriminelen maken gebruik van allerlei ontwijkingstechnieken om onder de radar van de security te blijven. Het wordt daarom steeds moeilijker om ‘aan de poort’ te bepalen of de content die het bedrijfsnetwerk binnenkomt, schadelijk is en of de content tegengehouden moet worden.
Het gevolg is dat er vroeg of laat onvermijdelijk iets doorheen glipt dat schadelijk is. Als het om een bekende ‘aanval’ gaat kunnen de Intrusion Prevention Systemen (IPS) vervolgens hun werk doen en kunnen direct maatregelen worden genomen. Daarnaast is malware scanning en detectie van cruciaal belang om je netwerk te beveiligen. Die systemen moeten dan wél gevoed worden met informatie. Een voorbeeld van zo’n informatiebron is Cisco, die een gigantische database heeft opgezet met securitydata die wereldwijd worden verzameld. Dergelijke informatie is noodzakelijk om een aanval zo snel mogelijk te kunnen tegenhouden. Een firewall moet (vrijwel) real-time worden bijgewerkt met updates over de nieuwste dreigingen.
Malware wordt steeds geavanceerder en weet zich steeds beter te ‘verstoppen’ in je netwerk. Vergeet niet dat zolang de malware niet actief wordt, een ‘security information and event managementsysteem’ (SIEM) machteloos staat. Zodra SIEM detecteert dat een bepaald bestand malware blijkt te bevatten, zal een melding gegeven worden over het geïnfecteerde bestand in je netwerk. De volgende stap is dan om na te gaan wie binnen de organisatie het bestand nog meer heeft ontvangen, waar staat het allemaal opgeslagen en hoe het zich heeft weten te verspreiden binnen het bedrijfsnetwerk.
Traject omvatten
Kortom, de twee grote security-uitdagingen van dit moment kunnen alleen goed worden aangepakt met een aanpak die het gehele traject omvat, van vooruitkijken en zichtbaar maken, tot het nagaan wat er in het verleden is gebeurd. En dan komt de volgende uitdaging in beeld: het zou eigenlijk ook mogelijk moeten zijn om op het device van de gebruiker te kijken. Het zal duidelijk zijn dat dit veel meer is dan een technische uitdaging…
Reacties
Beveiliging is vaak een ongewenste kostenpost, dat maakt dat het oplossen van kwetsbaarheden altijd een afweging blijft voor managers.