DSM verscherpt beveiliging ICT

De schade hierdoor is niet in geld uit te drukken”, zegt Eric IJpelaar, manager Technical Infrastructure/Security Services bij DSM.
Samen met de afdeling Corporate ICT besloot het management van DSM dat PRINCE2 de basis zou vormen voor de nieuwe ICT-beveiliging. “Ze begrepen het belang daarvan. En dat betekende dat we een gestructureerde, integrale oplossing nodig hadden”, zegt IJpelaar. Daarin moesten in elk geval vier componenten worden opgenomen: het beheer van zwakke plekken en lekken in applicaties, het beheer van patches, antivirussoftware en controle op compliancy.
De IT-infrastructuur van DSM was natuurlijk al wel enigszins beveiligd. IJpelaar: “Er was een firewall. Maar was je die gepasseerd, dan lag eigenlijk alles open. Ook was er wel antivirussoftware voor de dektops maar die was heel moeilijk te beheren. Je kon niet centraal zien of alle antiviruspakketten op al die pc’s en servers ook werkelijk up-to-date waren. Je kon ook niet zien of de engine of de datafile aangekomen waren op de server of de desbetreffende pc’s.” Gecombineerd met de plannen van DSM om veel meer informatie via internet te laten verlopen, was de behoefte aan een uitgebreidere ICT-beveiliging zonneklaar.
De grootscheepse operatie rond de ICT-beveiliging stond niet op zich. Tegelijkertijd onderzochten Corporate ICT en IJpelaar hoe de ICT-infrastructuur er uit zou gaan zien in de toekomst. Eind 2006 stapte het bedrijf over van Windows NT naar Windows XP. Ook daarom koos DSM voor een geïntegreerde oplossing voor pc’s en andere randapparatuur.
DSM werkt nu met het Intrusion Prevention System (IPS) van McAfee. Dat scant het netwerk op mogelijke aanvallen en inbraken van zowel binnen- als buitenaf. Bij DSM staat het geïnstalleerd op de perimeter, dus tussen de firewall en het internet. Daarmee vormt het de eerste beschermingslaag.
De zogeheten Security Event Manager (SEM) van Network Intelligence, een add-on op het IPS van McAfee, zorgt voor een eerste schifting van de vele events die het IPS genereert. Dat doet SEM door middel van correlaties. Beheerders kunnen met deze informatie snel zien welke events nu werkelijk belangrijk zijn en welke niet. IJpelaar: “Hiermee kunnen we alle events inlezen. Daarmee hebben we een geïntegreerde oplossing voor het beheer van dedicated devices.”
Alle applicaties die nodig zijn voor de beveiliging van de IT worden vervolgens beheerd met de console ePolicy Orchestrator van McAfee. Daarmee kan onder meer beheerd worden op compliancy en updates kunnen er automatisch mee uitgerold worden. IJpelaar: “We streven ernaar zo min mogelijk software op een pc te laten draaien. Daardoor kunnen we dan zonodig – bij wijze van spreken – een pc op de hoek van de straat kopen en hebben we weinig omkijken naar de installatie daarvan.”
Malware wordt geweerd met de Total Protection Solution van McAfee. En met FoundStone worden de zwakke plekken en lekken gescand in alle software die DSM gebruikt.
De installatie en uitrol is meegevallen, vindt IJpelaar. Maar weinig werk was het bepaald niet. “Een groot voordeel was wel dat de bestaande infrastructuur volstond voor de installatie.” Allereerst moest het oude pakket van de systemen verwijderd worden. Dat werd gedaan toen toch een deel van de pc’s vervangen moest worden.
De scanning tools zijn in drie hosting centers van DSM geïnstalleerd. Ze bestaan uit een hardwarematige appliance met software. “De installatie was tamelijk eenvoudig: een kwestie van aanzetten. Er was zelfs geen aangepast wachtwoord of gebruikers-ID voor nodig. De tool leest het gewoon uit en dan is het verder een kwestie van goed opletten.”
Tevens heeft DSM 26 IPS’en neergezet. “Daar komt dedicated netwerkverkeer aan voorbij. Het heeft wel discussies opgeroepen over uitbesteding. Als je veel services hebt uitbesteed, is het de vraag of de serviceprovider nog wel de beschikbaarheid kan garanderen. Je moet die dan heel goed vertellen hoe de applicatie nu werkelijk werkt en dat vergt veel overtuigingskracht.
Aan het begin van het project kwamen de teams van DSM en McAfee elke week bij elkaar. IJpelaar: “We hebben trendanalyses gemaakt over virusuitbraken, internet, rapportages van uitrollen van versnelde patches op software van Microsoft enzovoort. Er is ook een threat management report. Dat is nu heel saai. Voordat we McAfee installeerden, hadden we veel patches tussendoor. Nu beschikken we over zero day virtual patching. Dat betekent dat patches niet meer versneld tussendoor geïnstalleerd hoeven te worden. Dat scheelt in de kosten. Als er een noodpatch moest worden uitgerold, betekende dat dat we alle zeilen bij moesten zetten, wat dus veel mankracht kostte. Nu gaat het allemaal in dezelfde geplande rondes mee.”
IJpelaar is al met al zeer tevreden. “We hebben betere functionaliteiten door de correlatie. Die zorgt er tevens voor dat we minder beheerinspanningen hoeven te doen en er zijn minder vals alarmen. Deze hele operatie had overigens niet als doel het beheer te verminderen; het ging er echt om de beveiliging te verbeteren. Je houdt toch beheerinspanningen, want je moet up-to-date blijven. En de softwareontwikkelingen gaan gewoon door.”
En is DSM nu veilig? IJpelaar: “Bij inbraken geldt dat je ervoor moet zorgen dat je beter bent beveiligd dan je buren. Maar als ze met een bulldozer komen, kun je beveiligen wat je wilt, maar dan komen ze toch binnen.”
/t.vrede@sdu.nl