Jericho-stijl: beveiligen zonder muren

Niet bepaald het soort businesscase dat je aan de aandeelhouders zou willen voorleggen.
We kunnen maar beter door het rouwproces heen: IT-security werkt niet goed genoeg. In een genetwerkte wereld waarin steeds meer systemen met elkaar verbonden worden, wordt het een bijna ondoenlijke taak om al het in- en uitgaande dataverkeer te overzien, laat staan effectief te beveiligen. De muren zijn eenvoudigweg niet dik genoeg of vertonen te veel poreuze zwakheden. En ook al zouden we alle netwerkpoorten dicht gooien of desnoods de kabels eruit trekken, dan zijn er altijd nog de steeds groter wordende verzameling van mobiele laptops, verwisselbare harde schijven en het excuusmedium van deze tijd – de USB-stick – waarlangs data kunnen lekken.
Toch zijn we er anno 2007 meer dan ooit op gespitst om veilig te zijn achter onze virtuele muren. Virussen, hackers en anders wel de landelijke pers staan te trappelen om eens flink huis te houden in onze systemen. En de druk van de wet- en regelgever neemt per maand toe: verordeningen zoals de ondertussen platgeciteerde Sarbanes Oxley Act vereisen dat IT-afdelingen zonder twijfel en aantoonbaar hun informatiehuishouding in de greep hebben, inclusief de beveiliging van cruciale gegevens. Dat leidt niet zelden tot een golf van strikte beveiligingsmaatregelen, zowel rond de organisatie als rond de infrastructuur en toepassingen, die erop gericht zijn om alle eventualiteiten uit te sluiten.
Tegen beter weten in, want het internet hangt nou juist aan elkaar van de toevalligheden, omweggetjes en achterdeuren. Firewalls zijn bovendien ondingen: ze leiden niet zelden tot prestatieproblemen en het aanpassen van één regel in het netwerk kan elders onverwachte beveiligingsgaten laten ontstaan. Zelfs bij de meest professionele IT-organisaties kan een routinecontrole van de firewall gemakkelijk meerdere open poorten opleveren.
Maar het grootste probleem zit achter de firewall: de mensen in de organisatie kunnen nooit helemaal worden vertrouwd. Wie gevoelige informatie van een bedrijf wil stelen doet er niet goed aan om lekken in de firewall te zoeken: je kunt beter een baantje in de postkamer nemen.

Schijnzekerheid
We moeten ons zelf daarom afvragen of we het wel willen, al die schijnzekerheid achter een haag van dichtgekwakte netwerkpoorten en procedures. Met de vergaande standaardisatie van het internet, de opkomst van webservices en het steeds populairder worden van ad hoc samengestelde mash-uptoepassingen, lonkt een wereld vol ‘collaborative’ businessmodellen. Daarin is het zaak fijnmazige informatie als het moet op de seconde nauwkeurig door een keten van samenwerkende bedrijfsvoeringen te pompen. Reactiesnelheid, openheid en transparantie zijn daarbij de toverwoorden. En die verhouden zich slecht tot de obstakels die worden opgericht door een te strak aangesnoerde beveiliging. Je zit dan weliswaar in zekere mate veilig achter de firewall, maar alle finesses van modern zakendoen via het netwerk gaan aan je voorbij.
Het lijkt daarmee op een klassieke paradox, openheid en transparantie aan de ene kant en afdoende beveiliging aan de andere kant. Toch zijn er groeperingen die geloven dat het kan. Met helemaal voorop het ‘Jericho Forum’, een werkgroep binnen het standaardisatieconsortium The Open Group die zich bezighoudt met het thema van beveiliging zonder muren. Een van de eerste wapenfeiten die het Jericho Forum op zijn naam zette was het introduceren van de term ‘de-perimeterisation’: een woord waarmee je het ook deze zomer op tuinfeesten met IT’ers nog aardig kunt uithouden.
De-perimeterisation beschrijft wat je kunt doen om de informatie van de organisatie te beveiligen terwijl tegelijkertijd de buitenste omheining (de ‘perimeter’) wordt weggehaald. Het doet het zeer grondige werk van het forum tekort, maar als we de managementsamenvatting van ‘Jericho Style Security for Dummies’ zouden moeten schrijven, dan zouden we het hebben over een mix van integrale encryptie, protocollen en hardwareverbindingen die impliciet veilig zijn, federatief identiteitsmanagement, digital rights management en – vooral – sterke authenticatie op het niveau van individuele gegevenselementen.
Laat iedereen maar overal proberen aan te komen, dat is eigenlijk het motto. Als je tot in de BIOS van de pc ingebakken voorzieningen hebt om de identiteit van iemand vast te stellen (zoals in Intels nieuw vPro chipset, maar ook via de SAML2 XML-notatiewijze voor federatief identiteitsmanagement), dan hoef je pas op het allerlaatste moment te beslissen of iemand ook werkelijk toegang heeft tot de informatie die wordt gevraagd. Als ‘digital rights management’-technologie en encryptie (zoals van SealedMedia) consequent zijn doorgevoerd, zou zelfs de schoonmaakster kopietjes kunnen trekken van geheime informatie op het AIVD-kantoor: de naar buiten gesmokkelde USB-stick zou voor niet-geautoriseerden volmaakt onbruikbaar zijn.

Onkraakbaar
Ook legt de Jericho-stijl van security graag de nadruk op ‘intrusion detection’: in plaats van bij voorbaat kansloos te zijn in het proberen uit te sluiten van elke denkbare verstoring, kun je beter vertrouwen op fijnmazige instrumenten om inbraakpogingen of andere afwijkende activiteiten zo snel mogelijk op te merken. Vervolgens moet er uiteraard snel en effectief kunnen worden gehandeld om de verstoring te neutraliseren. Aan ‘Snort’, een bekend open-sourceproduct voor intrusion detection, werken vele ontwikkelaars over de hele wereld om het steeds effectiever te maken in het identificeren van ongewenste handelingen. En in Nederland onwikkelde Stork Information Sciences de ‘Beeble’-technologie waarmee alle in- en uitgaande datastromen van een organisatie realtime kunnen worden gevolgd, geanalyseerd en getoetst aan de overeengekomen regels, bijvoorbeeld zoals die zijn opgelegd door de wet- en regelgever.
Goedbeschouwd scheelt zo’n ‘pas-schieten-als-je-het-wit-van-hun-ogen-ziet’-strategie heel wat werk en geld. Je vertrouwt uitsluitend op de allerlaatste verdedigingsring. Je geeft dan geen tonnen meer uit aan gepantserde beveiligingsauto’s, maar zet in plaats daarvan een klein deel van het bedrag in op een onkraakbare geldtrommel.
Uiteindelijk begint de Jericho-stijl van security met vertrouwen. Als je weet welke spelers in een netwerk vertrouwd kunnen worden, kun je daarna de voorzieningen treffen om ondubbelzinnig vast te stellen of een speler daadwerkelijk degene is die hij beweert te zijn. Daarna is het eigenlijk alleen nog een kwestie van ervoor zorgen dat een speler uitsluitend toegang krijgt tot de data die werkelijk nodig zijn. De rest doet in feite niet ter zake, wat het wereldbeeld voor de geplaagde beveiligingsexpert een stuk kan vereenvoudigen.
Niet dat de gemiddelde beveiligingsexpert – vanuit een genetische achtergrond doorgaans net iets serieuzer en zorgvuldiger dan gemiddeld – blindelings de anarchistisch ogende principes van de Jericho-stijl van beveiligen zal omarmen. Het is van belang dat de juiste standaards daadwerkelijk worden afgesproken en dat de technologieproducenten ze tastbaar in hun nieuwe producten verwerken. Dan is het een kwestie van stapsgewijs de omheiningen afbreken en ze dichter naar het centrum weer optrekken. Wie zo een aantal malen ‘re-perimeterisation’ heeft uitgevoerd, komt vroeg of laat in de buurt van de individuele gegevenselementen. Als die zichzelf eenmaal kunnen beveiligen, is een netwerk zonder muren realiteit geworden. En dat heeft weer een bijna mythische allure. Kunnen ze in Jericho van meepraten.

Ron Tolido is Chief Technology Officer van Capgemini voor Continental Europe en Asia Pacific. Voorts is hij governing director van de Open Group. Voor informatie zie: www.jerichoforum.org en www.opengroup.org.