Overslaan en naar de inhoud gaan
Achtergrond PRO
7 juni 2007 leestijd 5 minuten 0 reacties

Het échte beveiligingsprobleem is de complexiteit

Marcus Murray, die naar eigen zeggen al door beveiligingskwesties is gefascineerd sinds hij 26 jaar geleden zijn eerste Synclair ZX-81 kocht, zou gemakkelijk vele pagina’s kunnen volpraten als hem wordt gevraagd naar de zwakke punten in de beveiliging van het gemiddelde bedrijf. “Maar daar gaat het eigenlijk niet om. Je moet vooral in overweging nemen dat de meeste IT-omgevingen niet in een korte tijd zijn opgebouwd. En dat heeft enorm veel complexiteit opgeleverd.
Freek Blankena
Freek BlankenaMeer van deze auteur
Tech & Toekomst
Shutterstock
Shutterstock

En als je een complexe omgeving hebt die door de wildgroei moeilijk te beheren en te begrijpen is, is het ook erg moeilijk om alle mogelijke zwaktes in die omgeving te doorzien. Een hacker hoeft op zijn beurt maar één zo’n zwakte te doorzien om te kunnen inbreken. Dus ik denk dat de complexiteit het feitelijke probleem is.”
“En als je er dan toch één probleem uit wilt lichten, is het dat mensen tegenwoordig veel op het internet zitten. Ze surfen op hun laptop op een manier die vaak niet in het belang van de bedrijfsbeveiliging is. Het infecteren van de computers van browsende medewerkers is een fantastische ingang voor hackers. En laptops zijn daarvoor extra gevoelig, want die zijn niet te controleren als ze buiten het bedrijf worden gebruikt.”

Als complexiteit zo’n probleem is, kunnen bedrijven dan nog zelf wat oplossen of komen ze er alleen nog met professionele hulp uit?
“Ze hebben doorgaans professionele hulp nodig, maar ze moeten er zelf ook induiken. Je kunt niet alleen maar dat soort deskundigheid extern inkopen, je moet die ook intern opbouwen. Je moet vooral begrijpen hoe een goed beheerde en beveiligde IT-omgeving eruit zou moeten zien, zodat je het verschil met je huidige omgeving kunt identificeren. En dan moet je dat in projecten opdelen. Het is daarbij als met de verbouwing van je huis. Soms is het makkelijker om gewoon maar een nieuw huis naast het oude te bouwen. De oplossing zit doorgaans niet in een nieuwe firewall of nieuwe antivirussoftware of een IDF-oplossing. Je moet je werkwijze en je beheerpraktijk meestal grondig aanpakken.”

Pakken bedrijven dat nu vaak verkeerd aan?
“Ik zou zeggen dat 90 procent het verkeerd doet. Ze staan de IT-omgeving namelijk toe te functioneren zoals die dat altijd heeft gedaan, zelfs nu de bedreigingen zijn veranderd en verergerd. Men komt niet in de gelegenheid te leren hoe het eigenlijk zou moeten. En dat valt ook niet mee want als je de dagelijkse gang van zaken moet runnen, is het ook een grote uitdaging.”

We horen regelmatig over nieuwe zwaktes in met name Microsoft-software. Is dat volgens u een echt Microsoft-probleem?
“Ik gebruik ook Linux en andere systemen. Ik denk dat hetzelfde fundamentele probleem steeds opduikt in software. Software wordt gemaakt door mensen en ten uitvoer gebracht in computers. Programmeurs maken doorgaans een fout in elke honderd regels code, in wat voor code dan ook. Die fouten zijn meestal security-gerelateerd. Windows Server bijvoorbeeld is zeer complex en bestaat uit zo’n 30 miljoen regels code. Dat levert dus een hoop fouten op. Maar als je Microsoft met de concurrentie zou willen vergelijken, denk ik dat Microsoft beveiliging serieus neemt en dat dat makkelijker gaat als je daar mensen voor betaalt dan als het open-sourceprogrammeurs zijn. Problemen los je ook op door ze op te zoeken met bijvoorbeeld penetration testing. En omdat Microsoft 90 procent van de markt heeft, is iedereen erop gericht dat platform te hacken. En daarom worden er ook de meeste fouten in gevonden. Alle laaghangende fruit is dus wel gevonden. Als er, zoals onlangs, gericht naar fouten in Firefox of in MacOS X wordt gezocht, worden er wel 30 in een maand gevonden.”

Is er een verschuiving in het soort gevaren waar bedrijven mee te maken hebben?
“Een paar jaar geleden was vooral de software op servers het doelwit. Nu richten de hackers zich op de client-applicaties, zoals webbrowsers of WinZip of Acrobat Reader. Dat is omdat die clients veelal met het internet interacteren. Maar op die clients wordt geen log bijgehouden zoals op servers, dus het blijft veel meer onder de radar.”

Veel gevaren zouden van bínnen het bedrijf komen. Heb je daarvoor een ander soort beveiliging nodig?
“Dat heb je zeker. ‘Binnen het bedrijf’ is overigens een verwarrende uitdrukking. Het gaat ogenschijnlijk vaak over de typische wrokkige medewerker die van alles uithaalt op het bedrijfsnetwerk, maar het is bijna net zo makkelijk voor mensen van buiten om een trojan op een interne computer te krijgen en het vervolgens te laten lijken alsof de aanval van binnenuit komt. Je moet client-netwerken soms net zo behandelen als het internet en dus moet je ze segmenteren en bijvoorbeeld belangrijke servers achter interne firewalls zetten die hun eigen interne toegangsmethoden hebben. Wellicht heb je lokale firewalls nodig op clients. Je moet dat hele model in ieder geval opnieuw definiëren. Bedrijven raken daar langzamerhand wel van op de hoogte maar het management is meestal niet scheutig met geld voor dergelijke investeringen. Een veilige en goed te beheren infrastructuur vergt nu eenmaal een aanzienlijke initiële investering. Maar daarna wordt het echt goedkoper om die omgeving door de tijd heen te managen en veilig te houden.”

Maar zijn de beheerders al niet te druk met het toepassen van patches?
“Ja, en veel van dat werk doen ze handmatig. Met een goede infrastructuur kunnen ze dat eerder automatiseren.”

Zijn Longhorn (Windows Server 2008) en Vista veiliger?
“Vergeleken met hun voorgangers wel. Maar toen Microsoft met Windows Server 2003 begon, was het 2001. Toen ze met XP begonnen, was het 1999. Ze kunnen zich nooit meten met de problemen van vandaag. De bedreigingen veranderen snel. En nu hebben ze veel beveiligingsfeatures toegevoegd, maar die moet je wel goed gebruiken.”

En bedrijven hebben nog steeds mensen als u nodig om ze dat te vertellen?
“Ik denk dat de beveiligingsbranche een goede toekomst heeft. Het interessante is: wij hebben zelf geen salesmensen in dienst. Klanten bellen ons gewoon altijd vanzelf omdat ze tegen problemen aanlopen. Dat zegt wel wat over de IT-beveiligingsbranche.”

Beveiliging is een specialistisch vak geworden. Maar is die kennis niet erg vergankelijk?
“Zeker, het is erg volatiel. Je kunt niet een halfjaar iets anders doen en dan je werk zo weer hervatten. Dan moet je eerst flink wat achterstallig leeswerk verrichten, haha.”

Is er veel beveiligingskennis die u liever voor zichzelf zou houden?
“Ik geloof in het zoveel mogelijk delen van beveiligingskennis. We hebben wel tools gebouwd die we niet weggeven en die we gebruiken voor hele gevaarlijke dingen. Er bestaan bijvoorbeeld tools die wachtwoord-hash-codes met brute kracht proberen te kraken. Maar wij hebben een tool die direct kan inloggen met het gebruik van de hash-code zelf. En die geven we niet weg. Maar we laten het wel zien, want we willen mensen laten begrijpen dat er dergelijke tools door hackers ontwikkeld kunnen worden. Het gaat om het tonen van verantwoordelijkheid.”

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in