Securitymanagement als apart beheerproces
De tijd dat een beveiligingsprobleem pas na een ''incident'' en het bijbehorende schrikeffect werd onderkend en het ontstane lek inderhaast met een ''oplossing'' werd gedicht, is voorbij. De dreigingen en daarmee de potentiële bedrijfsriciso''s, worden almaar groter. Vandaar dat Itil de integrale aanpak in de vorm van kwetsbaarheids en beveiligingsbeheer bepleit nadat het probleemgebied gedegen in kaart is gebracht. Aanbieders profiteren van een ''geweldige groeimarkt'' en haasten zich beveiligingsproducten en diensten op de markt te brengen voor geïntegreerd securitymanagement. Schijnveiligheid De groei van de securitymarkt speelt zich voor een belangrijk deel af in het Application Service Provider (ASP)model. Email is voor veel bedrijven een van de grootste zorgenkinderen. Alle berichten en bestandenverkeer naar de interne of externe mailserver kan door een provider worden gescand op virussen voordat het binnen de organisatie wordt gedistribueerd en geopend. Ook de bestanden die via informatiedragers zoals diskettes worden aangeleverd, kunnen vooraf op content worden gescand. Behalve berichtenscanning en spamfiltering kunnen netwerken door de provider op afstand worden gemonitord en bewaakt en proactief worden gesloten bij intrusions, dreigende Denial of Service (DoS)aanvallen of incidentele uitbarstingen van digitale geweldpleging. De producten en diensten die securityASP''s nu in hoog tempo ontwikkelen en in de vorm van package deals op de groeimarkt brengen, zijn volgens Aart Bitter, consultant van Inter Access, van goede kwaliteit maar laten de eindverantwoordelijkheid voor de security altijd bij het bedrijf in kwestie. Volgens Bitter kan een package deal in welke vorm dan ook alleen maar het resultaat zijn van een gedegen interne probleemanalyse en een klaar antwoord op de vraag: waar liggen de risico''s voor onze bedrijfsvoering en dus: wat willen we uitbesteden en wat moeten we zelf doen? Een grote en kostbare package deal kan al gauw een schijngevoel van veiligheid geven als één schakel in de lange beveiligingsketen te zwak is. Als voorbeeld noemt hij de firewall die voor de elektronische gegevensbescherming zorgt. Hoe goed en duur de firewall ook is, hij beveiligt bedrijfsgegevens niet als iemand gevoelige informatie laat afdrukken of naar zijn laptop brengt en de papieren of het notebook op de achterbank van zijn auto laat slingeren. Weinig beheer Een middelgroot internationaal bedrijf dat de beveiliging voor een belangrijk deel uitbesteedt, is Toerisme Recreatie Nederland (TRN) met de hoofdvestiging in Leidschendam. TRN heeft onlangs het nieuwe product voor geïntegreerd securitymanagement Symantec Gateway Security appliance gekocht. Deze appliance omvat vijf geïntegreerde functies: firewall, antivirus, intrusion detection, contentfiltering en virtual private networks (VPN). De oplossing wordt door Symantec''s enterprisesecuritypartner Motiv geïnstalleerd. Als firewall en VPN checkt de toepassing alle verkeer op virussen, content en intrusionaanvallen op de doos zelf en het achterliggende netwerk. Tot nu toe zijn alle Europese vestigingen van TRN gekoppeld via FrameRelay. De koppelingen naar internet bevinden zich op het hoofdkantoor. TRN is nu bezig deze infrastructuur te wijzigen om ook lokale internetkoppelingen mogelijk te maken. Daarmee ontstaat een nieuw beveiligingsrisico dat met Symantec''s product moet worden afgedekt en zonder al te veel kosten en inspanning centraal kan worden beheerd. "De lokale internetkoppelingen zijn nodig omdat er op de locaties steeds meer behoefte is om met een goede performance van de openbare infrastructuur gebruik te kunnen maken, onder andere voor het raadplegen van externe databases", aldus ICTmanager Fred Nijenhuis. Vijf jaar geleden werd besloten internetdiensten bedrijfsbreed in te zetten maar niet zonder de inrichting van een centrale firewall. "Er zijn in die periode drie agressieve aanvallen op het netwerk uitgevoerd en afgeslagen. Dankzij de firewall zijn we de grote aanvallen steeds één stap vóór geweest. Nu de infrastructuur verandert en gebruikers in de vestigingen intensief http gaan gebruiken, willen we toe naar een centraal beheerd beveiligingsmechanisme zoals in de oude situatie." De firewall is een product van Raptor. Voor een deel is nu de overstap gemaakt naar de appliances van Symantec. "Over de kwaliteit en de beheerbaarheid van de Raptorfirewall zijn we tevreden", aldus Nijenhuis, "maar er komen nieuwe dreigingen op ons af, vooral via http. We staan nu voor de situatie dat we nieuwe gaten moeten afdichten en het beheer op de oude voet willen voortzetten, dat wil zeggen: centraal in Leidschendam vanaf één console." Motiv neemt het beheer op afstand over bij ziekte of afwezigheid van de eigen beheerder van TRN. Securitycombi''s Symantec ontwikkelt zich door de recente overnames van bedrijven als Axent in december 2000 en kortelings Riptech (managed security services), Recourse Technologies (intrusion detection) en SecurityFocus (vulnerabilitymanagement) in snel tempo van aanbieder van virusscanners tot allround beveiligingsspecialist. Met de beveiligingstechnologieën die Symantec assimileert, kan het bedrijf in hoog tempo nieuwe ''appliances'' (combinaties van hardware en software) ontwikkelen en op de markt brengen. Volgens Patrick Dalvinck, regionaal directeur Benelux van Symantec, worden deze securitycombi''s ontwikkeld om naadloos inpasbaar te zijn in organisaties die beheer en security geïntegreerd en volgens de Itilrichtlijnen inrichten. "Het aanbieden van veel technologieën is niet genoeg", vindt Dalvinck. "De afnemers verwachten meer. Ze willen geïntegreerde oplossingen in plaats van losse producten. De Gateway Security Appliance is daar een goed voorbeeld van. De appliance is een kastje waarin een aantal toegesneden softwarecomponenten zijn geïntegeerd. Alle verkeer dat door de doos loopt, wordt gecheckt op virussen, op content en op onbevoegde toegang (intrusion). De doos wordt continu via LiveUpdate voorzien van de nieuwste virus en intrusion detection signatures." Harald Landmand, internet en networking engineer van TRN is het met Dalvinck eens dat aan de beheerbaarheid van de appliance veel aandacht is besteed: één kast, één console en één type van logging, alerting en reporting. Om de integrale beveiliging van oude bedrijfssituaties te bevorderen wil Symantec binnenkort ook een centraal beheerbaar securitymanagementsysteem op de markt brengen. Dit wordt een framework dat alle output van verspreid opgestelde, multivendorsecuritysystemen stroomlijnt en op één console overzichtelijk en beheerbaar maakt met de introductie van een geüniformeerd type logging en reporting. Virusrisico''s Wordt het virusgevaar niet schromelijk overdreven nu elk bedrijf van moderne en up to date gehouden virusscanners gebruikmaakt? Voor Michel van Osnabrugge, directeur van de zakelijke internetprovider Business Internet Trends (BIT), is dit een retorische vraag. "De grootste schade wordt tegenwoordig aangericht door de nieuwste virussen die net tussen de updates door glippen en die de scanner laat passeren of hooguit langs heuristische weg als ''verdacht'' aanmerkt", is zijn mening. Volgens Osnabrugge is een laconieke houding ten aanzien van virussen nog het grootste gevaar. Ze slaan namelijk zelden echt toe. Beheerders en securitymanagers beginnen daardoor de neiging te vertonen dit risico te bagatelliseren en het als een bijzaak te beschouwen. Met als gevolg dat nogal wat bedrijven niet vaak genoeg een update van de virusscanner installeren. Het scannen van email op virussen door internetproviders is een dienst die gretig aftrekt vindt, niet alleen bij bedrijven, maar in sterk toenemende mate ook bij particuliere internetgebruikers. De provider scant elk bericht met drie of meer bekende virusscanners die tenminste vier maal per dag of soms zelfs online en continu van de allernieuwste signatures worden voorzien. Volgens Van Osnabrugge geeft deze ASPdienst de afnemer een maximaal veiligheidsgevoel en worden beheerafdelingen van tijdrovend routinewerk ontlast. Contentfiltering In het verlengde van virusscanning ligt contentfiltering en het afvangen en wegzetten van spam. Van Osnabrugge durft in dit verband al een spampercentage van zestig of meer te noemen met een duidelijk stijgende tendens. Spam op zich is doorgaans niet gevaarlijk of bedreigend maar het kost de organisatie productietijd en bandbreedte. Een gratis dienst die BIT voor nieuwe klanten heeft ontwikkeld is de relayscan. Van Osnabrugge legt dit uit: "Veel bedrijven hebben een emailserver aan hun inbel of vaste verbinding. Een probleem daarbij kan zijn dat de server buiten medeweten van de beheerder staat te relayen. Wat er dan gebeurt, is dat de mail die van buitenaf komt, wordt doorgestuurd naar internet. Spammers zoeken daar naar en maken daar met graagte misbruik van. Bedrijven kunnen in de problemen komen als de doorgestuurde spam ongerechtigheden of virussen bevat omdat de laatste verstuurder van zo''n bericht juridisch aansprakelijk is." BIT ontwikkelt momenteel een kunstmatig intelligent filter voor spam die headers en content scant op woorden en kenmerken en daar een ''score'' aan toekent. In aanvulling op afgevangen mail door de provider kan de klant zelf aangeven hoe hoog of laag een bericht scoort. Daarnaast kan hij een blacklist en een whitelist aanleggen om te voorkomen dat serieuze mail ten onrechte als spam wordt aangezien, bijvoorbeeld als de lettercombinatie ''porn'' wordt aangetroffen in het subject: ''aankooP ORNamenten''. Het resultaat van de nieuwe dienst is meestal dat 98 procent van de ware spam wordt uitgefilterd en de geadresseerde niet meer bereikt. Ron Bruggeman van Korevaar Field Service is testgebruiker voor de intelligente spamscanner van BIT. De hoeveelheid spam nam bij Korevaar dusdanige vormen aan en kostte zó veel tijd dat de inhoud van mailboxen in opperste irritatie soms ongezien werd vernietigd. "Het voordeel van deze spamscan is dat vrijwel uitsluitend nog normale berichten in de mailboxen van de medewerkers terechtkomen", zegt hij. "Er worden ook geen berichten meer ongezien weggegooid. Alles wat aan de voorwaarde ''spam'' voldoet, wordt via WinRoute omgebogen naar een aparte mailbox. Om te voorkomen dat een serieus bericht als spam wordt genegeerd en vernietigd, schoont één beheermedewerker periodiek deze mailbox op en kan hij daar in op zoek gaan als een medewerker meldt dat een belangrijke email voor hem wel is verzonden maar niet is ontvangen."