Security wordt steeds complexer

Een firewall en antivirussoftware volstaan al lang niet meer. Maar wat is dan wel genoeg? Die vraag is ook niet eenvoudig meer te beantwoorden, temeer daar verschillende technologieën elkaar stilaan beginnen te overlappen en in elkaar opgaan. We noemen er een paar.

• FIREWALL EN INTRUSION DETECTION
Leveranciers van firewalls als Check Point Software en Juniper stellen dat hun producten slim genoeg zijn om bijvoorbeeld Denial of Service-aanvallen te stoppen. Maar vergeleken met een heus intrusion detection- systeem zijn firewalls domme dingen. Die zijn ervoor gemaakt om ongewenst netwerkverkeer tegen te houden, maar daar zit ook de zwakheid. Er is uiteraard ook gewenst verkeer en een firewall kan slecht onderscheid maken tussen goed en slecht. Dan is een intrusion detection (ids) of prevention- systeem (ips) nodig.

• DETECTIE OF PREVENTIE?
Omdat ze aanvallen kunnen voorkomen zijn intrusion prevention-systemen populairder geworden dan intrusion detection-systemen. Maar beide soorten systemen zitten er nogal eens naast. Een detectiesysteem schrijft dan een regel in een logboek, maar een preventiesysteem gooit de deur dicht, ook al is dat niet gewenst.

Softwaremakers werken eraan om deze problemen op te lossen, maar zelfs incidenteel blokkeren van belangrijk netwerkverkeer is uiteraard niet acceptabel. Een aanvalletje van een hacker ergens in Roemenië is dan mogelijk minder kostbaar. Wat dan? Het meest ideaal is een pakket dat beide technologieën toepast. De meeste bedreigingen zijn eenvoudig te herkennen en kunnen worden geblokkeerd. Als dat niet zo is, blijft menselijke tussenkomst nodig.

• ANTIVIRUS
Antivirussoftware is verre van onfeilbaar. Meestal benut deze een database van bekende virussen, maar na een kleine modificatie worden die niet meer herkend. En virussen kunnen stukken sneller zijn dan de softwaremakers kunnen bijhouden. De SQL Slammer worm infecteerde bijvoorbeeld tienduizenden computers wereldwijd in minder dan tien minuten.

De software wordt dus tegenwoordig opgetuigd met tools die ‘virusachtige’ activiteiten herkennen. Een e-mailserver die bijvoorbeeld plots in snel tempo berichten begint te versturen, wordt een halt toegeroepen. Ook worden de databases steeds frequenter ververst. Een wekelijkse update is allang niet meer voldoende.

Veel antispamsoftware stopt tegenwoordig ook virussen in e-mail, bijvoorbeeld door onveilige attachments te blokkeren. Maar alle inspanningen ten spijt zal antivirussoftware nooit full proof zijn en een slecht gepatchte computer kan het hele netwerk van uw organisatie infecteren. Om dat te pareren bieden softwaremakers ook producten die zo’n computer onmiddellijk isoleren van de rest van het netwerk. De computer wordt als het ware in quarantaine geplaatst.

• NETWORK QUARANTINING
De nieuwste vorm van beveiliging heet ‘network quarantining’. Deze software beoordeelt de configuratie van iedere computer op een netwerk. Als blijkt dat niet alle gewenste patches of virusdefinities zijn geïnstalleerd, wordt het netwerkverkeer geblokkeerd. Tientallen softwaremakers hebben dit soort producten, waaronder Check Point, Cisco, McAfee, Microsoft, Trend Micro en Zone Labs.

ELLENDE
Ook al worden de pakketten steeds accurater en combineren ze verschillende technologieën, ook de software en gegevens die moeten worden beschermd worden steeds complexer. Zo lang de oorzaak van de ellende – slecht geschreven software – niet is aangepakt, zal het altijd een race blijven. Maar beveiliging is uiteraard niet slechts een kwestie van software kopen en installeren. Alle gebruikers van een netwerk moeten weten welke acties kwaadwillenden de kans geven om gaten te benutten. Dat vergt een strikt beleid en voldoende toezicht op de naleving ervan.

Helaas: de effectiviteit van calamiteitenplannen wordt zwaar overschat. Dat is tenminste een van de conclusies uit de jaarlijkse IDC Business Continuity Benchmark 2004. In dit jaarlijkse onderzoek onder bijna 300 grote bedrijven staat de vraag centraal hoe het met de bedrijfscontinuïteit van ondernemingen in Nederland gesteld is.

De meest voorkomende bedrijfsschade wordt veroorzaakt door systeemuitval, door welke oorzaak dan ook: 22 procent loopt al schade op bij systeemuitval van minder dan 1 uur. Gemiddeld denken de meeste bedrijven dat ze met hun huidige plan na een grote calamiteit binnen één dag weer volledig operationeel kunnen zijn. Tegelijkertijd geeft 38 procent van de respondenten aan dat de werknemers onvoldoende op de hoogte zijn van wat zij moeten doen volgens datzelfde plan.

De noodzaak om IT-systemen goed te beveiligen blijkt niet alleen uit de alsmaar toenemende virusactiviteiten. De moderne ITinfrastructuur kent steeds meer gevoelige plekken die afdoende beveiligd dienen te worden. Zo beschikt inmiddels ruim 40 procent van de grotere bedrijven in Nederland over een draadloos netwerk. Het is dus duidelijk dat een allesomvattende IT-beveiligingsstrategie steeds belangrijker wordt. Toch is die strategie veelal niet op orde. Eén op de vijf bedrijven reageert slechts op incidenten. Ook zorgt één op de drie bedrijven onvoldoende voor veilig thuiswerken.