 23-08-2011 | Bastiaan Bakker | |
Wie slim is begint bij het beschermen van de data zelf
Hackercollectieven zoals Anonymous hebben veel tijd en geld om aanvalstechnieken te ontwikkelen en toe te passen. Hackers breken in bij defensieleverancier Lockheed Martin en creditcardgegevens worden gestolen uit het Sony Playstation netwerk. Cyber Security is vandaag de dag een bedrijfsmaatschappelijk probleem geworden dat we niet meer naast ons neer kunnen leggen. Op 22 februari heeft Ivo Opstelten daarom namens de Rijksoverheid de nationale cyber security strategie gepresenteerd. De strategie omvat een aantal activiteiten zoals het inrichten van een Nationaal Cyber Security Centrum en vergroten van de weerbaarheid van onze vitale infrastructuur. Uiteindelijk gaat het om gevoelige data binnen de rijksoverheid en het bedrijfsleven te beschermen tegen misbruik. Denk aan datadiefstal.
Een veelvuldig voorkomende aanvalstechniek binnen cybercriminaliteit wordt binnen de security sector een advanced persistent threat (APT) genoemd. Advanced omdat de hackers zeer geavanceerde kennis hebben over kwetsbaarheden in software. Persistent omdat hackers veel tijd en een lange adem hebben om toe te slaan. Threat omdat er sprake is van een echte bedreiging die regelmatig leidt tot serieuze schade. Het is al lang niet meer ideologische hacker die slechts de tekortkomingen in de getroffen beveiligingsmaatregelen wil aantonen. Bij APT aanvalstechnieken wordt vaak eerst gezocht naar de zwakke schakel om binnen het vitale netwerk in te breken. Chantage, phishing en social engineering zijn voorbeelden van toegepast technieken om in te breken. En bij binnenkomst gaan de goedgeorganiseerde hackers stap-voor-stap verder. Net zo lang totdat zij gevoelige data kunnen stelen of totdat zij bijvoorbeeld SCADA* systemen kunnen herprogrammeren.
Nu bevindt zich de gevoelige data en gevoelige systemen vaak in het hart van het netwerk: de gigantische databases die de data opslaan en verwerken tot informatie. Met een APT aanval kan je stellen dat de hacker eerst via een zwak punt inbreekt en daarna zich als gebruiker voordoet om verder toe te slaan. Ik denk dat je kunt stellen dat er altijd zwakke punten zijn waardoor de hacker kan inbreken. Zeker als je moet vaststellen dat er partijen met zeer hoog beveiligingsbewustzijn schade hebben geleden dankzij hackers. Voorbeelden zijn de eerder genoemde Lockheed Martin en Sony. Het is naar mijn idee onmogelijk om hier 100% bescherming te realiseren. Focus in het kader van cyber security daarom niet alleen op inbraakwerende firewalls, intrusion prevention en malware filters. Maar kijk naast de beveiliging van de vitale netwerkinfrastructuur ook goed naar de beveiliging van de data zelf. Iets waar – in de ogen van Motiv – al jaren veel te weinig naar wordt gekeken.
Huur eens een ethical hacker in die van binnenuit kijkt of datadiefstal uit de omvangrijke databases mogelijk is. Op die manier krijg je een helder beeld van de beveiliging rondom de data zelf. En alleen op die manier heb je een volledige aanpak voor bescherming tegen cyber aanvallen. Bovendien toets je direct in hoeverre data diefstal of fraude met data mogelijk is door eigen medewerkers (of aanvallers die zich voordoen als deze medewerkers). Een oude wijsheid geldt immers al jaren: de meeste diefstal en fraude komt van binnenuit. Daarmee verdien je aanvullende databasesecuritymaatregelen in relatie tot cyber security dubbel en dwars terug.
*SCADA, afkorting van Supervisory Control And Data Acquisition, is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen. SCADA systemen zijn aanwezig in complexe regelsystemen binnen de energiesector en industrie, maar bijvoorbeeld ook voor het aansturen van de signaleringsborden boven autosnelwegen. |
 27-06-2011 | Gerwin Foppen | |
Hoge bomen vangen veel wind, roept men vaak. Het geven van je mening zorgt vaak voor een reactie, gevraagd of ongevraagd. Vooraanstaande criticasters zijn vaak de meeste besproken personen in de media. Een opiniërend artikel raakt soms individuen persoonlijk, maar kan ook schade berokkenen aan de eigen organisatie.
Het is niet vanzelfsprekend dat werknemers denken aan de mogelijke risico’s wanneer eigen publicaties geplaatst worden. Privépublicaties hoeven niet altijd direct te herleiden te zijn aan de onderneming waar de publicist werkzaam is. Echter door de enorme opkomst van social media als LinkedIn en Twitter in de afgelopen jaren, wordt dit steeds eenvoudiger.
Het is dus belangrijk werknemers bewust te laten worden van het effect dat hun blog of post kan hebben. Het gaat natuurlijk met bewustwording. Echter, het gaat niet alleen om bewust te zijn van wat men publiceert, bewustwording gaat verder. Hoe gaan medewerkers om met toegangscontrole? In de regel zijn mensen erg behulpzaam. Wat doet u wanneer er een persoon voor de deur staat, met in zijn armen zware pakken papier? Veelal wordt deze persoon binnengelaten, hij komt toch immers papier brengen voor de printer? Deze persoon kan zich na binnenkomst vaak vrij bewegen door het pand, zonder dat iemand vraagt wat hij aan het doen is.
Bovenstaande gaat over kennis, houding en gedrag. Het klinkt ‘psychologisch’, maar dat is het ook, zeker als het om gedragsverandering gaat. Men moet van onbewust/onbekwaam worden begeleid naar bewust/bekwaam. In het voorbeeld hierboven, kon de medewerker die de deur opendeed vragen voor wie en voor wat de persoon komt. Eveneens geldt dat de persoon eenmaal binnen, ook de vraag van andere medewerkers kon krijgen van wat en waarom hij nu binnen is. Dit lukt alleen door medewerkers te informeren en te confronteren met bewust en bekwaam zijn. Ook is het noodzaak om medewerkers te trainen en te instrueren. Om gedragsverandering mogelijk te maken moeten we gaan herhalen en blijven herhalen. Belangrijk punt is dan ook dat medewerkers op een bepaalde manier beloond worden, maar er ook sancties gesteld worden wanneer men zich niet conformeert aan het bewustwordingsbeleid.
Ik stel dat een organisatiebreed bewustwordingsproces minimaal 3 jaar tijd kost voordat er gemeten kan worden. Er zijn veel leuke en zinvolle voorbeelden te schetsen om aan bewustwording te doen. Nu schets ik slechts een voorbeeld, maar er zijn er zeker meer ! Neem nu het clean desk beleid, of het omgaan met digitale toegang tot computer. Gebruikersnaam en wachtwoord staan nog steeds vaak op een geeltje geplakt op het toetsenbord. Eveneens geldt dat ik nog vaak tegenkom dat er wordt gewerkt met afdelingaccounts.
Kortom, wat betreft bewustwording is er nog veel te doen. Het plaatsen van dit artikel zal daar zeker aan bijdragen en mensen aan het denken zetten. Bel mij eens om een bewustwordingssessie te organiseren. Altijd interessant om de verandering in te zetten van onbewust/onbekwaam naar bewust/bekwaam.
Confusius: Tell me and I will forget, show me and I will remember, involve me and I will understand.
|
21-06-2011 | Gerwin Foppen | |
Een inbreker heeft maar een doel: waardevolle spullen meenemen. Materiële zaken zoals DVD-speler’s (liefst blueray natuurlijk), LED televisies, mobieltjes, laptops, juwelen of briefgeld scoren goed. De inbreker laat tijdens het inbreken niet alleen inbraaksporen na, zoals een geforceerd raam of deur, het is vaak ook in een oogopslag duidelijk welke gebruiksvoorwerpen zijn meegenomen.
Stel, je hebt een inbreker die heel voorzichtig, na uren wachten, ergens zonder toestemming binnentreedt. Het slot op de deur wordt niet geforceerd, want de inbreker heeft met speciaal gereedschap een sleutel gemaakt. De inbreker heeft een loper zonder dat het slachtoffer dit weet, en kan op alle tijden zijn slag slaan. Dit is te vergelijken met een digitale inbraak. Een hacker neemt voldoende tijd om een inbraak te plegen en voelt verschillende malen en op verschillende tijden aan de digitale deur van zijn of haar slachtoffer. Zo verzamelt hij informatie over de digitale systemen. Zodra niemand oplet pleegt hij snel, doelgericht en effectief de inbraak. Er zijn hiervoor veel verschillende gereedschappen, zoals software die vrij te downloaden is van het internet. De echte professional heeft zoveel kennis in huis dat hij dit gereedschap zelf maakt.
Digitale inbraak SONY, Nintendo, Codemasters en EPIC
Als we het nieuws volgen van de afgelopen dagen is er heel wat te doen over digitale hackers. De hoogste baas van SONY gaf aan dat er wellicht nooit duidelijk zal worden welke gegevens precies gestolen zijn. Wel is vrijwel geheel zeker dat er persoonsgegevens, waaronder creditcardgegevens, zijn gestolen . Ook ontstond er een directe schade voor SEGA, zij konden tijdens het uitgeschakelde PlayStation network gedeeltelijk geen spellen verkopen.
In de gamingworld was niet alleen SONY / PlayStation slachtoffer, ook Nintendo, Codemasters en EPIC waren de afgelopen weken aan de beurt. Volgens deze bedrijven zijn alleen maar persoonsgegevens gestolen en gelukkig geen creditcardgegevens. Alsof de persoonsgegevens alleen niet voldoende zijn. Vervelend voor onze online gamers, want online gamen kan nu niet meer via Nintendo, zij hebben i.p.v. heel goede maatregelen te treffen hun Club Nintendo afgesloten.
Digitale inbraak IMF, Lockheed Martin en RSA
Het meer serieuze werk vond plaats bij de bedrijven Internationaal Monetair Fonds (IMF) en Lockheed Martin. Bij IMF geldt dat zij niet weten welke gegevens exact zijn buitgemaakt, ze constateerde wel tijdens de inbraak dat er verdachte bestandsoverdrachten plaatsvonden. Lockheed Martin werd aangevallen met nep-RSA tokens. Dit kon omdat er een eerdere hack heeft plaatsgevonden bij RSA, leverancier van beveiligingsproducten. RSA heeft nu een omruilactie voor deze tokens ingezet waardoor gebruikers van deze tokens weer veilig gebruik kunnen maken van de producten.
Veiligheid of schijnveiligheid
Ik kan nog wel eventjes doorgaan, want de lijst van digitale inbraken lijkt wel eindeloos. CitiBank, website Spaanse Politie, Cyberaanval op Noors leger , Cyberaanval Rabobank, bankrekening Kate Middleton, Duinrell (80.000 e-mailadressen), OV-Chipkaart, website Amerikaanse Senaat, Gmail. Daarnaast telt ook elke digitale inbraak die niet wordt gemeld, doordat de negatieve schade aan de onderneming negatiever wordt geacht. Veel erger zijn de inbraken die wel gepleegd zijn, maar die het bedrijf niet geconstateerd heeft of überhaupt niet kan constateren!
Hackers zijn en blijven actief, maar ik krijg steeds vaker de vraag: ‘zijn hackers nu vaker actief of melden we nu vaker een digitale inbraak?’ Mijn visie hierop is dat er door de enorme groei aan digitale informatie en dus informatiesystemen het voor de hand ligt dat er steeds meer digitale inbraken gepleegd worden. Gelukkig zijn er ook veel mensen die hier goed over nadenken. Zo is er inmiddels een Europees Computer Emergency Response Team (CERT) opgezet. Dit team moet Europese instellingen helpen met het voorkomen van digitale computeraanvallen. Daarnaast stelt het Pentagon dat digitale aanvallen een oorlogshandeling is. Het is ook niet voor niets dat bijvoorbeeld het landelijk Electronisch Patienten Dossier (EPD) niet is doorgegaan. Dit ging voornamelijk niet door omdat de patiënt veiligheid (privacy) niet voldoende geborgd kon worden.
Nou blijft er nog wel één vraag over: wat doen de cybercriminelen met de gesloten gegevens? Het antwoord is vrij eenvoudig te geven: persoonsgegevens zijn veel geld waar in de digitale onderwereld, persoonsgegevens worden dan ook op grote schaal verhandeld. Denk ook aan de informatiesystemen van bijvoorbeeld een Lockheed Martin, defensiebedrijf, verantwoordelijk voor het produceren van de Joint Strike Fighter. De bouwtekeningen van een JSF kun je wellicht vrij eenvoudig verkopen aan de Russen toch? Of was het een gerichte aanval van iemand die opzoek was naar deze tekeningen? Kortom een digitale inbreker weet wat hij wil. Ik ga er in deze context vanuit dat het om een professionele hacker gaat, maar wie weet is het wel iemand in een ver land die niet in de zon wil liggen en zich zo enorm verveeld en denkt: laat ik maar eens gaan inbreken!
Samengevat, elke organisatie dient voldoende maatregelen te treffen om cyberaanvallen tegen te gaan, maar vergeet niet dit regulier te laten bekijken door een expert. Wees bewust van het soort informatie dat op de informatiesystemen opgeslagen wordt, denk aan het goudkorreltje dat je wilt beschermen. Denk vooral niet: ‘dit zal mij niet overkomen’. Want in de digitale wereld is niemand veilig…
|
20-04-2011 | Gerwin Foppen | |
Smartphones en tablet-pc’s zijn niet meer weg te denken in het bedrijfsleven. Niet alleen de medewerkers, maar ook steeds meer managers hebben privé een tablet-pc en/of smartphone aangeschaft. Zij zien de ontelbare mogelijkheden, ook voor zakelijke toepassingen. Neem alleen al het snel e-mail lezen op elke gewenste plek. Je hoeft alleen maar even een klein apparaatje uit de binnenzak te halen, in plaats van een laptop op te starten.
De volgende vraag die opkomt bij tablet- en smartphonegebruikers is: “hoe kunnen we bedrijfsapplicaties benaderen met dit apparaat?” Denk hierbij aan koppelingen met bijvoorbeeld het interne CRM-systeem. Dit is een interessante vraag. Tenslotte zijn veel van deze apparaten van origine niet bestemd voor de zakelijke markt. Het komt daardoor vaak voor dat de medewerkers zelf de tablets of smartphones kopen, aanvankelijk voor privégebruik. Vervolgens proberen zij de zakelijke applicaties te ontsluiten op deze apparaten. Meestal gebeurt dit zonder de autorisatie van de IT-afdeling.
Veel organisaties zitten ook met de kwestie dat er verjonging moet plaatsvinden binnen de organisatie. De jongere medewerkers zijn inmiddels allemaal opgegroeid met iPads, iPhones, Blackberries, etc. Een van de mogelijkheden om verjonging te stimuleren is ervoor zorgen dat de organisatie meegaat met nieuwe technologie. Er zitten echter wel risico’s aan dergelijke apparaten. ‘De nieuwe medewerkers’ zien niet altijd de gevaren van deze moderne apparatuur. In hun optiek is het ‘toch handig dat ik altijd en overal gegevens kan inzien?’
Tablets en smartphones vormen een dilemma voor veel organisaties. Gelukkig is de oplossing nabij. Het is inmiddels mogelijk om op elk device software te installeren die een veilige verbinding mogelijk maakt met het bedrijfsnetwerk. Externe mobiele apparaten kunnen zodoende veilig gebruikt worden voor zakelijke toepassingen. Zo kunnen apparaten met behulp van deze software op afstand ge-whiphed worden. Ook is het mogelijk apparaten te lokaliseren en op afstand back-ups te maken. Bij verlies kan een geluid of trilling op afstand geactiveerd worden. Er kan zelfs gekeken worden of de originele fabriekssoftware van het apparaat niet is vervangen voor illegale software. Kortom, er is een hele waslijst aan mogelijkheden om smartphones en tablets veilig en doeltreffend voor ons te laten werken!
|
 20-04-2011 | Corne de Keizer | |
Op 18 april werd een beveiligingslek bij Ziggo gepubliceerd. Het blijkt vrij eenvoudig te zijn het klantnummer van een willekeurig persoon te achterhalen. Gewoon door even te bellen, jezelf voor te doen als het slachtoffer en diens adresgegevens te vertellen. Met het klantnummer kan op de website een password reset worden aangevraagd.
Is dat dan een lek? Wel in het geval van Ziggo. Het nieuwe wachtwoord wordt namelijk naar een zelf op te geven e-mailadres gestuurd. Dat is interessant… Ik weet dus iemands klantnummer en kan zomaar de beschikking krijgen over het wachtwoord.
Maar wat kan je er dan mee? Je hebt in ieder geval inzicht in alle gegevens van de Ziggo abonnee. En dat niet alleen, je kan namens deze persoon dus ook allerlei bestellingen doen. Niet voor jezelf, maar wel voor die persoon. Leuk als je iemand wil pesten dus.
Het gevonden lek kent overigens wel veel puberale trekjes. Op de middelbare school werden er ook wel soortgelijke geintjes uitgehaald. Een hele grote taart bestellen voor iemand anders, of een stapel pizza’s. En dan om een hoekje staan kijken als de bestelling werd afgeleverd. Hilariteit alom natuurlijk. En het slachtoffer zat met de rekening. En met taart of pizza’s voor de hele straat, dat dan weer wel.\
Kan het Ziggo-lek zomaar worden opgelost? Niets is 100% waterdicht te krijgen, maar met een paar eenvoudige stappen kan de Ziggo-omgeving in ieder geval een stuk veiliger worden gemaakt. Ten eerste mag een helpdeskmedewerker niet zomaar een klantnummer geven na een goed verhaal. Maar een nieuw wachtwoord naar een willekeurig e-mailadres sturen is helemaal van de gekke natuurlijk. Een keer met een criminal mind het proces doorlopen helpt goed bij de beeldvorming en vooral bij het bedenken van maatregelen ter verhogen van de beveiliging.
Is dit lek oude wijn in nieuwe zakken? Ach, iemand het duurste Ziggo-abonnement in de maag splitsen lijkt misschien wel grappig, maar blijft een puberale practical joke. Doe mij maar een slagroomtaart.
|
 11-04-2011 | Bastiaan Bakker | |
Op 24 maart werd bekend dat de Vodafone voicemail van tal van politici eenvoudig was af te luisteren. Mogelijk zijn vertrouwelijke berichten in handen van derden terecht gekomen. Gevolg: veel negatieve berichtgeving waarbij verwijtend naar de politci werd gereageerd. Ik geloof niet dat ik het onze minister-president kwalijk kan nemen dat hij zijn standaard wachtwoord op de Vodafone voicemail niet heeft aangepast.
Echter, vanuit het ministerie vind ik het wel een kwalijke zaak dat deze risico’s niet eerder zijn onderkend en dat er op basis van een dergelijke risicoafweging duidelijke voorschriften naar de ministers en rijksambtenaren zijn verstuurd. Een beetje dom van de interne ict-afdeling.
Het gevaar van het Vodafone voicemail lek is geweken. Weliswaar is het nu een stuk lastiger om vanaf een vast nummer of vanuit het buitenland je eigen voicemail af te luisteren. Echter, soortgelijke risico’s zijn zeker ook van toepassing voor het gebruik van de populaire iPhone en iPad. Ik zie het als een uitstekende ontwikkeling dat de iPads worden ingezet als zakelijk instrument voor e-mail, agenda en kantoorapplicaties. Snel, simpel en eenvoudig. Bring-your-own-device is een trend waar menig ict-manager mee worstelt.
De standaard beveiliging van de iPhone is door een hacker binnen zes minuten te omzeilen. Gevolg: alle telefoonnummers, sms berichten, persoonlijke foto’s en zakelijke e-mail in handen van onbevoegden. Zeker nu de iPhone en iPad steeds vaker ook zakelijk worden ingezet nemen de bedrijfsrisico’s van datalekken en datadiefstal naar mijn verwachting een te hoge vlucht.
Toch zie ik dat er bijzonder weinig maatregelen worden getroffen om de risico’s te beperken. Dus de geschiedenis zal zich ook zeer binnenkort wel herhalen: een beetje dom! Niet van onze minister-president die ook gebruik wil maken van coole gadgets zoals de iPhone, maar wel voor van de experts op het gebied van informatiebeveiliging.
PS Heeft u een iPhone en wilt u weten welke informatie wij eruit kunnen stelen. Bel me gerust.
|
11-04-2011 | Bastiaan Bakker | |
Op 4 april sneuvelde het wetsvoorstel voor het Elektronisch Patiëntendossier (EPD) in de Eerste Kamer. Een uniek moment dat er in de Kamer zo collectief een wet wordt afgekeurd. De Kamer vindt de doelstellingen van de wet niet helder en maakt zich ernstige zorgen over de privacy van patiënten. Vergaande digitalisering en de risico’s van falende computersystemen werken niet mee aan het vertrouwen in een gedegen landelijk EPD.
Patiënt centraal in het EPD
Het Elektronische Patiëntendossier (EPD) was een enorme stap voorwaarts in een betere informatievoorziening voor patiënt en behandela(a)r(en): het behandeldossier zou volledig rondom de patiënt worden opgebouwd en informatie beter uitwisselbaar worden gemaakt. Waarnemingen van de huisarts zouden kunnen worden gebruikt bij behandeling door specialisten en andersom. Medicijngebruik is inzichtelijk in het dossier. Zonder een landelijk EPD wordt het dossier niet rondom de patiënt maar rondom de praktijk van de arts opgebouwd. Lastig als een patiënt voor behandeling bij meerdere ziekenhuizen wordt behandeld en - samen met zijn huisarts - grip wil houden op zijn eigen gezondheid! Zonder een EPD gaan we een stap terug in de tijd waardoor de kans op medicatiefouten en sterfgevallen zal toenemen.
Het EPD is in beginsel niet van de overheid maar van jezelf
Zolang de burger geen vertrouwen heeft in een landelijk EPD dat vanuit de overheid wordt geïnitieerd zal naar mijn idee elk voorstel sneuvelen. Daarmee kom ik tot een aantal interessante vraagstukken: Wie zou nu eigenlijk de eigenaar van het landelijke EPD moeten zijn? Wie is verantwoordelijk voor deugdelijke bescherming van privacy gevoelige informatie? En wie plaatst er eventueel een dubbel slot op het dossier zodat de patiënt zelf bepaalt wie er bij het dossier kan? In het afgekeurde wetsvoorstel is dat de overheid dan wel private marktpartijen in combinatie met vergaande regulering vanuit de overheid.
In mijn ogen is de patiënt voor de volle 100% eigenaar van zijn eigen informatie; niemand anders. Huisarts, specialist en apotheker kunnen op basis van jouw informatie een optimale behandeling voorschrijven en aangaan. Misschien moet deze problematiek van een landelijk EPD wel compleet anders worden opgepakt: geef elke burger een persoonlijke digitale identiteit en een persoonlijke digitale kluis. Een kluis met je eigen gegevens inclusief je eigen EPD. Dan heb je als burger zelf de mogelijkheid om het dossier open te stellen, zodat je zelf kunt meehelpen om medicatiefouten te voorkomen. Met deze gedachte is vertrouwen in de overheid geen issue. Evenmin zijn de risico’s van falende landelijke computersystemen en privacy issues weggenomen.
|
 07-03-2011 | Bart Verhaar | |
Vanaf deze week is het voor iedereen mogelijk om een OV-chipkaart zelf te voorzien van saldo. En als je echt ontraceerbaar de trein in wilt stappen kun je ook nog vanaf je PC inchecken. Dit allemaal dankzij een nieuw “tooltje”wat je gemakkelijk kan installeren op een PC met windows. Je hebt natuurlijk wel een RFID reader/writer nodig. Deze zijn al jaren overal vrij verkrijgbaar.
De vraag is echter, moet je dit nu ook doen als fanatieke openbaarvervoer gebruiker, alleen omdat het kan?Volgens het Wetboek van Stafrecht ben je in overtreding wanneer je een waardekaart of betaalpas opzettelijk vervalst. Hiervoor kun je worden vervolgd. Het mag niet, dus je moet dit ook niet doen, zegt Trans Link Systems. Trans Link Systems lijkt daarbij te rekenen op het “fatsoen” van de reiziger, die tenslotte ook nooit een strippenkaart of treinkaart zou vervalsen.
Wat wel interessant is, is dat de meeste nieuwszenders ineens heel druk zijn met dit onderwerp. Dat de gebruikte Chip in de OV-chipkaart (de MIFARE Classic 4K 13Mhz RFID kaart) niet helemaal waterdicht is was al lange tijd bekend. Nu hebben een paar hackers een leuk stukje software geschreven, zodat een breed publiek gebruik kunnen maken van de zwakheid in de oplossing.
Het leuke van bloggen is dat je kunt reageren op dit soort berichten. Met grote interesse heb ik er een aantal gelezen en lees voornamelijk reacties van mensen die aangeven dat we dit al lang wisten of dat de reactie van TLS, waarin ze aangeven dat het gewoon niet mag, stom is.
Mijn vraag is: wat is de oplossing? Volgens mij kun je nog zo’n veilig systeem verzinnen, uiteindelijk wordt het toch gekraakt. Moet je dan met een nieuwe chip gaan werken en iedereen zijn pasje laten omwisselen? Gaan we er voor zorgen dat gekraakte kaarten wél detecteerbaar zijn? Of moeten we misschien af van de anonieme kaarten? Het is per slot van rekening zo dat het op de weg ook niet anoniem werkt. Ik moet wegenbelasting betalen voor het gebruik van het wegdek. Dit wordt gecontroleerd doormiddel van mijn nummerbord wat op mijn naam staat. Op het moment dat ik voor mijn auto geen nummerbord meer aan hoef te vragen kan ook niet meer worden gecontroleerd of ik wel wegenbelasting betaal voor de desbetreffende auto.
In Nederland zitten we hier alleen niet op te wachten. Dit geeft ons een “Big Brother is watching you” gevoel. In werkelijkheid is het natuurlijk “Big Brother is watching you a bit more”
Mijn conclusie: Natuurlijk moet TLS zijn uiterste best doen om reizen in het openbaar vervoer zo fraude ongevoelig mogelijk te maken. Ik zou ze graag helpen, ik kom met de auto.
|
20-12-2010 | Corne de Keizer | |
Over de beschermingsmuur rond het netwerk, de zogenoemde firewall, wordt bij de meeste organisaties niet echt meer nagedacht. Het is een standaard netwerkcomponent geworden. Een randvoorwaarde in de IT-infrastructuur. Toch staan de ontwikkelingen op het gebied van firewalls zeker niet stil. Application Aware Firewall (AAF) en Web Application Firewall (WAF) zijn inmiddels veelgehoorde termen. Gaat het hier om dezelfde wijn in nieuwe zakken? Gaat het over totaal verschillende dingen? En voegt het eigenlijk iets toe aan de bestaande IT infrastructuur? Een korte uitleg is wel op z’n plaats.
Het gebruiken van applicaties vanaf of via internet neemt hand over hand toe. Daarbij gaat het steeds vaker ook om bedrijfsapplicaties. De grenzen van het netwerk vervagen daardoor. Was een firewall voorheen een sterke muur de “organisatievesting” beschermde, vandaag de dag hebben we steeds meer te maken met telewerkers, extranetten en andere vormen van externe toegang. Daardoor zitten er tegenwoordig in de oude vertrouwde muur meer gaten dan in een Leerdammer kaas. Toch wil dat niet zeggen dat een firewall nutteloos is. Sterker nog, de rol wordt weliswaar anders, maar zeker niet kleiner.
Zowel de Web Application Firewall als de Application Aware Firewall voegen veel toe aan de traditionele vormen van firewalling. Het verschil tussen deze twee is groot en is terug te vinden in de toepassing.
Web Application Firewall
De Web Application Firewall (WAF) is niet bedoeld als vervanger van de traditionele firewall, maar wordt ingezet om gepubliceerde webapplicaties te beschermen tegen aanvallen van buiten. In omgevingen zonder WAF wordt veelal een traditionele firewall ingezet in combinatie met een Intrusion Detection & Prevention (IDP)-oplossing om de webapplicatie te beschermen. Deze constructie voorziet niet in het monitoren (en eventueel blokkeren) van het verkeer op daadwerkelijke inhoud; hooguit op basis van afwijking van protocollen en herkenbare aanvallen.
De WAF voegt hier een dimensie aan toe. Alle verkeer naar en van de webapplicatie gaat door de WAF. De WAF kent de applicatie inhoudelijk. De WAF weet bijvoorbeeld wat de te verwachten input is in invoervelden binnen de webapplicatie. Op het moment dat afwijking van de policy wordt geconstateerd, grijpt de WAF in. Dit varieert van het sturen van een alarm tot het blokkeren van het verkeer.
Application Aware Firewall
De Application Aware Firewall (AAF) komt wel in plaats van de traditionele firewall en helpt de organisatie bij het technisch afdwingen van het internetbeleid. Er wordt binnen organisaties steeds vaker gebruik gemaakt van social media en andere online diensten. Gezien de maatschappelijke ontwikkelingen willen veel organisaties hier juist gebruik van maken, in plaats van dit zonder meer te blokkeren. Met een AAF kunnen mensen bijvoorbeeld toegang krijgen tot de webinterface van Gmail, terwijl het onmogelijk wordt gemaakt een attachment te verzenden. De AAF heeft inhoudelijke kennis van Gmail en hoe Gmail omgaat met (bijvoorbeeld) attachments. Zo is het mogelijk een policy te implementeren rondom webmail, maar bijvoorbeeld ook rondom LinkedIn, Twitter en andere populaire media, waarbij het beleid technisch wordt afgedwongen.
AAF kent ook veel raakvlakken en zelfs overlap met Data Leakage Prevention (DLP). Het is daarom goed om de keuze voor een Application Aware Firewall te combineren met het DLP-beleid.
Conclusie
De Web Application Firewall en de Application Aware Firewall zijn totaal verschillende oplossingen ieder met een eigen specifiek doel. De WAF wordt ingezet om (zelf-)gepubliceerde applicaties te beschermen, terwijl de AAF wordt toegepast om de beleidsregels rond social media en publieke webservices af te dwingen. Beide technologieën voegen veel toe aan de traditionele vormen van netwerkbeveiliging, omdat veel meer gestuurd kan worden op inhoud dan op platte verkeersstromen. Voor veel organisaties is dit een uitkomst.
Iets voor u?
Is deze technologie interessant voor u? Welke technologie moet u dan toepassen? Zijn beide voor uw organisatie noodzakelijk? Het beantwoorden van deze vragen begint zoals altijd bij beleid en classificatie. Leg vast wat de waarde van de te beschermen gegevens is (impactanalyse). Leg ook vast welk verkeer is toegestaan en wat niet. Op basis daarvan kan een overwogen keuze worden gemaakt. Afhankelijk van de impactanalyse kan worden vastgesteld welke beleidsregels technisch moeten worden afgedwongen. Vervolgens kan de juiste oplossing worden gekozen.
|
|
|