‘Controleer alles en vertrouw niets’

Security-specialist On2It organiseerde donderdag 12 september 2013 haar ‘Bright and Cloudy’ event. Publiekstrekker was John Kindervag, de geestelijk vader achter de beveiligingsstrategie Zero Trust.

Voordat Kindervag, Principal Analyst bij Forrester, aan het woord kwam, presenteerde Reg van Steen van TNS Nipo de resultaten van een onderzoek naar de beveiligingsstrategie binnen Nederlandse bedrijven. “Ondernemingen gaan de komende tijd meer investeren in ICT-toepassingen voor smartphones en tablets,” zo wist Van Steen, “zonder echter de beveiligingsoplossingen met het gebruik van deze devices mee te laten groeien.” Die beveiligingsmaatregelen zijn overwegend traditioneel, zoals firewalls en antivirussoftware, en passen beter bij de oude, gesloten netwerken.
Lieuwe-Jan Koning, technisch directeur van On2It, herkent dat: “Bedrijven bezwijken onder de druk van de snelle technologische ontwikkelingen en die van werknemers, die een steeds opener bedrijfsnetwerk verwachten.”

Nieuwe generatie
Alle sprekers tijdens de bijeenkomst waren het erover eens dat niet alleen de structuur van netwerken en datacenters moet veranderen – bijvoorbeeld door het inzetten van Ethernet Fabrics –, maar dat er ook een nieuwe generatie firewalIs nodig is. Isabelle Dumont, Director Industry Marketing bij Palo Alto Networks, haakte daarop in door concrete problemen bij het beschermen van een modern netwerk te bespreken: “Poortnummers van een firewall zijn niet meer gekoppeld aan een bepaalde applicatie, en IP-adressen representeren niet meer een vastgelegde gebruiker. De nieuwe generatie firewalls zal moeten monitoren welke applicaties er in het datacenter actief zijn, of er onbekende gebruikers in de omgeving zijn en het dataverkeer continu moeten inspecteren, zonder dat de performance eronder lijdt.”

Encryptie
John Kindervag gaf een stellig advies. “Verify en never trust.” Hij toonde screendumps van moeilijk te bereiken chatrooms op internet, waarin een levendig handel te zien is in ruwe data, zoals logingegevens van Skype. “Data is waarde. Daarom stel ik graag dat goede data dode data is.” Hiermee bedoelt de analist dat encryptie data van zijn waarde ontdoet en daarmee een goed wapen is tegen verkeerd gebruik van data. Net als de topvrouw van Palo Alto Networks stelt Kindervag dat een nieuwe generatie firewalls – door hem de segmentation gateway en door Palo Alto Networks een ‘Next-Generation Network Security Platform’ genoemd – nodig is om te zorgen voor maximale beveiliging en realtime scanning van het verkeer. “Op die manier is een Zero Trust-netwerk te realiseren.”

Segmentering
Lieuwe-Jan Koning van On2It beaamde dit en zag nog een voordeel van deze strategie: “Bij Zero Trust zitten de kritische bedrijfsapplicaties in hun eigen security-domein. Mocht er onverhoopt toch een continuïteits- of security-probleem optreden in een segment, dan blijft de schade beperkt tot een enkele set van applicaties en/of gebruikers.”
Die strategie is absoluut noodzakelijk, want steeds weer blijkt het een relatief klein aantal Business Applicaties te zijn, dat bij ondernemingen voor het grootste aantal security-problemen zorgt. De recente berichtgeving over cyber security in de media heeft zowel eindgebruikers als leveranciers en providers meer bewust gemaakt van de gevaren. Over Nederland is Kindervag eigenlijk positief: “Geen enkel land is zo ver in het omarmen van Zero Trust als jullie.”