Snoepy
15 June 2005, 23:17
Trens, trends, trends
Bij de huidige trend van het uitbesteden van allerlei diensten is het verleidelijk om ook het ICT-beveiligingspakket onder te brengen bij een externe partij. Immers: de complexiteit van ICT-beveiliging is groot, het is een dynamisch proces dat veel tijd kost en continu up-to-date kennis vereist. Alle reden dus om met een boog om de materie heen te lopen en (op papier) een ander de verantwoordelijkheid te geven.
Door Leo Willems Chief Security Officer van TUNIX Internet Security en Opleidingen (http://www.tunix.nl/)
Verantwoordelijkheid
En daar zit hem de kneep: een ander de verantwoordelijkheid te geven: in tegenstelling tot netwerkbeheer en werkplekbeheer dient bij beveiliging het top-management verantwoording te nemen, beleid te maken en toe te zien dat dat beleid geborgd wordt in de organisatie. Vroeger kon het bij die opmerking blijven maar Amerikaanse CEO's weten tegenwoordig dat ze de gevangenis in draaien als ze het daarbij laten (de SOX-act). Of dat in Europa ook gaat gebeuren is niet zeker maar de trend is er wel. Welke afspraken heeft u met uw externe werkplekbeheerder als ze kinderporno aantreffen op een computer van een van uw medewerkers? Stil houden kan niet: dat is strafbaar. Informatie beveiliging is daarmee een zaak van de bedrijfsleiding en dat wordt gelukkig ook steeds vaker onderkend.
Geschiedenis
In het begin van de jaren 90 van de vorige eeuw rukte het Internet op in het bedrijfsleven. Systeembeheerders realiseerden zich dat een router met eenvoudige filters niet meer voldoende was om hun netwerk afdoende te beschermen. Firewalls uit die tijd waren Seal van DEC, Raptor/Eagle, TIS/Gauntlet en Checkpoint/Firewall-1. De beheerders dienden veel verstand te hebben van hun favoriete operating systeem, moesten kennis hebben van netwerk-technologie (IP-fragments, Glue-records voor DNS, routering om maar wat te noemen) om de firewall-software in te kunnen richten. Dat was een taak die ze op zich namen uit verantwoordelijkheidsgevoel (want beleid was er niet) en die ze naast hun bestaande taak deden. Maar er zaten wat addertjes onder het gras: zelfs beheerders moeten slapen en op vakantie, dus wie leest de logging? De firewall-software moet worden vernieuwd (patches, nieuwe functies e.d.). En bovenal: de beveiligingsmaterie werd snel complexer door virussen, mooiere client-software zoals grafische browsers met veel te veel mogelijkheden en enorme schaalvergroting want midden jaren 90 brak Microsoft door op de werkplek en thuis. Gebruikers raakten verwend, eisten op het werk dezelfde luxe als thuis en konden van alles zelf installeren want ze hadden toegang tot Internet vanaf de werkplek. Beheerders raakten verwend want de moeilijke Internet-technologie raakte steeds beter verborgen onder de (Microsoft-) motorkap. Keerzijde van al die luxe is dat niemand meer weet wat er moet gebeuren als er iets mis is, of weet hoe afwijkend gebruik zichtbaar gemaakt moet worden.
Al snel sprongen bedrijven in op de ontstane situatie: het upgraden kon de beheerder uitbesteden, midden jaren 90 kon het tweedelijnsbeheer uitbesteed worden en konden er standby-verzekeringen worden afgesloten. En inderdaad: vanaf eind negentiger jaren kon je het hele pakket 7x24 uur uitbesteden (inclusief hardware) en daarmee was de eerste vorm van Managed Security een feit.
Bewaak de ketting, niet een paar losse schakels
Maar er zitten meer addertjes onder het gras: beveiliging gaat niet alleen over het netwerk. Het gaat ook over de mailserver, de anti-virusupdates, name-services, kortom: de hele client-server keten. Het gaat ook om bewaking, incident management, (steeds meer) beleid en wetgeving.
Is het mogelijk de keten uit te besteden? Het beleid niet maar het werk wel. Het werk en de verantwoordelijkheid worden ingevuld in een Managed Security Service overeenkomst.
Managed Security: soorten en maten
Managed Security Services vallen ruwweg uiteen in twee soorten:
Perimeter-netwerkbeveiliging: deze bestaat uit een packet-level firewall die gemonitored wordt op bereikbaarheid en performance. Afspraken over het volgen van de logging en opvolgen van security incidenten worden meestal niet gemaakt of zijn onduidelijk.
Keten-beveiliging: deze bestaat uit de voornoemde perimeter-netwerkbeveiliging maar is aangevuld met het management van ondersteunende diensten zoals email, name services, content-controle op datastromen, incident opvolging, 7x 24 uur bewaking op deze zaken en met name op de security aspecten.
Bij de eerste vorm van managed security zijn de kosten lager en zijn de SLA's over beschikbaarheid makkelijk te definieren. De tweede vorm is kostbaarder en de SLA's zijn complexer. Maar de betrokkenheid van de leverancier is groter en de hoeveelheid intern beheer is minder. Door de keten-opzet worden ook de klassieke muren (ze komen weer terug!) tussen netwerkbeheerder, systeembeheerder en applicatiebeheerder geslecht. Door te kiezen voor keten-beveiliging dwingt een organisatie zich tot het maken van beleid want anders kunnen ze de SLA's niet toetsen want keten-SLA's raken aan de bedrijfsprocessen en niet alleen maar aan de beschikbaarheid van een Internet-verbinding.
Waait Managed Security over?
Alleen als beveiling als proces wordt gezien op de hele keten, integraal wordt gemanaged en in beleid is geborgd, dan is Managed Security meer dan alleen ad-hoc beveiliging en valt er meer dan alleen financieel voordeel bij te halen.
Wat gaan we nog meer managen in de toekomst?
Neem de hype van enkele jaren terug: Network Intrusion Detection. De verkoopverwachtingen van NIDS-oplossingen zijn inmiddels stevig getemperd. Waarom? NIDS is geen slechte technologie maar wel arbeidsintensief vanwege de vele valse alarmen. Daar kijkt dus geen beheerder meer naar om na verloop van tijd. Dit is een gemiste kans. Door NIDS onder te brengen in een Managed Security Service wordt het werk uitbesteed en houd je de positieve kant over: een betere beveiliging.
To manage or not to manage
In navolging van NIDS beginnen nu switches op de markt te verschijnen die op hol geslagen virulente PC's geen toegang geven tot het netwerk en bij verdachte datastromen alarmeren. HP had al 5 jaar geleden zo'n apparaat, nooit meer wat van gehoord, hij moest namelijk bewaakt worden om effectief te zijn.....
Leo Willems
Bij de huidige trend van het uitbesteden van allerlei diensten is het verleidelijk om ook het ICT-beveiligingspakket onder te brengen bij een externe partij. Immers: de complexiteit van ICT-beveiliging is groot, het is een dynamisch proces dat veel tijd kost en continu up-to-date kennis vereist. Alle reden dus om met een boog om de materie heen te lopen en (op papier) een ander de verantwoordelijkheid te geven.
Door Leo Willems Chief Security Officer van TUNIX Internet Security en Opleidingen (http://www.tunix.nl/)
Verantwoordelijkheid
En daar zit hem de kneep: een ander de verantwoordelijkheid te geven: in tegenstelling tot netwerkbeheer en werkplekbeheer dient bij beveiliging het top-management verantwoording te nemen, beleid te maken en toe te zien dat dat beleid geborgd wordt in de organisatie. Vroeger kon het bij die opmerking blijven maar Amerikaanse CEO's weten tegenwoordig dat ze de gevangenis in draaien als ze het daarbij laten (de SOX-act). Of dat in Europa ook gaat gebeuren is niet zeker maar de trend is er wel. Welke afspraken heeft u met uw externe werkplekbeheerder als ze kinderporno aantreffen op een computer van een van uw medewerkers? Stil houden kan niet: dat is strafbaar. Informatie beveiliging is daarmee een zaak van de bedrijfsleiding en dat wordt gelukkig ook steeds vaker onderkend.
Geschiedenis
In het begin van de jaren 90 van de vorige eeuw rukte het Internet op in het bedrijfsleven. Systeembeheerders realiseerden zich dat een router met eenvoudige filters niet meer voldoende was om hun netwerk afdoende te beschermen. Firewalls uit die tijd waren Seal van DEC, Raptor/Eagle, TIS/Gauntlet en Checkpoint/Firewall-1. De beheerders dienden veel verstand te hebben van hun favoriete operating systeem, moesten kennis hebben van netwerk-technologie (IP-fragments, Glue-records voor DNS, routering om maar wat te noemen) om de firewall-software in te kunnen richten. Dat was een taak die ze op zich namen uit verantwoordelijkheidsgevoel (want beleid was er niet) en die ze naast hun bestaande taak deden. Maar er zaten wat addertjes onder het gras: zelfs beheerders moeten slapen en op vakantie, dus wie leest de logging? De firewall-software moet worden vernieuwd (patches, nieuwe functies e.d.). En bovenal: de beveiligingsmaterie werd snel complexer door virussen, mooiere client-software zoals grafische browsers met veel te veel mogelijkheden en enorme schaalvergroting want midden jaren 90 brak Microsoft door op de werkplek en thuis. Gebruikers raakten verwend, eisten op het werk dezelfde luxe als thuis en konden van alles zelf installeren want ze hadden toegang tot Internet vanaf de werkplek. Beheerders raakten verwend want de moeilijke Internet-technologie raakte steeds beter verborgen onder de (Microsoft-) motorkap. Keerzijde van al die luxe is dat niemand meer weet wat er moet gebeuren als er iets mis is, of weet hoe afwijkend gebruik zichtbaar gemaakt moet worden.
Al snel sprongen bedrijven in op de ontstane situatie: het upgraden kon de beheerder uitbesteden, midden jaren 90 kon het tweedelijnsbeheer uitbesteed worden en konden er standby-verzekeringen worden afgesloten. En inderdaad: vanaf eind negentiger jaren kon je het hele pakket 7x24 uur uitbesteden (inclusief hardware) en daarmee was de eerste vorm van Managed Security een feit.
Bewaak de ketting, niet een paar losse schakels
Maar er zitten meer addertjes onder het gras: beveiliging gaat niet alleen over het netwerk. Het gaat ook over de mailserver, de anti-virusupdates, name-services, kortom: de hele client-server keten. Het gaat ook om bewaking, incident management, (steeds meer) beleid en wetgeving.
Is het mogelijk de keten uit te besteden? Het beleid niet maar het werk wel. Het werk en de verantwoordelijkheid worden ingevuld in een Managed Security Service overeenkomst.
Managed Security: soorten en maten
Managed Security Services vallen ruwweg uiteen in twee soorten:
Perimeter-netwerkbeveiliging: deze bestaat uit een packet-level firewall die gemonitored wordt op bereikbaarheid en performance. Afspraken over het volgen van de logging en opvolgen van security incidenten worden meestal niet gemaakt of zijn onduidelijk.
Keten-beveiliging: deze bestaat uit de voornoemde perimeter-netwerkbeveiliging maar is aangevuld met het management van ondersteunende diensten zoals email, name services, content-controle op datastromen, incident opvolging, 7x 24 uur bewaking op deze zaken en met name op de security aspecten.
Bij de eerste vorm van managed security zijn de kosten lager en zijn de SLA's over beschikbaarheid makkelijk te definieren. De tweede vorm is kostbaarder en de SLA's zijn complexer. Maar de betrokkenheid van de leverancier is groter en de hoeveelheid intern beheer is minder. Door de keten-opzet worden ook de klassieke muren (ze komen weer terug!) tussen netwerkbeheerder, systeembeheerder en applicatiebeheerder geslecht. Door te kiezen voor keten-beveiliging dwingt een organisatie zich tot het maken van beleid want anders kunnen ze de SLA's niet toetsen want keten-SLA's raken aan de bedrijfsprocessen en niet alleen maar aan de beschikbaarheid van een Internet-verbinding.
Waait Managed Security over?
Alleen als beveiling als proces wordt gezien op de hele keten, integraal wordt gemanaged en in beleid is geborgd, dan is Managed Security meer dan alleen ad-hoc beveiliging en valt er meer dan alleen financieel voordeel bij te halen.
Wat gaan we nog meer managen in de toekomst?
Neem de hype van enkele jaren terug: Network Intrusion Detection. De verkoopverwachtingen van NIDS-oplossingen zijn inmiddels stevig getemperd. Waarom? NIDS is geen slechte technologie maar wel arbeidsintensief vanwege de vele valse alarmen. Daar kijkt dus geen beheerder meer naar om na verloop van tijd. Dit is een gemiste kans. Door NIDS onder te brengen in een Managed Security Service wordt het werk uitbesteed en houd je de positieve kant over: een betere beveiliging.
To manage or not to manage
In navolging van NIDS beginnen nu switches op de markt te verschijnen die op hol geslagen virulente PC's geen toegang geven tot het netwerk en bij verdachte datastromen alarmeren. HP had al 5 jaar geleden zo'n apparaat, nooit meer wat van gehoord, hij moest namelijk bewaakt worden om effectief te zijn.....
Leo Willems