De nieuwe generatie platformbeveiliging

Ransomware is een punt van zorg. Regelmatig worden ziekenhuizen digitaal gegijzeld. Om weer bij hun data of applicaties te kunnen, moeten ze losgeld betalen aan de criminelen. Het is duidelijk: beveiliging op de klassieke manier volstaat niet langer. Willem Drijver, CEO van Cam IT Solutions, zet uiteen hoe de moderne informatiebeveiliging in elkaar zit. “Door bestaande oplossingen met elkaar te laten praten, creëer je de nieuwe generatie platformbeveiliging.”

 

Informatiebeveiliging binnen de zorg ligt onder een vergrootglas. Niet alleen vanwege de toename van het aantal digitale gijzelingen, maar over de hele breedte zit de wet- en regelgeving er bovenop met NEN7510, ISO27001 en de meldplicht datalekken. Er is een voortdurend kat- en muisspel gaande tussen cybercriminelen en het bedrijfsleven en zorginstellingen. Maar, de ‘good guys’ nemen nu een veelbetekenende voorsprong, dankzij de recente samenwerking tussen ON2IT – Cyber Security Specialist – en de platformexperts van CAM. “Wij zijn sterk in de platformservices”, vertelt Drijver. “Wij voldoen aan de NEN7510 en de ISO27001, maar de echte experts op het gebied van beveiligingsdienstverlening zitten bij ON2IT. Daar monitoren mensen vanuit een Security Operations Center (SOC) datastromen, zij detecteren en mitigeren verdachte zaken. Wij hebben gezamenlijk een nieuwe visie ontwikkeld op de inrichting van het beveiligingsproces.”

 

Gedragsherkenning

Hoe gaan mensen om met digitale middelen? En welke mogelijkheden zijn er om te voorkomen dat informatie in de verkeerde handen terechtkomt? Iedere organisatie die beveiliging serieus neemt, hanteert een beleid daarop en geeft medewerkers instructies zoals ‘lock je beeldscherm als je je werkplek verlaat’, ‘beveilig je tablet met een wachtwoord’ enzovoort. Drijver: “Wanneer mensen hierin niet goed worden geïnstrueerd of de instructies worden bewust genegeerd, dan schiet iedere technische maatregel zijn doel voorbij. Waar onze nieuwe generatie platformbeveiliging zich wel op kan richten is het voorkomen dat gebruikers onbewust veiligheidsrisico’s creëren. In de oude wereld bestond beveiliging voornamelijk uit puntoplossingen zoals een firewall, tweefactor-authenticatie, malwarebescherming enzovoort. In de nieuwe wereld vormen alle puntoplossingen gezamenlijk een ecosysteem. Alles staat met elkaar in verbinding en praat met elkaar. Dit maakt geavanceerde gedragsherkenning (intrusion prevention) mogelijk. Alle beveiligingsinformatie wordt, geholpen door intelligente cloud-technologie, bekeken en geanalyseerd. Hierdoor ontstaat een gesloten (closed loop) beveiligingssysteem dat niet alleen afwijkende patronen in stromen en bewegingen detecteert, maar ook gedrag kan bekijken. Deze visie rondom onze platformdienstverlening wordt de nieuwe generatie bedreigingsanalyse genoemd. Zo geven we nieuw elan aan platformbeveiliging.”

In de zandbak

Over de CAMCUBE, het platform-as-a-service van CAM, vliegen talloze informatiestromen. Aan de rechterkant van het schema bevinden zich de data en applicaties waar zorgprofessionals mee werken. In het midden bevindt zich de zogeheten ‘wasstraat’. Hier komen de zeven afzonderlijke puntoplossingen (zie linksboven) samen. Doordat deze met elkaar praten, vormen ze een beveiligingsecosysteem, waardoor gedragsherkenning kan worden toegepast. Drijver vergelijkt het met beveiliging op Schiphol. “Niet alleen houden we iemand met een verdachte rugzak in de gaten, we kijken ook welke route hij neemt. Als hij ineens een applicatie bezoekt waar hij helemaal niet thuishoort, dan is dat verdacht. Dat een scanner een piepje geeft, is een individuele beveiligingsmaatregel, een puntoplossing. Maar als die röntgenscan een laag beveiligingsrisico detecteert – onvoldoende voor een stevige controle – wordt dat gecombineerd met de observatie dat de man met enkele personen een kort gesprek heeft gevoerd. 1 + 1 = 3, waardoor je proactief, dus voordat er iets gebeurt, verdachte zaken kunt detecteren.

Deze combinatie van factoren levert een sluitend beveiligingsecosysteem op. De oude beveiliging is uitsluitend gericht op controle op bepaalde punten, patroonscanning. Nu voegen we daar het ecosysteem en gedragsherkenning aan toe, zodat je veel beter kunt monitoren hoe een datastroom zich daadwerkelijk beweegt in een datacenter. Verdachte datastromen worden niet naar de interne kant van het netwerk gestuurd, maar komen automatisch in de Sandbox terecht, de zandbak. In deze container wordt verdachte data geactiveerd. Is het malware dan richt het in die zandbak geen enkele schade aan. De bedreiging is ontmaskerd en wordt direct gemitigeerd, zodat het wereldwijd in beveiligingssystemen wordt bijgewerkt. Is het vals alarm, dan wordt de datastroom gewoon doorgestuurd.”

 

In de kraag

Hackers proberen in een getrapte constructie beetje bij beetje steeds toegang tot systemen te veroveren. Vergelijk het met een inbreker die eerst het hek forceert, een beveiligingscamera omzeilt en dan een raampje intikt. “Bij systemen die met elkaar praten, wordt dit gedrag heel snel herkend”, vertelt Drijver. “Daar wordt op gemitigeerd en is de kans heel groot dat de inbreker in zijn kraag wordt gevat voordat hij iets heeft kunnen aanrichten. Geen enkele beveiliging is waterdicht, dus mocht het toch misgaan, dan heb je in ieder geval een gedetailleerde trail. Daarmee kan je volledig herleiden wat er is gebeurd. Bij het melden van dit datalek kan je glashelder aangeven wat er is gebeurd, wat er is ontvreemd en welke tegenmaatregelen je hebt genomen. Daardoor kun je er zeker van zijn dat het niet nog een keer gebeurt via dezelfde route.”

 

Cryptoware

Malwaredetectie is uiteraard alleen effectief op bekende bedreigingen. Zogeheten zero-days – virussen die nog niet (0 dagen) bekend zijn – kunnen deze poort ongemerkt passeren. Aangezien het kat- en muisspel voortgaat, heeft de cybercrimineel cryptoware of ransomware ontwikkeld.

“Omdat het commercieel aantrekkelijk is, wordt cryptoware steeds verder geperfectioneerd”, weet Drijver. “Er worden bijvoorbeeld in één keer 1000 of meer unieke mailberichten gestuurd. Het risico blijft aanwezig dat medewerkers er niet op bedacht zijn dat de bijgesloten pdf of de link in het zo authentiek ogende mailbericht een veiligheidsrisico creëert. Nadat erop is geklikt kan het nog uren of zelfs dagen duren voordat de cryptoware actief wordt. Dit voorbeeld toont aan waarom losse puntoplossingen niet langer volstaan. Wat kun je dan doen om een zero-day er toch uit te filteren. 1) Voeg patroonherkenning toe aan je endpoint-beveiliging. Dus niet alleen bij de poort, maar ook bij iedere database, portal, virtuele desktop en applicatieserver. 2) Zorg ervoor dat de zeven puntoplossingen met elkaar praten in je ecosysteem, dat ze rapportages maken die automatisch worden geanalyseerd met cloud-technologie op het niveau van machine learning. 3) Organiseer er een bewakingsservice omheen, Security-as-a-Service in een SOC. Dit zijn mensen die de automatische analyses nog eens bekijken, zodat gedragsherkenning op hoog niveau wordt toegepast en bedreigingen tijdig kunnen worden gedetecteerd. 4) Leg een zandbak aan, die in een veilige container bedreigingen daadwerkelijk ontmaskert en direct mitigeert. Dan beschik je over de nieuwe generatie platformbeveiliging.”

Willem Drijver, CEO van Cam IT Solutions

 

Gerelateerde berichten...