Bescherming naar nieuw niveau
Het lag in de lijn der verwachting dat de wapenwedloop tussen cybercriminelen en beveiligingsprofessionals zou voortduren. Toch is er geen sprake van een status quo. Allerminst. De multilayer-oplossingen in het kamp van de beveiligers winnen terrein, zo lijkt het. Een gesprek met Niels den Otter, SE Team Leader, bij Check Point Nederland.
We spreken over de ddos-aanvallen die met name vorig jaar breed het nieuws haalden. Ook komen de botnetwerken langs, waarbij criminelen en hackers kunnen beschikken over complete toolboxen die online te vinden zijn. Daarnaast zijn er bedreigingen zoals de zogenoemde ‘zero-day aanval’. Hierbij maken hackers misbruik van lekken die nog niet bekend zijn bij de softwareontwikkelaar. De leveranciers van intrusion prevention systems (IPS) en van antivirussoftware hebben dan nog geen signatures ontwikkeld, die bescherming bieden. Dat zijn de berichten uit het kamp van de kwaden. “Van onze kant,” vertelt Den Otter, “is er een aantal ontwikkelingen op het gebied van detectietechnologie, infrastructuur en big data, die zeker het vermelden waard zijn.”
Ddos-aanvallen
Den Otter legt uit dat wie zich tegen ddos-aanvallen wil beschermen op twee fronten tegelijk maatregelen moet treffen. “Enerzijds is dat bescherming van je eigen omgeving, zodat je servers en databases bereikbaar blijven. Daarnaast moet je voorkomen dat de internetbandbreedte naar jouw omgeving volloopt tijdens zo’n aanval. Voor dat laatste gaat het erom het grote volume tijdens zo’n aanval te beperken. Weliswaar vangt dit grove filter het leeuwendeel van de aanval af, maar het deel dat is gericht op de applicaties wordt niet gestopt. Onze oplossing kan op basis van het verkeerspatroon de onnatuurlijke pieken binnen dat verkeer detecteren en tegenhouden. Door het leren van verkeerspatronen kunnen we zien op welke wijze op dat moment een aanval wordt uitgevoerd. Precies dat verkeer pakken we eruit. Om nu te voorkomen dat het legitieme verkeer wordt mee uitgefilterd, doen we extra controle. Op basis van bepaalde ‘challenges’ checken we welk verkeer afkomstig is van een gewone gebruiker die vanachter zijn computer, via een normale browser een bestelling plaatst en wat afkomstig is van een geautomatiseerde tool dat applicatiegerelateerd volumeverkeer genereert. Het niet-legitieme verkeer wordt geblokkeerd en de reguliere gebruikers ervaren geen interruptie van de dienst.” Den Otter geeft toe dat je nimmer 100 procent garantie kunt geven dat de goeden niet lijden onder de kwaden. “Maar,” relativeert hij direct, “liever een handjevol klanten die een korte storing ervaren tijdens de transactie, dan dat je volledige omgeving een hele dag onbereikbaar is.”
Botbescherming
De uitdaging bij bescherming tegen bots, is dat een organisatie vaak niet weet dat er machines geïnfecteerd zijn. IPS en standaard antivirusoplossingen detecteren de infectie lang niet altijd. Bovendien is er weinig directe bescherming mogelijk voor wie ’s avonds thuis nog even met zijn zakelijke laptop over het internet surft. “Onze anti-botoplossing doet het volgende,” vertelt Den Otter. “Zodra die zakelijke machine weer terugkeert op het zakelijke netwerk, inspecteert de gateway al het verkeer en richt daarbij zich vooral op het uitgaande verkeer. Als daar ‘command & control verkeer’ tussen zit, is dat waarschijnlijk managementverkeer van een bot die het moederschip contacteert om nieuwe instructies te krijgen. Deze controle doen we op basis van reputatie – een check met een grote database van machines waarvan we weten dat ze command & control functionaliteit hebben – en op basis van verkeerspatronen. Om nu infecties te voorkomen en te detecteren beschikken onze gateways over meerdere technologieën, zogeheten multi-layered security. In het geval van botdetectie, blokkeren we ten eerste het command & control verkeer. Daarnaast gaat er een waarschuwing uit naar beheer, dat deze machine is geïnfecteerd, zodat men maatregelen kan nemen.”
Geen signature
Controle aan de poort van ingaand en uitgaand verkeer biedt al veel bescherming, maar niet alle bedreigingen zijn daarmee getackeld. Den Otter vertelt over de Threat Emulation Blade, die Check Point een half jaar geleden introduceerde. “Daarmee kunnen we zero-day kwetsbaarheden detecteren en aan de gateway stoppen. Iedere binnenkomende executable, Office document of pdf wordt standaard door de antivirusengine gescand. Maar als een geïnfecteerd bestand nog geen signature heeft, gaan er geen alarmbellen rinkelen. Onze Threat Emulation Blade pakt dat bestand op en voert het uit in een geïsoleerde omgeving. Bij een pdf mag er niets anders gebeuren dan dat het na opening wordt gepresenteerd aan de gebruiker. Is het geïnfecteerd dan zal het hele andere dingen gaan doen. Het schrijft bijvoorbeeld direct na opening een klein bestandje weg; er worden registry keys gegenereerd; services als de antivirusengine worden gestopt; er wordt netwerkverkeer gegenereerd. Het gedrag in die geïsoleerde omgeving wordt geanalyseerd en als het een van deze handelingen doet, of allemaal, dan weet je zeker dat het mis is. Een analyserapport geeft helder aan welk bestand om welke redenen is tegengehouden.”
Tweeledige functionaliteit
Het hele multi-layer concept werkt goed doordat de verschillende technologieën van Check Point op elkaar inhaken. “Een organisatie kan ervoor kiezen om de bevindingen van onze oplossingen via de cloud te delen met andere gebruikers, zodat ook zij daar profijt van kunnen hebben,” aldus Den Otter. “Wanneer als er zo’n geïnfecteerde pdf wordt gedetecteerd, dan wordt daar een vingerafdruk over berekend, een zogeheten hash. Die wordt opgenomen in een database van ‘known infected files’, waar vervolgens ons antivirus blade gebruik van kan maken. De functie wordt dan tweeledig. De antivirusengine detecteert maar emuleert geen nieuwe signatures. De Threat Emulation kan dat wel en kan daarmee een organisatie die nog geen emulatieoplossing heeft draaien ook van dienst zijn.”
Mobility & BYOD
De vraag die beveiligers nog altijd kopzorgen oplevert is: hoe ga je om met bedrijfsdata op een privé-device van een werknemer? De belofte van die werknemers dat zij er verantwoord mee zullen omgaan, volstaat niet. Den Otter noemt als voorbeeld dat hij zijn dochter zijn iPhone wel eens geeft, als zij zich verveelt wanneer het gezin naar een restaurant gaat. “Zij kan dan, onbedoeld, mijn e-mailapplicatie openen, terwijl ik met mijn vrouw aan het praten ben. Het is niet ondenkbaar dat er dan informatie terechtkomt bij iemand met kwade intenties. Ons advies luidt: laat het device zelf ongemoeid. Op basis van centrale policy reserveren wij, middels onze app Mobile Enterprise Client, een klein gedeelte op dat device. Dat schermen we af en binnen die container bevindt zich de company data. De app is alleen bereikbaar met een extra authenticatieslag in de vorm van een wachtwoord. Het zorgt voor veilige communicatie met het klantnetwerk op basis van een VPN. Alle data binnen die geïsoleerde is bovendien encrypted en de container kan op afstand worden gewiped. Dus mijn dochter kan mijn hele iPhone gebruiken, maar in het zakelijke gedeelte kan ze niet komen.”
Volgens Den Otter zouden alle technologieën inzetbaar moeten zijn. “Om organisaties een tool te geven waarmee ze hun eigen security kunnen definiëren, hebben we software defined protection ontwikkeld. Dat is een merkonafhankelijke blauwdruk, waarin we aangeven hoe klanten het beste met hun infrastructuur kunnen omgaan. Want om de cybercriminelen een stap voor te blijven, moeten we naast tools en technologie ook aandacht besteden aan de filosofie en strategie van security.”
