De steeds complexere informatie-infrastructuur en meer gehaaide aanvallen dwingen de security-industrie hun aanpak te herdenken. ‘Slimme’ security moet de klassieke aanpak aanvullen.

De klassieke ‘perimeter-security’ – de bouw van een hoge ‘muur’ rond het bedrijf om de booswichten buiten te houden – volstaat al lang niet meer, behoort elke cxo onderhand te weten. Op het recente RSA Europe event stond ‘intelligence based security’ dan ook voluit in de schijnwerpers.

KENNIS IS SECURITY

De nieuwe security-aanpak vereist heel wat meer inzicht in wat de normale werking – zeg maar de context – is van de informatie-omgeving in een bedrijf. “Als je weet wat normaal is, zie je sneller het abnormale, nog voor een aanval echt doorzet”, stelt Art Coviello, executive chairman van RSA, de security-divisie van EMC. Zo kan je aanvallen afslaan, zonder voorafgaandelijk over signatures of andere aanvalsinformatie te beschikken. “Vergelijk het met de wijkagent, die het dagelijks gebeuren in zijn buurt kent, en zo gebeurtenissen kan voorkomen.”

Daarbij is behoefte aan veel data, afkomstig uit alle onderdelen van de informatie-infrastructuur en zo granulair mogelijk. Voor Stephen Trilling, cto van Symantec, kan daarbij best alle informatie, over elke connectie aangegaan door een server of een eindpunt, tot en met alle info over elke e-mail worden verzameld, bij voorkeur zelfs van verschillende bedrijven samen (in het kader van een beheerde securitydienst in de cloud). Security-producten zijn nog te vaak als silo’s, en er moet meer informatie op grote schaal worden gecorreleerd. De huidige siem-producten (security information & event management) voldoen vaak niet, omdat hun ‘venster’ op het security-gebeuren te korte tijd beslaat, waardoor aanvallen ‘onzichtbaar’ zijn die meer verdoken en uitgesponnen in de tijd zijn. Met die informatie moet de nieuwe security-aanpak meer inzicht bieden, om vervolgens snel en behendig (agile) te reageren op anomalieën, bij voorkeur in schier reële tijd en eventueel met behulp van automatische scripts. Niet dat hiermee de mens als expert buiten spel wordt gezet, maar het moet helpen om snel de juiste acties te ondernemen. Alles moet tevens conform de nodige ‘governance’ regels, wetgeving en risico-inschatting verlopen. Uiteindelijk moet het security-systeem zich zo ook vlotter kunnen aanpassen aan nieuwe security-dreigingen. Zoals nu wel vaker, speelt ook hier ‘big data analytics’ een cruciale rol gekoppeld aan middelen om die informatie te visualiseren en de nodige prioriteiten te stellen. De kracht van de huidige systemen moet niet alleen een oplossing bieden voor de nodige snelheid en schaal, maar ook het probleem van ‘valse waarschuwingen’ (false positive, false negative) opvangen, ongeacht de ‘ruis’ in die data.

PRIVACY ALS STRUIKELBLOK?

Hoewel een en ander nog in de kinderschoenen staat, lijkt het wel zeker dat puur technologisch dit alles mogelijk zal zijn. Als het hele NSA-gebeuren ons iets heeft geleerd, is het wel dat informatiegaring en -analyse op zelfs bijzonder grote schaal mogelijk is.

Maar diezelfde NSA-hetse heeft evenzeer de bezorgdheid inzake privacy en het beschermen van informatie op de spits gedreven. Art Coviello onderkent privacy als een allicht serieuze complicatie, en stelt dat dit ietwat paradoxaal is. “Om de privacy van werknemers te beschermen, wordt hierdoor minder security geboden dan mogelijk is, hoewel die security die werknemers en hun privacy ten goede zou komen.” Meer nog, “anonimiteit is de vijand van privacy”, meent Coviello, want “misdadigers houden van anonimiteit zodat ze kunnen stelen wat ze willen zonder zelf gekend te zijn.”

Privacy en security “zijn twee polen van een zelfde magneet” en “mits goed gealigneerd vormen ze een stevige band.” Er moet een balans zijn, met sterke protocollen die een geoorloofd gebruik garanderen. Zodat door “vertrouwen in de digitale wereld, samenwerking met snelheid van de connectie mogelijk is,” aldus Amit Yoran, sr vp products bij RSA.

Guy Kindermans