De opvallendste aankondiging op VMworld is waarschijnlijk die van AppDefense, VMware’s securityoplossing in de hypervisor. Het is naar eigen zeggen VMware’s antwoord op het kluwen van security-apps waarmee bedrijven moeten vechten om hun system min of meer veilig te houden. Het gaat om een whitelisting systeem: een overkoepelende policy, gebaseerd op een schone installatie van een server, geeft aan wat de verschillende applicaties in het bedrijfsnetwerk allemaal mogen uitspoken, en als een programma of onderdeeltje daarvan afwijkt, gaat er een alarmbelletje af. Ze gaat uit van de filosofie dat je toch nooit alles kunt tegenhouden. “Je gaat geen database van slechte executables tracken, ” zegt coo Customer Operations Sanjay Poonen daarover, “maar je laat alleen specifieke, gekende bewerkingen toe.” Wat VMware de ‘known good’ noemt.
Hoe werkt dat?
In securitytermen doet AppDefense aan gedragsanalyse. Als een bestand dat u net hebt gedownload gaat proberen iets aan de boot te veranderen, dan weet u dat ie dat niet moet doen.
AppDefence gaat voor elke virtuele machine de processen in het oog houden, gebaseerd op een ‘manifest’. “We volgen de werking van de machine voor een bepaalde periode en daar bouwen we het manifest op, ” legt Gilles Chekroun, lead NSX engineer SDDC Europe uit. “Dat is de ‘intended state’ of beoogde status van de virtuele machine. Alles wat daarvan afwijkt doet, kort door de bocht, een belletje afgaan. “We monitoren alle gedrag tegenover dat manifest. Stel dat iemand een nieuwe machine maakt zonder daar toestemming voor te hebben. Dan kunnen we binnen ESX zelf die machine weer gaan weghalen, of een alarm sturen. We kunnen hem misschien in quarantaine zetten of als ‘honeypot’ gebruiken om mogelijke aanvallers te lokken.” Bedoeling is uiteindelijk dat die actie uitgeplozen wordt en waar nodig, als ze toch mag, wordt toegevoegd aan het manifest.
Daarnaast zet AppDefense ook voor applicaties een systeem op van ‘least privilege’. Dat concept, dat voornamelijk in netwerken wordt gebruikt, geeft aan dat gebruikers en applicaties alleen die servers en diensten mogen aanspreken die ze nodig hebben.
Iedereen vriendjes
Die gedragsanalyse, het idee dat diensten en software geen handelingen mogen uitvoeren die we niet van hen verwachten, dat doet veel denken aan wat securitysoftware als Carbon Black en Palo Alto doen, en het valt dan ook op dat VMware ook met die verschillende beveiligingsfirma’s samenwerkt. Of dat niet een beetje in mekaars vlees snijdt, vroegen we aan Rajiv Ramaswami, COO Products en Cloud Services. “Wat we met AppDefense doen is een manier bieden om problemen te detecteren en policies door te drukken over het platform heen. De beveiligingsfirma’s waar we mee samenwerken moeten daar bovenop waarde toevoegen door bijvoorbeeld gedragsanalyse, of door AI of machine learning.” Hij geeft het voorbeeld van Wannacry. “Wij hebben dat getest, en het systeem detecteert dat. Maar da’s iets nieuws, AppDefense weet niet wat het daar vervolgens mee moet doen. Het staat niet op de whitelist. En daar komen die andere bedrijven op de proppen, ” vertelt hij. “Ik zie het niet als cannibalisering, ” voegt Sanjay Poonen, eraan toe. “Ik zie het eerder als een manier om hen krachtiger te maken. Omdat we vanuit VWware een directe link leggen naar die bedrijven.”
Fout opgemerkt of meer nieuws? Meld het hier