Page Comparison

...

Maak de dreiging zo goed als onmogelijk of in elk geval aanvaardbaar. In extremis zou men de verbindingen met de buitenwereld verbreken en de deur dichtmetselen. Maar dan zijn er ook geen zakelijke processen meer mogelijk, dit is dus onuitvoerbaar. Er zijn ook uitvoerbare maatregelen. Het in een kluis leggen van gevoelige informatie bijvoorbeeld valt onder preventieve maatregelen. Het maken van een back-up is een ander voorbeeld van een preventieve maatregel; hiermee wordt immers voorkomen dat data geheel verloren gaat mocht een bedreiging zich manifesteren. In het kader van minimale maatregelen voor netwerkbeveiliging, onderscheiden we volgende preventieve maatregelen:

• Netwerksegmentatie (zie hoofdstuk ‘ ‘Netwerkzonering als maatregel’);
• Transportbeveiliging (zie hoofdstuk: ‘Transportbeveiliging als maatregel’);
• Intrusion prevention (IPS) (zie hoofdstuk: ‘‘Intrusion prevention-systemen (IPS)’);
• SSL-inspectie (zie hoofdstuk: ‘SSL-inspectie als maatregel');
• Content/ URL-filters (URL/ URI, binary-filters zoals exe-bestanden en versleutelde zip-bestanden)(zie hoofdstuk: ‘Content/URL filtering als maatregel’);
• High-availability als maatregel (zie hoofdstuk: ‘high-availability’); en
• Scheiding van functies.

...

Als de onmiddellijke gevolgen van een bedreiging niet te groot zijn of er is tijd om gevolgschade te beperken, dan is detectie een goede maatregel. Dit houdt bijvoorbeeld in dat een incident zo snel mogelijk wordt gedetecteerd en dat de betrokkenen daarvan op de hoogte worden gebracht. Een bijkomend voordeel is het ontradingseffect: de mededeling dat al het internetgebruik wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid is een belangrijk aspect in detectie en speelt een steeds grotere rol in ICT-beheer (‘informatie- en communicatietechnologie’).

In het kader van minimale maatregelen voor netwerkbeveiliging, onderscheiden we volgende detectiemaatregelen:

• Logging (zie hoofdstuk ‘Logging als maatregel’)
• Intrusion detection (IDS) (zie hoofdstuk: ‘Intrusion detection als maatregel')
• SSL-inspectie (zie hoofdstuk: ‘SSL-inspectie als maatregel')

...

• Notificaties naar incidentbeheer (zie document: Vo informatieclassificatie – minimale maatregelen – incident beheer);
• Content/URL-filters (URL/URI, binary-filters zoals exe bestanden en versleutelde zip bestanden) (zie hoofdstuk: ‘Content/URL filtering als maatregel’);
• Geautomatiseerde tegenmaatregelen; en
• Corrigerende maatregelen op een sessie.

...

Netwerken maken lokale en wereldwijde connectiviteit mogelijk tussen (ICT-)apparatuur. Netwerken zijn meestal opgebouwd uit functionele zones, waarbij systemen logisch met elkaar gekoppeld zijn op een zone. Netwerkzonering is dus het opsplitsen van een netwerk in logische of fysieke gescheiden zones. Dit kan helpen bij het voldoen aan geldende wet- en regelgeving, informatiebeveiligingsbeleid, beperking van risico’s en vereenvoudigen van toezicht.

...

Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. Bij logische scheiding wordt gebruik gemaakt van technieken zoals VLAN (Virtual Local Area Network), ACL (Access Control Lists), NAC (Network Access Control) en NGFW (Next Generation firewalls).
Onderstaande figuur schetst de belangrijkste netwerkzones binnen een organisatie. 

...

Waar vroeger een netwerkarchitectuur geïmplementeerd werd binnen de muren van de organisatie,  vervagen deze fysieke grenzen meer en meer door de toepassing van virtualisatie en het gebruik van clouddiensten. Fysieke bescherming en afscherming van een perimeter wordt op deze manier moeilijker omdat ook de fysieke grenzen verdwijnen.
In de meeste netwerkarchitecturen vindt men een combinatie van volgende zones:

• DMZ: deze zone vormt een buffer tussen de organisatie en de buitenwereld;
• Gebruikerszone: in deze zone bevindt zich de gebruikersapparatuur, d.w.z. dit is de enige zone waarin gebruikers interageren met ICT-apparatuur;
• Datazone: deze zone bevat alle ICT-apparatuur nodig voor gebruikerstoepassingen; en
• IoT-zone (Internet of Things): zone voor koppelen van intelligente apparatuur zoals printers, camera’s, sensoren, …

...

Dit domein is een neutraal gebied tussen de buitenwereld en de organisatie en fungeert voornamelijk als doorgeefluik. De buitenkant van een DMZ (demilitarized zone) wordt gevormd door een grensbescherming met filterfuncties, zoals NAT (Network Address Translation) en/of network based firewall. De DMZ omvat één of meer mechanismen voor filtering van protocollen en ongewenste communicatie, afhandelen van malware, functies voor ontkoppeling (proxy), voor protocoltransformatie, misleiding van hackers en monitoring. Als de grensbescherming aan de buitenkant wordt gebroken, dan kan een hacker toegang krijgen tot de data binnen de DMZ. De filterende mechanismen en de grensbescherming tussen DMZ en de organisatie moeten voorkomen dat hackers vanuit de DMZ door kunnen gaan naar interne zones. De DMZ bevat in veel gevallen ook webservers, die publiek toegankelijke organisatiegegevens bevatten. Dit zijn zowel informatieverstrekkende webservers opgesteld als webservers die transacties van gebruikers kunnen doorzetten naar de achterliggende, interne omgeving. Vanuit de externe omgeving gerekend fungeert de DMZ als doorgeefluik waar klantinformatie wordt verwerkt tot organisatie-informatie en omgekeerd. Een DMZ kan in een eigen datacenter opgezet worden, of hosted bij een provider of in een publieke cloud.

...

Deze zone bevat zowel ondersteunende systemen als systemen voor het operationeel verwerken van systemen en de gebruikersapparatuur (bv. laptop, desktop, …). Hier werken toepassingen voor de normale bedrijfsvoering van de organisatie. Deze zone is een hoog-risicozone omwille van de grote aantallen aansluitingen, de directe toegang op de toestellen door gebruikers en de relatief grote kwetsbaarheid voor inbreuk. De controle op naleving van beveiligingsrichtlijnen in de gebruikerszone is doorgaans beperkt. Gebruikers kunnen potentieel overal zijn: op kantoor, werken van thuis uit of vanuit elke omgeving die één of andere vorm van door de organisatie toegelaten connectiviteit aanbiedt. 

...

Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerkverbinding. 

Een beheerszone kan opgezet worden op netwerkniveau door bv. Out-of-Band (OoB), maar ook via andere maatregelen zoals centralisatie van beheers tools, sterke authenticatie op beheers tools, enz. Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet.

...

Omdat er in zo’n datacenter typisch grote hoeveelheden data verwerkt wordt, bestaat het netwerk vaak uit complexe, ontdubbelde en snelle netwerkverbindingen. Redundantie is belangrijk omdat men moet kunnen garanderen dat de servers geplaatst in een datacenter beschikbaar zijn volgens de specificaties van de SLA (Service Level Agreement).

...

Hoewel draadloze netwerken aan een niet te stuiten opmars bezig zijn, vindt men nog steeds veel bekabelde netwerken, bijvoorbeeld in de kantooromgeving en in datacenters. Om fysieke inbreuk zoals interceptie en beschadiging, illegale verbindingen of wijzigingen in de netwerktopologie te voorkomen, is het dan ook belangrijk om de nodige fysieke controlemaatregelen te nemen. Hiertoehoren de fysieke afscheiding van hoofdkabels door middel van kabelgoten of mantelbuizen, een doordacht bekabelingsschema waarbij de kabels zo min mogelijk door openbare ruimten lopen, het gebruik van afsluitbare patch-kasten en het toezicht op het gebruik van de sleutels ervan. Beveiliging van het bekabeld netwerk houdt ook in dat enkel geautoriseerde netwerkverbindingen mogen opgezet worden, bijvoorbeeld door toegang tot de patch-kasten te beperken tot geautoriseerd personeel of door machine-authenticatie toe te passen zie hoofdstuk ‘machine-authenticatie als maatregel' (in document Vo Informatieclassificatie – Minimale maatregelen - ICT-systemen).

WiFi

Inbreukgevoeligheid is één van de belangrijkste bedreigingen van draadloze lokale netwerken. Naast de implementatie van beveiligde netwerkprotocollen zoals WPA 2, moet de nodige aandacht besteed worden aan beveiliging tegen de inherente risico’s van het mobiele apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie (zie hiervoor ook het document ‘Vo Informatieclassificatie – Minimale maatregelen – Cryptografie’)  en het up-to-date houden van OS (operating systems) door regelmatige installatie van patches. 

Er kunnen ook fysieke maatregelen genomen worden om afluisteren zo veel mogelijk te voorkomen, namelijk door het netwerk zodanig in te delen dat er zo weinig mogelijk straling buiten de fysiek beveiligde zone van een organisatie terecht komt. Richtantennes en ontwerp-tools voor de fysieke netwerktopologie helpen daarbij. Zo’n zone kan ook gesitueerd worden in een bepaalde ruimte in een gebouw. Met behulp van speciale beheers-tools is het stralingsdiagram van wifi-netwerken nauwkeurig vast te stellen. De beschikbaarheid wordt gegarandeerd door te zorgen dat er geen dode plekken in het stralingsdiagram van wifi-netwerken voorkomen en dat het netwerk qua nuttige bandbreedte geografisch zo goed mogelijk is afgestemd op het gebruik binnen de organisatie.

...

Omdat de radiosignalen kunnen worden opgevangen door alle ontvangers die zich in de buurt van de bluetooth-apparaten bevinden, wordt bluetooth beveiligd door middel van authenticatie en encryptie. Authenticatie vindt plaats met behulp van een geheime sleutel, die zich op beide apparaten moet bevinden. Na authenticatie is het mogelijk om de verbinding te versleutelen. Als het bluetooth-apparaat niet voldoende beveiligd wordt, kan illegaal informatie verzonden worden naar het apparaat. Het ongevraagd en dus illegaal lezen van de documenten via bluetooth is ook mogelijk. Verder kan een apparaat onbruikbaar worden gemaakt door middel van DoS-aanvallen.

3.3.3.3. Transportbeveiliging als maatregel

...

Wanneer data een omgeving verlaat, en dus in beweging komt (DIM: Data in Motion), moet ze evenzeer beveiligd worden. Een veel gebruikte methode is VPN (Virtual Private Network). VPN is een verzameling van technieken waarvan sommigen werken met het versleutelen van de gegevens, waardoor alleen de ontvangers die beschikken over de juiste sleutel de inhoud van het bericht kunnen lezen. Er wordt gebruik gemaakt van een proces dat tunneling wordt genoemd.

...

• PPTP: PPTP staat voor point-to-point protocol. Het is een manier om informatie te versturen waarbij de inhoud van de VPN-tunnel niet wordt versleuteld. PPTP zit standaard bijvoorbeeld in Windows ingebouwd. Er is dus slechts beperkte beveiliging mogelijk. Dit betekent dat voor het beveiligen van de gegevensstroom extra maatregelen buiten VPN om nodig zijn.
• L2TP: L2TP staat voor layer 2 tunneling protocol. De voor- en nadelen zijn te vergelijken met PPTP.
• IPsec: IPsec (Internet Protocol Security) is een standaard voor het beveiligen van IP door middel van encryptie (Encapsulating Security Payload of ESP) en/of authenticatie (Authentication Header of AH) van de IP-pakketten. ESP IPsec is volgens velen de "echte" vorm van VPN, omdat het de tunneling combineert met een bepaalde vorm van encryptie. Om gebruik te kunnen maken van deze techniek moet speciale software aanwezig zijn. AES 256 wordt aanzien als de beste standaard. AH IPsec voorziet enkel in authenticatie van de IP-pakketten maar maakt geen versleutelde verbinding.
• SSL VPN: SSL VPN (Secure Sockets Layer Virtual Private Network) is een web gebaseerde technologie die het mogelijk maakt om een beveiligde verbinding te maken met een netwerk. Deze techniek maakt gebruik van de mogelijkheden die standaard in de meeste browsers is ingebouwd. De beveiliging gebeurt enerzijds door de authenticatie op gebruikersniveau en anderzijds doordat de data die verstuurd en ontvangen wordt, geëncrypteerd is.
• MPLS VPN: MPLS (MultiProtocol Label Switching) is een netwerktechnologie dat transport van data of WANs (Wide Area Networks) verzorgt. Het wordt dan ook veel gebruikt in datacenters van dienstenleveranciers. Bij MPLS wordt vanaf het begin een route bepaald. Een klein label aan het pakketje beschrijft de route die het door het netwerk af moet leggen. Het idee is altijd de snelste route te nemen. Routers hoeven alleen maar naar het label te kijken en niet zelf een afweging te maken. MPLS kan met ieder protocol overweg en is geschikt voor veilige VPN-verbindingen omdat het voor aanvallers lastiger is het eindpunt (endpoint) te bereiken. Het voorziet echter geen mogelijkheid tot versleuteling (vertrouwelijkheid/integriteit).

...

3.3.3.3.2. Link met cryptografie als maatregel

Document ‘Vo Informatieclassificatie – Minimale maatregelen – Cryptografie’’ beschrijft de kwaliteitseisen waaraan encryptie en sleutelbeheer als bouwstenen van de minimale cryptografische maatregelen moeten voldoen.
VPN maakt gebruik van cryptografische technieken en sluit dus aan bij deze maatregel.

...

Een netwerk-gebaseerd IDS plaatst men over het algemeen niet inline maar out-of-band. Bij out-of-band plaatsing neemt het IDS geen actieve rol in het netwerk in, maar verkrijgt het een kopie van de datastromen. Bij inline-plaatsing staat de IDS in het netwerk pad en verwerkt de actieve data. Een voordeel van een inline geplaatst netwerk-gebaseerd IPS is dat het nooit datastromen zal missen. Immers, alle datastromen moeten hierbij door het systeem heen gaan. Bij out-of-band-plaatsing bestaat altijd de kans dat trafiek wordt gemist. Dit gebeurt bijvoorbeeld op het moment dat de belasting op een switch of router te hoog wordt en de switch/router daardoor niet alle trafiek meer kopieert naar de IDS.

...

SSL-/ TLS-inspectie (Secure Sockets Layer/Transport Layer Security inspectie) is een techniek die al lang bestaat maar die men steeds vaker implementeert. Het internetverkeer gaat via een firewall, een website of internetapplicatie. Voorheen gingen deze datastromen over een niet-versleutelde HTTP-verbinding en was dus eenvoudig te controleren en tegen te houden in geval van ongewenste inhoud (bv. malware). Tegenwoordig is een versleutelde HTTPS-verbinding eerder de norm dan uitzondering. Aangezien HTTPS-datastromen versleuteld zijn, is het moeilijk om malware in dit verkeer te detecteren en is er geen controle mogelijk op de informatie die verzonden wordt naar een derde partij. SSL-inspectie biedt hierop een antwoord.

SSL-inspectie is geen alleenstaande maatregel maar dient ter ondersteuning van maatregelen zoals antimalware, IDS en IPS.

De toepassing van SSL-inspectie als mitigerende maatregel hangt onder meer af van de klasse van informatie; sommige informatie wenst men niet aan SSL-inspectie te onderwerpen omdat het risico op niet-geautoriseerde toegang door middel van de SSL-inspectie te groot is.

...

Om SSL-inspectie te kunnen toepassen is er een zogenaamde Man in the Middle nodig. Deze Man in the Middle is vaak een proxy server die de versleutelde datastromen opvangt en ontcijfert zodat de inhoud kan worden geanalyseerd. Vervolgens gaat het gecontroleerde verkeer verder naar de bestemmeling. Om dit zonder SSL-foutmeldingen op de gebruikersapparatuur te realiseren in geval van uitgaande datastromen, is er een interne certificate authority (CA) nodig met een eigen rootcertificaat. Vaak zit deze functionaliteit in de firewall zelf. Het rootcertificaat moet op de betrokken apparatuur geïnstalleerd worden.

...

Logging is het verzamelen en beoordelen van systeemdata en waarschuwingen van – in de context van dit document – netwerkinfrastructuur. SNMP (Simple Network Management Protocol) wordt hiervoor vaak ingezet. SNMP is een protocol voor het bewaken en aansturen van apparatuur in een netwerk.

...

Naast SNMP wordt ook vaak met syslogs gewerkt. Syslog is een standaard client-/server-protocol voor het loggen van berichten. Het wordt ondersteund door een groot aantal architectuurcomponenten en platformen. De syslog van de client stuurt kleine tekstberichten van gebeurtenissen naar de syslogontvanger (syslog daemon of syslog server). Transport van deze tekstberichten kan bovendien beveiligd worden door gebruik te maken van SSL. De verzamelde logmeldingen kunnen eenvoudig centraal opgeslagen worden en gekoppeld aan alarmering functionaliteit (bv. via SMS of e-mail) of doorgestuurd naar een SIEM-oplossing.
Meer details over het opzetten van logging en SIEM (Security Information and Event Management) is beschreven in het document ‘Vo Informatieclassificatie – minimale maatregelen – veiligheidslogging en monitoring’.

3.3.3.9. High availability als maatregel

...

Natuurlijk zijn hiervoor andere producten nodig dan voor de beveiliging van fysieke machines, maar de principes en de logische architectuur zijn dezelfde. Bij virtuele machines moet echter wel rekening gehouden worden met een extra component: de hypervisor. Deze dient om de virtuele laag te creëren en beheren. Aangezien deze hypervisor dient om deze virtuele wereld in te richten en te beheren, is het duidelijk dat deze goed beveiligd moet zijn. Immers, indien een aanvaller toegang krijgt tot de hypervisor, krijgt deze toegang tot alle onderliggende VMs. Beveiliging van de hypervisor houdt volgende goede praktijken in:

• Inrichten van (security) monitoring – koppelen aan SIEM;
• Hardening van de hypervisor (schakel onnodige services en eigenschappen uit);
• Toepassen van PAM – beheer van geprivilegieerde accounts;
• Fysieke en logische toegangsbeveiliging toepassen; en
• Goed ingerichte processen voor beheer: patch management, wijzigingsbeheer, incidentbeheer, enz.

...

Het mag duidelijk zijn dat de organisatie voldoende maatregelen moet nemen in haar informatiebeveiliging om de vertrouwelijkheid, integriteit en beschikbaarheid van haar data veilig te stellen. Wanneer het gaat over data in de cloud, speelt nog een vierde factor mee: betrouwbaarheid.

...

Op zich zijn de maatregelen voor de cloud en voor virtuele netwerken niet anders dan voor ‘in huis’- /fysieke oplossingen, dat wil zeggen de maatregelen die eerder in dit document beschreven werden,
zijn ook hier van toepassing. Maar we leggen een aantal accenten. Specifiek voor vertrouwelijkheid houdt dit het volgende in:

• Netwerkzonering dringt zich sterk op, met name om de scheiding met andere klanten van de cloud provider mogelijk te maken;
• Toegangscontrole is belangrijk: er moet immers worden gewaarborgd dat alleen de afnemer en diens gemachtigde gebruikers technisch toegang hebben tot de data;
• Controle op gebruik van geprivilegieerde rechten: even belangrijk is de beperking van en controle op het beheer van de (virtuele) omgeving, hiervoor zijn immers vaak geprivilegieerde accounts nodig;
• Controle op de werking van de toegangscontrole via logging: om de technische controle van de werking van deze maatregel, is logging nodig. Met behulp van logging kunnen alle handelingen die gebeuren op de data bijgehouden worden; en
• Cryptografische beveiliging – beheer van encryptiesleutels: vaak wordt encryptie aangeboden door de cloud provider en kan men versleutelen van data in de cloud als dienst afnemen. Nadelig is het feit dat de encryptiesleutels dan in het bezit zijn van de cloud provider. Daardoor bestaat de kans dat de cloud provider gedwongen kan worden om de sleutels af te staan (bv. door de overheid), waarmee de vertrouwelijkheid van de data geschonden kan worden. Met name heerst de bezorgdheid dat buitenlandse overheden inzage zouden krijgen in de data. Door de encryptiesleutels in eigen beheer of in beheer van een vertrouwde partij te leggen, kan men dit risico mitigeren. 

...

• Certificeringen: er bestaan heel wat internationaal erkende certificeringen, ISO27001 is een wijd gebruikte norm waartegen een cloud provider zich kan laten certificeren. Een belangrijk aandachtspunt is de scope van het certificaat. Een cloud provider kiest namelijk zelf welke dienst of onderdeel van een dienst hij wil laten certificeren. Daardoor bestaat het risico dat bepaalde diensten niet zijn gecontroleerd en niet voldoen, terwijl de aanwezigheid van een certificaat misschien wel die indruk wekt;
• Auditeerbaarheid van de cloud provider: het (laten) uitvoeren van audits door de afnemer  verhoogt de controleerbaarheid en dus ook de betrouwbaarheid van de cloud provider. Het recht op audits moet dan wel contractueel vastgelegd zijn;
• Het opzetten van logging en periodiek analyseren van de loginformatie verhoogt eveneens de controleerbaarheid van de cloud provider;
• Exit-procedure: door de data en hun ondersteunende infrastructuur bij een cloud provider te plaatsen, wordt de afnemer afhankelijk van het voortbestaan van de dienstverlening. Een degelijke exit-procedure is dan ook belangrijk én deze moet contractueel afdwingbaar zijn;
• Onafhankelijkheid van de cloud provider: door de data en hun ondersteunende infrastructuur bij een cloud provider te plaatsen, wordt de afnemer afhankelijk van het voortbestaan van de provider zelf. Een faillissement van de cloud provider kan de afnemer voor grote problemen stellen. Hiertegen kan de afnemer zich wapenen door back-ups te bewaren bij een andere partij dan de cloud provider; en Tenslotte kan de afnemer zich enigszins wapenen tegen inzage door buitenlandse autoriteiten door enerzijds niet te kiezen voor een cloud provider zonder vestiging in de EU en anderzijds door cryptografische beveiliging van de data in de cloud waarbij het sleutelbeheer niet in handen is van de cloud provider.