Van oudsher besteden veel bedrijven aandacht aan grensbeveiliging - perimeter defense - waarmee het netwerk voornamelijk aan de buitenkant wordt beveiligd. Het netwerk is echter te vergelijken met een soort snoepje: de buitenkant is hard, maar de binnenkant zacht (candy security). Als een aanval eenmaal door die harde laag heen is, zijn alle delen van het netwerk eenvoudig bereikbaar. Vaak zijn organisaties en hun medewerkers slecht op de hoogte van deze gevaren. Ze denken dat het netwerk prima is beveiligd, maar in werkelijkheid blijkt de beveiliging vol gaten te zitten. Er is een verschuiving waarneembaar in de manier waarop netwerken aangevallen worden. Vroeger vonden crackers het 'leuk' om een harde schrijf te formatteren of om grote hoeveelheden e-mail te versturen, nu gaat het om het stelen van informatie. Crackers maken steeds meer gebruik van fouten in applicaties en proberen op basis daarvan het netwerk binnen te dringen. Ook virussen worden steeds intelligenter en maken gebruik van applicatiefouten. Zij komen nu via de netwerklaag binnen in plaats van via e-mail. Als een aanvaller het netwerk eenmaal is binnengedrongen, staat alle informatie die daar is opgeslagen tot zijn beschikking. Om deze risico's zoveel mogelijk te beperken is meer beveiliging aan de binnenkant van het netwerk noodzakelijk. De grootste gevaren en risico's op een rij:

Wan (wide area network)

Bij veel organisaties worden vestigingen met elkaar verbonden via publieke netwerken. Bij onvoldoende beveiliging dreigt het gevaar van het olievlekeffect: een virus komt op één plek binnen en verspreidt zich vervolgens over het hele netwerk. Bij organisaties met meerdere vestigingen raken op die manier alle vestigingen besmet. In de meeste gevallen worden wan's als managed service afgenomen bij providers. De providers hebben de routers in beheer, waardoor de afnemer vaak geen idee heeft of en welke beveiligingsmethodes er gebruikt worden. Advies Vraag uw provider hoe de beveiliging is geregeld en hoe er gereageerd wordt op incidenten, zoals netwerkvirussen. Zorg dat het wan achter een firewall staat en gebruik een vpn-sessie als er gevoelige informatie over het netwerk verstuurd wordt.

Wlan (wireless lan)

Bij veel bedrijven is de keuze voor draadloos snel gemaakt, maar wat men zich vaak niet realiseert is dat het radiosignaal van een draadloos netwerk door iedereen kan worden opgevangen. Draadloze technieken brengen risico's met zich mee; een buitenstaander kan eenvoudig het netwerk binnendringen en informatie van het bedrijfsnetwerk kopiëren zonder dat u het merkt. Advies Beveiliging van het wlan begint met authenticatie, bij voorkeur met sterke wachtwoorden of het gebruik van certificaten en encryptie van het radiosignaal. Door een firewall kan een wlan worden gescheiden van het normale netwerk. Voor nog meer veiligheid kan men gebruik maken van vpn-technieken.

Patches

Niet alleen voor bedrijven met meerdere vestigingen dreigt er gevaar, ook bedrijven met één vestiging lopen risico's. Een bedrijf met een productieomgeving heeft te maken met machines (pc's of servers) in het netwerk die 24 uur per dag het primaire proces moeten aansturen. Bij constatering van een beveiligingslek kan er niet bijtijds een patch worden geïnstalleerd, waardoor de kans op problemen toeneemt. Advies Streef naar afscherming van het productienetwerk en servers. Beveilig de systemen met intrusiuon prevention software of maak gebruik van netwerkvirusscanners.

De remote werkplek

Steeds vaker wordt er toegang tot het netwerk gevraagd voor medewerkers die onderweg zijn of thuis werken. Daarnaast kunnen steeds meer klanten en partners toegang tot het netwerk krijgen. De remote werkplek is een complex component in het geheel. Steeds meer mobiele werkers zijn in het bezit van mobiele devices zoals pda's en notebooks. Het gevaar is dat deze systemen met zowel het thuisnetwerk als met het bedrijfsnetwerk in contact komen. Als de thuiswerkplek geïnfecteerd is, komen virussen via de pda of het notebook ook op het bedrijfsnetwerk terecht. Advies De beveiliging stopt niet langer aan de (virtuele) toegangspoort. Een bedrijf dat zijn veiligheid ter harte neemt, moet maatregelen nemen om de nieuwe risico's die mobiele toepassingen met zich meebrengen aan te pakken. Zorg dat de beveiliging van de thuiswerkplek vergelijkbaar is met die van het bedrijf zelf.

Bluetooth

Bluetooth wordt gebruikt om apparaten die zich op relatief korte afstand van elkaar bevinden draadloos te kunnen koppelen. Heel handig, maar dat betekent wel dat informatie uit zulke apparaten, zoals telefoonboeken van mobiele telefoons, op honderd meter afstand gestolen kan worden. Advies Wees altijd bewust van de beveiligingsrisico's van Bluetooth-apparatuur en maak indien mogelijk gebruik van een softwarefirewall. Zet geen gevoelige informatie op Bluetooth-apparatuur als de beveiliging niet adequaat is.

Social engineering

Men spreekt van social engineering als medewerkers gemanipuleerd worden door mensen die zich voordoen als een ander persoon. Social engineering is niet (alleen) te voorkomen door het inzetten van technologie. Bij het beveiligen van een bedrijf kan men niet volstaan met firewalls, wachtwoorden en data-encryptie. Het binnendringen van een bedrijfsnetwerk is veel makkelijker te realiseren via social engineering dan met behulp van technologische snufjes. Advies Bedrijven moeten hun medewerkers serieus gaan opleiden en trainen om niet ten prooi te vallen aan crackers en andere criminelen. Door het organiseren van trainingen kan het personeel bewust worden gemaakt van de gevaren en handvatten worden aangereikt waarmee social engineering is te herkennen. Hiermee is al veel winst te behalen, aangezien een groot deel van de aanvallen op het bedrijfsnetwerk een direct gevolg is van het onvoorzichtig omspringen met authenticatiegegevens.

Overtuig het management

De meeste it-managers zijn goed op de hoogte van de interne gevaren van netwerkbeveiliging en weten precies wat er moet gebeuren om alle risico's te minimaliseren. De grootste uitdaging is echter om dit te vertalen naar het management en om hen te overtuigen van het nut van voorzorgsmaatregelen. Om een goede netwerkbeveiliging te realiseren is het veranderen van houding en gedrag van medewerkers op alle niveaus noodzakelijk - en dat begint bij de directie en het management. Het komt helaas te vaak voor dat een beveiligingsmanager te weinig bevoegdheden heeft of te weinig daadkracht heeft om daadwerkelijk zaken door te drukken. De directie moet overtuigd zijn van het nut van het invoeren van beveiligingsoplossingen. Elke bedreiging en de oplossing daarvan moet worden vertaald naar een kosten-batenanalyse. Hiermee wordt direct duidelijk wat de kosten of gederfde inkomsten zouden zijn als een beveiligingsprobleem niet aangepakt wordt. Pas als binnen alle niveaus van een organisatie bewust met beveiligingsproblemen wordt omgegaan is er draagvlak voor de oplossingen hiervan en zullen de benodigde investeringen eerder worden vrijgemaakt. Fokko Drenth,
securityspecialist bij Netlink Bron: Techworld