Van buiten en van binnen

Van buiten ziet het er goed uit, meneer?

Laatst kwam er een persoon langs om mijn huis te onderzoeken. Ik woon in het zuiden van Amsterdam, waar de boel dreigt te verzakken. Om te controleren of niet de gaten in de muren zouden vallen of dat er scheuren zitten op plekken die niet zo opvallen, leek me een deskundig advies geen slechte zaak.

Een paar weken later kreeg ik het eindrapport van het bedrijf dat het onderzoek had uitgevoerd. De technicus was langs geweest, had de kozijnen bekeken, was op het dak geklommen om te kijken of de dakpannen nog op hun plek lagen en had met een bot voorwerp op de muren geslagen. Het huis was blijven staan, dus alles was prima in orde!

Vreemde gang van zaken? Toch wordt er op het gebied van Internet security vaak op deze manier gewerkt. Er wordt een penetratietest uitgevoerd, waarbij er wordt gekeken of de meest voorkomende gaten gedicht zijn. Met de nodige tools wordt tegen de buitenkant van het netwerk en de systemen van de klant getikt om te proberen als een cracker of script-kiddie in te breken.

Alhoewel penetratietesten zeker hun nut kunnen hebben, is de reikwijdte op de veiligheid van het netwerk en de daarbij behorende systemen beperkt. Deze beperking is alleen op te heffen door ook de binnenkant te bekijken. De meeste aanvallen komen nog steeds van binnen de organisatie en daar helpt een firewall geen bit tegen. Hier moet een combinatie van het beveiligen en goed inrichten van de interne systemen, en het voorlichten van de werknemers toegepast worden.

Een goede beveiliging begint natuurlijk met het juist inrichten van de machines die aan het netwerk hangen. Met een aantal simpele principes is de security van de afzonderlijke machines al sterk te verbeteren: gebruik niet meer dan nodig is, ruim op, houd bij wat je hebt en welke kwetsbaarheden er openbaar worden. Maar goed voorlichten van werknemers is minstens zo belangrijk. Als mensen niet klakkeloos elk mailtje openklikken, kan er veel gewonnen worden. Ook moeten werknemers weten dat aan bepaalde acties, die het bedrijf kunnen beschadigen, bepaalde consequenties hangen.

Daarnaast kan een controle van buitenaf niet meten of de procedures intern werken en hoe de informatie behandeld wordt. Licht de personeelsafdeling de IT-afdeling wel in over een recent ontslag, zodat de login van die persoon weggegooid kan worden? Wordt er geen bedrijfskritische (financiële) data op tape gezet en naar de accountant gezonden? Is deze data wel beveiligd door middel van versleuteling?
Een goed voorbeeld hiervan troffen wij aan bij een bedrijf dat gegevens beschikbaar wilde stellen via het internet. Er werd ons gevraagd of we de server met de data konden beveiligen. In het eerste gesprek met deze klant kwam naar voren dat dezelfde data ook op cd's werd gezet. Wie bij dit proces de vertrouwelijke informatie kon en mocht inzien, daar was niet over nagedacht.

Een penetratietest is gelimiteerd in tijd. Het zegt of er in een beperkte tijdsspanne op een bepaald moment vanaf een bepaalde plek geen kwestbaarheden zijn gevonden. Niet of een organisatie is voorbereid op toekomstige ontwikkelingen op het gebied van veiligheid.
Een voorbeeld: met een firewall is het makkelijk te doen lijken dat het netwerk dicht zit vanaf een bepaalde lokatie. Blok gewoon al het verkeer dat van dat bepaalde ip adres komt. Zonder de regels die het verkeer door de firewall beperken in te zien, zal nooit een goede inschatting gemaakt kunnen worden of deze firewall echt dicht is. Ook is het zo dat een penetratie-test niet meer dan een aantal dagen geschoten kan worden. De dag nadat de test is afgelopen kan er een kwetsbaarheid gevonden worden, die tijdens de penetratie nog niet bekend was.

Het 'binnen kijken' heeft een aantal grote voordelen, die met een penetratie-test an sich niet behaald kunnen worden. Het grootste voordeel is het inzicht of een organisatie meerdere lagen van security heeft toegepast. Het toepassen van meerdere veiligheidslagen beperkt of voorkomt de schade die kan ontstaan als een security-laag het begeeft. Stel dat het inloggen op de firewall beperkt is tot de IP-adressen van de systeembeheerders. Dan is het niet direct een ramp als het inlogprogramma een fout bevat, waardoor bijvoorbeeld toegang door onbevoegden kan worden verkregen. Daarnaast kan er natuurlijk bekeken worden wat de zwakste schakels zijn, of er gebruikt wordt gemaakt van logische vernauwingen (plaatsen waar mensen doorheen moeten, zoals firewalls of login-schermen) en of er nagedacht is over bepaalde procedures. Onder dat laatste valt bijvoorbeeld het al eerder genoemde verwijderen van een login als iemand uit dienst is, maar ook de aanwezigheid van een recovery-plan. Wel is de opmerking te maken dat penetratietesten nuttig kunnen zijn als afsluiting van een totale audit. Als alles van binnen en buiten bekeken is, kan een penetratie-test de aangetroffen of verbeterde situatie bevestigen.

Concluderend kunnen we zeggen: zonder de binnenkant te zien krijg je nooit het hele plaatje. Je kan je niet instellen en voorbereiden op wat je niet te weet. Zonder de mogelijkheid om aan de binnenkant mee te kijken, zal je security nooit te vertrouwen zijn. De bouwtechnisch inspecteur zal ook de bouwtekeningen willen zien en de binnenkant van je stulpje willen bekijken. Je moet weten hoe de binnenmuren gestut zijn, voordat je iets kan zeggen over de totale conditie en daarmee de veiligheid van het huis.