Snelle bus en analyse tegen cybercrime

In de strijd tegen virussen, hackers en ander digitaal gespuis heeft Intel Security de volgende stap gezet: Threat Intelligence Exchange (TIE). Dit is het eerste product dat gebruik maakt van de Data Exchange Layer (DXL), eveneens een vinding van Intel Security. Bij elkaar, zo vertelt Radboud Beumer, directeur Benelux van het bedrijf, komt het neer op een razendsnelle messaging structuur (een bus) en centrale analyse van al het netwerkverkeer. De digitale wapenwedloop is nog in volle gang.

Vier jaar geleden heeft Intel de beveiligingsexpert McAfee overgenomen. Inmiddels is de oude naam aan het verdwijnen. Het pand op Schiphol-Rijk heeft Intel Security op de gevel staan. Het visitekaartje van Beumer meldt eveneens de nieuwe naam. Als we er niet op kunnen vertrouwen dat het digitale verkeer veilig af is te handelen, dan stort de hele computerindustrie in elkaar, moet Intel hebben beseft toen het bedrijf een bod deed op McAfee. “Voor Intel is beveiliging een bijzonder belangrijk aspect”, legt Beumer uit. Maar het gaat nog een stap verder, zegt de Benelux-directeur. “Uiteindelijk moet je de risicobeheersing zien in te bakken in de chips zelf. Voordat het besturingssysteem dan opstart, wordt eerst gecontroleerd of alles in orde is. Dan heb je snelheidswinst en een veel eenvoudiger beheer. We zijn al een aardig eind op weg om onze processoren intrinsiek veilig te maken.”
Maar nu gaat het gesprek over wat vandaag de dag beschikbaar is. Daarmee komen meteen DXL en TIE in beeld.

Te veel informatie

De digitale dreigingen (threat landscape) zijn in omvang toegenomen, maar ook in complexiteit. Black listing en white listing zijn niet meer afdoende om ongewenste bezoekers buiten te houden. Die oplossingen vergen namelijk veel onderhoud. Vorig jaar al, is overgestapt op analyses van het netwerkverkeer, op zoek naar afwijkend gedrag van softwarepakketjes. Dat is een doelmatigere methode om de gegevens te beveiligen.
In de afgelopen jaren hebben organisaties hun gegevens gelaagd beschermd: firewall, intrusion detection, intrusion prevention, anti-virus software. “Een beheerder moet dan de routers in de gaten houden, maar ook de switches, de desktops, alle mobiele apparatuur. Die genereren bij elkaar een berg aan gegevens over het netwerkverkeer. Dat is zo veel dat de beheerders het overzicht compleet kwijt zijn. Een aanvaller in het oog krijgen, komt dan neer op het zoeken naar een naald in de hooiberg. Er is gewoon te veel informatie.”

Snelle bus

Het is zinvol om die gegevens over het netwerkverkeer te kanaliseren naar een centraal verwerkingspunt. Hiervoor heeft Intel een snelle bus bedacht: de Data Exchange Layer. Te vergelijken met een enterprise service bus. De onderneming komt met een andere vergelijking: die van het menselijk zenuwstelsel. Dat is een electro-chemisch communicatienetwerk voor het aansturen van spieren, en het verwerken van zintuiglijke prikkels en emotionele en cognitieve processen.
DXL is de architectuur van Intel Securtiy die zorgt voor zich aanpassende beveiliging. Het is een real-time, in twee richtingen werkend communicatienetwerk dat informatieuitwisseling over cyberaanvallen en -dreigingen sneller en eenvoudiger maakt, zodat de verschillende beveiligingscomponenten binnen een bedrijfsnetwerk als één onderdeel opereren. TIE opereert binnen de DXL-architectuur en verzorgt de centrale opslag van externe, vendorspecifieke en door de organisatie opgedane kennis over cyber- en dreigingsinformatie. Hierdoor is het mogelijk om nog acurater en sneller te reageren op zero day dreigingen en aanvallen.

Handelen

“De snelle bus is de helft van het verhaal”, zegt Beumer, “want je moet natuurlijk ook in staat zijn om al die gegevens snel te analyseren en meteen te handelen als dat nodig blijkt. Uit onderzoek (Needle in a Datastack) blijkt dat het bedrijven gemiddeld 14 uur kost alvorens een datalek te ontdekken, waarbij slechts 14% in staat is binnen een paar minuten te ontdekken wat de bron van dit lek is en het snel te herstellen. Dan blijf je achter de feiten aanlopen. Er is intelligentie nodig om de analyses te doen en meteen te handelen. Dat hebben wij verwerkt in de Threat Intelligence Exchange. Een veilig gevoel krijg je alleen als de informatie snel wordt verzameld en er meteen een beoordeling plaats vindt met aansluitende actie, mocht dat nodig zijn. Je moet weten wat de impact is van een bepaalde bedreiging op de bedrijfsvoering om een passend antwoord te formuleren en navenant te handelen. Dat doen wij hiermee.”

Volledig open

Zoals bij alle producten heeft Intel ook TIE en DXL ontworpen met openheid als uitgangspunt. Een API volstaat om apparatuur van andere leveranciers naadloos te laten aansluiten op de busstructuur. De chipfabrikant werkte met meer dan honderd leveranciers samen bij de ontwikkeling van deze beveiligingsproducten. Deze aanpak heeft tevens de mogelijkheid dat resellers de producten als managed service onder eigen naam kunnen aanbieden aan hun klanten.
Bovendien is de oplossing volledig schaalbaar. Beumer zegt dat het geen enkel probleem is als er miljoenen endpoints tegelijk actief zijn in het netwerk. Tegelijkertijd is de invloed op de prestaties van het netwerk te verwaarlozen, zo verzekert Beumer.

Hij vertelt dat het bedrijf er alles aan doet om beveiliging tussen de oren te krijgen; niet alleen bij de IT-afdeling, maar ook bij het algemeen management. Het is een reis die we met z'n alle ondernemen. “We doen dat bijvoorbeeld met workshops; we hebben hier op het hoofdkantoor een war room gebouwd, zodat iedereen precies kan zien wat er gebeurt bij een aanval; en wat ertegen is te doen. Overigens gaat het allang niet meer alleen om de geautomatiseerde, administratieve systemen. Ook de Scada-systemen, die zorgen voor aansturing van industriële processen, zijn in toenemende mate slachtoffer. Bijvoorbeeld van mensen die losgeld eisen, of anders de verkeerslichten in een stad gaan ontregelen – ik noem maar iets. En wat denk je van het Internet of Things? Dat machines rechtstreeks met elkaar communiceren en handelen? Dan is beveiliging een absolute randvoorwaarde.”
En dat kan alleen als er een snelle bus is voor het berichtenverkeer en zoveel mogelijk geautomatiseerd de verkeersstromen analyseren en meteen handelen als daar aanleiding toe is.

Door: Teus Molenaar