Redactie - 29 mei 2013

Ons afweersysteem in de digitale eeuw


In de middeleeuwen was onze verdediging gebaseerd op het bouwen van dikke muren, slotgrachten en stevige ophaalbruggen. Bij vermeend gevaar konden we ons van de buitenwereld afsluiten en veilig binnen die verdedigingslinie verder leven. Onze IT-verdediging is lange tijd ook zo geweest. We bouwden dikke firewalls en antivirus- en inbraakdetectie-oplossingen rond het eigen, veilige datacenter. Binnen was het veilig toeven, daarbuiten was de veiligheid niet gegarandeerd. Dat was een soort wildwest internet omgeving.

Maar nu willen we onze informatie steeds vaker buiten die muren creëren, gebruiken en toepassen. Maar wat moeten we dan met de vele bedreigingen die daar zijn? Sommige niet ernstig, maar anderen soms levensbedreigend. Meer en meer onderkennen we dat onze verdediging ‘buiten’ die oude stadsmuren volstrekt onvoldoende is.  We leven in een informatiewereld die wordt geteisterd door vele virussen, malware en hackers die het hebben gemunt op onze informatie en privacy of onze bedrijfsprocessen willen verstoren en platleggen. Kortom, als we gezond willen blijven ‘buiten’ die veilige stadsmuren, moeten we een ander soort verdediging ontwikkelen.

Het is altijd zinvol om in zo’n geval eens naar de natuur te kijken. Hoe heeft die dat probleem opgelost? Ook in ons dagelijks bestaan worden we omringd door virussen en bacteriën die ons het leven zuur willen maken. Ziektemakers die ons lichaam vaak succesvol binnendringen. En mogelijk zelfs willen parasiteren in ons gezonde lijf.

Afweersysteem
Om dit probleem op te lossen heeft elk levend wezen een subtiel werkend afweersysteem gekregen. Continu komen er vreemde cellen ons lichaam binnen. Sommige leveren geen problemen op, of zijn zelfs welkom. Maar anderen moeten op kordate wijze worden geëlimineerd. Daartoe heeft ons lichaam een prachtig detectiesysteem ontwikkeld. Zodra een vreemd lichaam binnendringt, wordt onderzocht of het een vijand of een vriend is. Dat gaat soms fout, bij een pollen-allergie kan het lichaam ten onrechte een pol als fout benoemen en ook de afweerreactie starten. Echter normaal gesproken werkt die detectie feilloos. De goede cellen blijven ongemoeid. Maar een verkeerde cel wordt direct gemarkeerd als bedreigend en dan kan het afweersysteem gericht in werking komen.

Bij bacteriën bijvoorbeeld zullen witte bloedlichaampjes die gemarkeerde indringers herkennen, hen vervolgens inkapselen en de bacterie (en zichzelf!) door de productie van waterstofperoxide langzaam doden. Dat gaat vaak gepaard met een verhoogde temperatuur (koorts) om dat eliminatieproces te versnellen. Het lichaam doodt op die wijze alle ongewenste bacteriën en ruimt de restanten netjes op.

We kunnen dit voorbeeld doortrekken naar onze informatiewereld. Als we omringd zijn door virussen en malware-bacteriën dienen we een vergelijkbaar detectie- en vernietigingsysteem te bouwen. Herkennen wat voor soort object ons informatie systeem binnendringt en dit direct markeren als goed of slecht. Daarna kan een efficiënt vernietigingssysteem dat de gemarkeerde datasets effectief elimineren en afvoeren.

Nieuwe intelligentie
Gelukkig hebben we de laatste jaren de technieken ontwikkeld om bovenstaand proces ook daadwerkelijk in te richten. Er zijn er digitale detectiesystemen die elke abnormaliteit herkennen en kunnen kenmerken. Dit vraagt wel nieuwe intelligentie op het gebied van security. Wat is normaal verkeer en wat niet? Welke datasets zijn regulier en welke niet? Welk click-gedrag is normaal en welk niet?

Detectie vraagt een radarsysteem en patroonherkenning. Realtime scannen en identificeren. En in geval van een onbedoelde indringer, een juiste respons in gang zetten. Verhinderen dat data naar buiten wordt gebracht. Zorgen dat de indringer ingekapseld wordt en niet meer kan communiceren. En de infectie netjes en snel elimineren en opruimen.

Onze digitale infectiekans wordt steeds groter, nu we met BYOD- en cloud-toepassingen steeds meer in de openbare ruimte vertoeven. Een openbare ruimte vol met besmettingsgevaren. De zogenaamde ‘attack-surface’ is enorm toegenomen. En daar hoort een adequate verdediging bij. Zoals de natuur dat al miljoenen jaren doet. Het uitgangspunt moet dus zijn dat we alle bedreigingen onmogelijk kunnen afslaan. We worden continu aangevallen en besmet. Dat levert altijd enige abnormaliteiten op. Het is dus zaak die abnormaliteiten op tijd te herkennen en de indringers direct te signaleren en lokaliseren. Daarna moeten afweersystemen die besmette gebieden afsluiten en de actieve indringers elimineren.

Security is niet meer dan vroegtijdige detectie, snelle herkenning en adequate afweer. Dat vraagt gerichte technieken, zoals realtime netwerkscansystemen, slimme analytics om abnormaliteiten te herkennen en te duiden en tenslotte goede responsmechanismen. En natuurlijk een stevige quarantaine om ernstiger te voorkomen. Sinds we met smartphone, tablet en cloud computing steeds meer buiten de veilige muren van ons datacenter werken, leven we ook in een wereld vol besmettingsgevaar. We zijn dat in de biologische wereld al jaren gewend. Niemand wil ziek worden. Voorkomen – dus gezond leven – is beter dan genezen. Maar als het je overkomt, wil je zo snel mogelijk weer beter worden, ook al vraagt dat enkele dagen bedrust. Bij een digitale besmetting is dat eigenlijk niet anders. Eigenlijk een geruststellend gevoel.

Hans Timmerman, CTO EMC Nederland

 

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024