Met Corelight in realtime hackers vanuit de cloud de baas
Beveiligen van digitale omgevingen begint met het inventariseren van die omgevingen. Welk component doet wat en wat kan daarmee gedaan worden. De Amerikaanse start-up Corelight begint bij zijn beveiligingsaanpak met het inzichtelijk maken van de digitale relaties in een netwerk, daarna komen de verkeersstromen en gebruikers in zicht. We spraken in San Francisco met de Corelight CEO Greg Bell (foto) over de mogelijkheden die hun oplossing heeft voor de beveiliging van digitale netwerken.
Corelight manifesteert zich als een intrusion detectiesysteem en pakket analyzer dat met behulp van deep packet inspection netwerken wil beveiligen tegen ongeoorloofd gebruik. Grote internetknooppunten behoren tot hun klanten. Belangrijk gegeven: het is compleet op cloud-technologie gebaseerd. De Corelight Cloud Sensor transformeert Amazon virtual private cloud-verkeer in gedetailleerde gegevens voor incidentresponse, inbraakdetectie, forensisch onderzoek en andere beveiligingstoepassingen.
De CEO is duidelijk over de impact van de deep packet inspection in het concept. “De packet analyse technologie is zeer belangrijk omdat het netwerk een onmisbare sleutel is voor een hacker. Daarnaast zorgt de SIEM (security information event manager) ervoor dat er een sluitend registratiesysteem van toegangsaanvragen en events is, een noodzaak bij gedegen forensisch onderzoek".
Open Source
Corelight heeft zijn oplossing gebouwd op een open source architectuur die algemeen bekend is onder de naam Zeek. Zeek is niet nieuw, het was voorheen bekend als Bro (een verwijzing naar Big Brother) en is in 1994 ontwikkeld door Vern Paxson, inmiddels een medewerker van Corelight. Zeek is beschikbaar voor verschillende architecturen, waaronder Linux, FreeBSD en Mac. Klanten van Corelight zijn naast enterprises ook de grote institutionele internet serviceproviders en universiteiten. De ondersteuning van dit open source project is nog steeds bijzonder degelijk te noemen.
De software is goed in verkeersanalyses en kan ook forensisch onderzoek doen waarbij inzichtelijk moet worden wat er met de data gebeurt, wanneer er mee gewerkt is en wie dat gedaan heeft. Hierdoor zijn snel de essentiële componenten en activiteiten in een datanetwerk te vinden. Dankzij een beschikbare scripttaal is maatwerk mogelijk. De Zeek logs kunnen geëxporteerd worden in uiteenlopende formaten waaronder Kafka, Splunk, Elastic Search, syslog, Amazon S3 en SFTP.
Om de hoge snelheden en transmissiecapaciteiten te bereiken die de klanten van Corelight nodig hebben, wordt gebruik gemaakt van dedicated hardware en chipsets. Hierdoor kan door slim systemen te combineren, voor een klant in de Verenigde Staten een snelheid van 700 Gbit/s gerealiseerd worden.
Door: Hans Steeman
