Achtergrondartikel


Martin van Son en Bart Verhaar over...

IPAM: beheertool of forensische database?

Hackers gaan steeds geavanceerder te werk. Om illegale activiteiten op het netwerk snel op te sporen, is het belangrijk dat de beveiligingssystemen goed met elkaar communiceren. Volgens Martin van Son van Infoblox en Bart Verhaar van Motiv kan IPAM voor de benodigde ‘lijm’ zorgen.

IP Address Management (IPAM) is al jaren een stuk gereedschap in de toolbox van netwerkbeheerders. IPAM laat zien welke apparaten allemaal met het netwerk verbonden zijn. Die informatie krijgt de tool van oudsher van de DNS- en DHCP-services in het netwerk. “IPAM is ooit bedacht om het netwerkteam te voorzien van informatie en zo controle te bieden over de IP-adressen in het netwerk”, aldus Van Son, account executive bij Infoblox.

Het is de tak van sport waar zijn bedrijf groot mee is geworden. Met zijn DDI-producten – die DNS, DHCP en IPAM combineren – automatiseert Infoblox beheertaken en biedt het hulp bij het controleren van IP-adressen. Maar volgens Van Son en Verhaar wordt DDI ook een steeds belangrijker wapen in de strijd tegen cybercrime. Verhaar (foto boven), productmanager bij Motiv: “Zo wordt DNS een ‘first line of defense’ tegen malware. Neemt malware bijvoorbeeld contact op met een Command & Control-server, dan zie je dat als eerste op de DNS-laag en kun je het verkeer al vroeg blokkeren in de cyberkillchain.”

Rijke bron van informatie
Op het gebied van IPAM is volgens Van Son de afgelopen jaren veel veranderd. “IPAM-databases worden door steeds meer bronnen gevoed. Bijvoorbeeld het ecosysteem van routers, switches en securityoplossingen levert informatie, maar denk ook aan de cloud en aan threat intelligence waarmee de informatie verder wordt verrijkt. Daardoor wordt het zeer relevante informatie voor Security Operations Centers.”

Martin van Son, Infoblox

“IPAM biedt tegenwoordig een schat aan informatie”, vervolgt Van Son. “Het maakt inzichtelijk wie waar op het netwerk is geweest, wanneer, en wat een persoon daar heeft gedaan. Dit is belangrijke informatie voor bijvoorbeeld het forensisch onderzoek na een digitale inbraak. Maar ook securityoplossingen zoals vulnerabilityscanners maken gebruik van deze informatie. Stuit de scanner op een kwetsbaarheid, dan biedt IPAM snel inzicht in welke apparaten met dezelfde kwetsbaarheid allemaal aan het netwerk hangen.”

Meer securitymogelijkheden
Wordt IPAM een ‘forensische netwerkdatabase’? Volgens Verhaar begint het daar wel steeds meer op te lijken. “Zeker is dat IPAM op het gebied van security steeds meer mogelijkheden biedt”, aldus de productmanager van Motiv. Samen met de account executive van Infoblox geeft hij enkele voorbeelden:

1. Snelle detectie
“Realtime netwerkinformatie maakt een snelle detectie van dreigingen en een snelle reactie mogelijk”, legt Verhaar uit. “Nog altijd zie ik bedrijven die IP-adressen bijhouden in Excel-sheets en er na een ransomwareaanval drie dagen over doen om alle besmette systemen in kaart te brengen. Met geautomatiseerde IPAM-tooling heb je binnen een kwartier het overzicht.”

2. Vereenvoudiging van compliance
Wet- en regelgeving zoals de Algemene verordening gegevensbescherming (AVG) zorgt voor een behoorlijke beheerlast. Na een datalek wil de Autoriteit Persoonsgegevens bijvoorbeeld weten waar de gelekte data stonden en wie wanneer toegang heeft gehad tot de getroffen systemen. “Het is echt een challenge om dat allemaal handmatig te achterhalen”, aldus Van Son. “Met geautomatiseerde IPAM-tooling genereer je dat overzicht met een druk op de knop. De data voor research zijn direct beschikbaar.”

3. Betere integratie
“Nog te vaak hebben bedrijven een ‘lappendeken’ van losstaande beveiligingscomponenten”, zegt Van Son. Bijvoorbeeld de antimalware wisselt geen informatie uit met de firewall of de IDS. Als daardoor events niet met elkaar in verband worden gebracht, komen bedrijven aanvallen te laat op het spoor.”

“IPAM is de lijm die de informatie van de verschillende netwerk- en securitycomponenten bij elkaar brengt en weer beschikbaar stelt aan het ‘ecosysteem’ om er vervolgens geautomatiseerde acties aan te koppelen”, besluit Verhaar. “Alle partijen moeten goed met elkaar samen gaan werken om de beveiliging nog beter op orde krijgen.”


Lees meer over