Column


Column Bastiaan Schoonhoven

Kijk verder dan Data Leakage Prevention

Het wordt steeds lastiger om endpoints te beschermen, en dat geldt niet alleen voor de endpoints die zijn gebaseerd op de besturingssystemen van Microsoft of Google. Dat ook Apple-gebruikers niet veilig zijn voor wormen en andere vormen van malware, werd bijvoorbeeld vorig jaar wel duidelijk toen onderzoekers een verbeterde versie presenteerden van ThunderStrike, een worm die zich verspreidt via de hardware die wordt gekoppeld aan de Thunderbolt-interface. Doordat de worm zich diep nestelt in de firmware wordt deze niet snel opgemerkt door een antivirusprogramma en is deze bovendien lastig te verwijderen.

Het beschermen van die endpoints wordt nog lastiger als je niet de volledige controle hebt over de endpoints die door de eigen medewerkers of door externen worden gebruikt. Want in hoeverre kun je malware op endpoints detecteren als je maar een beperkt zicht hebt op wat er zich afspeelt op die endpoints?

Volg de data
Uiteraard zijn er wel een aantal stappen te nemen om te voorkomen dat besmette endpoints een bedreiging vormen voor je informatiebeveiliging. Een eerste en absoluut noodzakelijke stap is het toepassen van Data Leakage Prevention. Hackers zijn immers uit op je data en dan is het zinvol om maatregelen te nemen die voorkomen dat waardevolle data ‘weglekken’. Niet alle DLP-oplossingen werken echter op alle platformen, en slechts weinige als de endpoints niet verbonden zijn met het bedrijfsnetwerk of geheel offline zijn.

Daarnaast kleven er ook nog enkele andere nadelen aan DLP. Zeker op mobiele apparaten kan DLP een aardige batterijslurper zijn, waardoor DLP-maatregelen niet altijd enthousiast worden ontvangen door de gebruikers. Daar komt bij dat DLP moeilijk is toe te passen op de apparaten van bijvoorbeeld partners en andere externe medewerkers die we toch toegang willen verlenen tot het netwerk.

Flow-data
Om te voorkomen dat DLP een wissel trekt op de performance van de endpoints, kan het raadzaam zijn om te kijken naar de ‘bestemmingen’ waarmee endpoints communiceren. Daarbij wordt niet tot diep in de datapakketjes gekeken, maar puur naar de flow-data. Als uit die flow-data blijkt dat er vanaf een endpoint communicatie is met een onbetrouwbaar IP-adres in China, dan kan dat een reden zijn om het verdachte endpoint aan een nadere inspectie te onderwerpen en de route te blokkeren.

Bijkomend voordeel is dat deze aanpak – in tegenstelling tot DLP – geen hinder ondervindt van versleuteling van de data, iets wat hackers steeds vaker toepassen om datapakketjes ongezien naar buiten te sturen. Het is immers niet nodig om naar de inhoud van de datapakketjes te kijken.

Risk-based authentication
‘Risk-based authentication’ kan een uitkomst zijn in die gevallen waarin het niet altijd mogelijk is om clientsoftware te installeren op alle endpoints. Bij ‘risk-based authentication’ kijk je op basis van een aantal ‘risico-indicatoren’ of een endpoint mogelijk een bedreiging vormt voor de beveiliging. Zo is er (waarschijnlijk) niets aan de hand als wordt ingelogd met een vertrouwd apparaat, vanaf een vertrouwde locatie en op een gangbaar tijdstip. Als echter midden in de nacht vanuit Peru met een jailbroken iPhone toegang wordt gezocht tot het netwerk, dan is er een gegronde reden om de toegang geheel of gedeeltelijk te ontzeggen.

Combinatie
Nu geavanceerde malware er steeds vaker in slaagt om zich onopgemerkt te nestelen op en zelfs diep in de endpoints, wordt het tijd dat we op een andere manier naar die endpoints gaan kijken. DLP is enorm belangrijk om te voorkomen dat hackers er met bepaalde data vandoor gaan, maar in sommige situaties is DLP alleen niet genoeg. In die situaties gaat het om de combinatie van DLP met bijvoorbeeld risk-based authentication en het analyseren van de flow-data.


Lees meer over