Skip to content

Big Data geeft uitstekend inzicht in status security

door Etiënne van der Woude |

De hoeveelheid informatie die technische security-maatregelen voortbrengen, is zo groot dat veel beveiligingsdeskundigen zo langzamerhand door de bomen het bos niet meer zien. WatchGuard heeft onlangs een op Big Data-technologie gebaseerde oplossing gelanceerd die security-experts helpt om zeer snel inzicht te krijgen in al deze gegevens: WatchGuard Dimension.

Onlangs werden wij als WatchGuard benaderd door een security officer met het verzoek te komen praten. De firma waarvoor deze man werkzaam is, zat met een serieus security-issue, maar hij had grote moeite om het probleem onder controle te krijgen. Eenmaal aan tafel, bleek de situatie zeer herkenbaar. Bij toeval had een van de systeembeheerders van het bedrijf ontdekt dat cybercriminelen toegang hadden weten te krijgen tot een van de netwerken van het bedrijf. Stap voor stap hadden de criminelen zichzelf naar binnen gewerkt, waardoor tal van applicaties en databases binnen hun bereik waren gekomen. Hoe groot de schade precies was, werd op dat momenteel uitgezocht.

Niet opgevallen

Wat deze security officer echter de meeste zorgen baarde, was de ontdekking dat de cybercriminelen al maanden toegang bleken te hebben. Een van de beheerders van deze firma was diep in de log files van allerlei systemen gedoken en had ontdekt dat misschien nog wel het grootste probleem was dat in die logbestanden al maanden lang te zien was dat er – zeg maar – ‘rare dingen’ gebeurden. Het was alleen nooit iemand opgevallen. Niet dat er geen alerts waren uitgestuurd, maar in de enorme stroom aan meldingen die de redelijk uitgebreide security-aanpak van dit bedrijf dagelijks voortbrengt, waren de alerts simpelweg niemand opgevallen.

Een zeer herkenbaar probleem, zo schreef analist en marktonderzoeker Frank Dickson van Frost & Sullivan onlangs in een publicatie getiteld ‘The Market Has Spoken: Provide Better Visibility and Manageability across Network Security Tools’. ‘Zowel bedrijven, overheden als individuele burgers zijn in belangrijke mate afhankelijk geworden van het internet voor informatie, commerce, transacties, vrijetijdsbesteding, onderlinge contacten en nog veel meer. Maar deze nieuwe wereld vol rijke en dynamische communicatiekanalen heeft ook een grote hoeveelheid nieuwe bedreigingen met zich meegebracht.”

Voor cybercriminelen vormen deze internet-kanalen een uitgelezen kans. In figuur 1 zijn de belangrijkste bedreigingen op een rij gezet. Het is logisch dat bedrijven en overheidsorganisaties meer en meer technische maatregelen nemen om deze bedreigingen het hoofd te bieden. Denk aan anti-virus, web content security, email content security, intrusion prevention, data loss prevention, identificatie en afwering van DDoS-aanvallen, statefull inspection, next-generation context aware firewalls en nog veel meer.

Nuttige maatregelen

Dit zijn stuk voor stuk zeer nuttige maatregelen die – indien goed toegepast – een belangrijke bijdrage leveren aan het buiten de deur houden van ongenode gasten. Een lastig probleem is echter dat het bij al deze maatregelen om zogeheten ‘point solutions’ gaat. Deze werken niet samen, waardoor de grote hoeveelheden data die al deze technische systemen voortbrengen los van elkaar vastgelegd en geanalyseerd moeten worden. Het is echter erg lastig om de data van twee of meer van dit soort point solutions met elkaar te relateren. En juist dat is van cruciaal belang om het gewenste security-niveau te kunnen handhaven: we moeten niet alleen naar individuele statusinfo kijken, maar juist naar situaties waarbij bepaalde data van het ene security-systeem in combinatie met gegevens uit de log files van een ander apparaat samen tot een verdachte situatie leiden.

Wat we dus in feite nodig hebben, is wat Dickson van Frost & Sullivan noemt: ‘richer tools to manage across security technologies’. WatchGuard heeft als een van de eerste security-aanbieders hiervoor een nieuwe generatie software-tools ontwikkeld. Het gaat om WatchGuard Dimension, een oplossing die misschien nog wel het meeste lijkt op ‘Big data voor security’. Officieel noemen wij deze oplossing een ‘network security visibility solution’. WatchGuard Dimension wordt standaard meegeleverd met het Unified Threat Management-platform van WatchGuard en is eenvoudig te installeren.

WatchGuard Dimension

WatchGuard Dimension kent een interface waarmee security-experts via een digitale kaart of een dashboard een overzicht hebben van de beveiligingssituatie in de IT-omgeving waarvoor zij verantwoordelijk zijn. Hierin ziet men met één oogopslag waar zich bepaalde dreigingen voordoen. Gaat het ‘threat level’ op een specifieke locatie of in een bepaalde IT-omgeving over een bepaalde grens, dan kan onmiddellijk door middel van ‘down drill’-technieken bekeken worden om welke IP-adressen het gaat, om welk type aanvallen het gaat, wat de status van alle betrokken security-apparatuur is en dergelijke.

Hierbij wordt gebruik gemaakt van enerzijds de enorme hoeveelheid data die security-systemen voortbrengen en anderzijds slimme filtertechnieken. Deze laatste noemen wij FireWatch-filters. Deze hebben tot taak de enorme stroom aan data te analyseren. Hiermee kunnen zeer snel antwoorden worden verkregen op vragen als wie gebruikt de meeste bandbreedte, waar doen zich ongebruikelijke patronen in het dataverkeer voor, wat zijn de meest populaire websites die bezocht worden, welke applicaties worden het meeste gebruikt, welke applicaties gebruiken de meeste bandbreedte, doen zich hier afwijkingen in voor en dergelijke.

Bij WatchGuard Dimension draait het allemaal om het verzamelen van grote hoeveelheden security-data, om hier vervolgens patronen in te ontdekken. Vandaar die eerdere typering: Big Data. WatchGuard Dimension maakt maximaal gebruik van Big Data Analytics om razendsnel analyses op al die data te kunnen uitvoeren en hierover te rapporteren in de vorm van dashboards of bijvoorbeeld digitale kaarten. Bovendien hebben we veel aandacht besteed aan de mogelijkheid om over de stand van zaken te rapporteren. Dat is erg nuttig voor interne rapportages, maar natuurlijk ook voor het geval er juridische maatregelen nodig zijn.

Etiënne van der Woude is Regional Sales Manager Benelux bij WatchGuard