Begin dit jaar was het weer eens raak. Er werden grote kwetsbaarheden aangetroffen in processors. Niet alleen in één versie van één producent, maar in talloze versies van de afgelopen jaren en van verschillende leveranciers. De kwetsbaarheden hebben toepasselijke namen gekregen. Meltdown, dat we kennen van smeltende kernreactoren na een catastrofe, en Spectre, een spookbeeld.
We weten het niet
Deze onheilspellende benamingen zijn terug te voeren op de omvang en impact. Vrijwel elke computer heeft met deze kwetsbaarheden te maken. Omdat het probleem in de hardware zit is, het verhelpen ervan niet met een eenvoudige patch mogelijk. Er is inmiddels wel software die het probleem oplost, maar dat gaat ten koste van de prestaties. Meltdown en Spectre kunnen inderdaad catastrofaal zijn voor al die getroffen computers, en al helemaal voor publieke cloudomgevingen, waar applicaties van verschillende klanten vaak op fysieke computer draaien. In principe kunnen bedrijfsgeheimen, financiële resultaten, broncodes, klantgegevens, enzovoorts in de verkeerde handen vallen. Geslaagde aanvallen die van Meltdown en Spectre gebruikmaken kennen we niet. Maar de kwetsbaarheden bestaan al meer dan tien jaar en of ze in die tijd benut zijn? We weten het niet.
Andere oplossing!
Zo’n prestaties vretende ‘oplossing’ wil natuurlijk niemand, en al zeker niet in een cloudomgeving. De andere, echte oplossing is versleuteling van alles van en naar de cloud. Als de datastromen versteuteld zijn, zal een hacker die het Meltdown-gat weet te gebruiken helemaal niets kunnen beginnen met die data. Let wel, dit is een oplossing die bovenop alle andere securitymaatregelen komt. Want wie Meltdown en Spectre wil misbruiken, moet toch eerst binnen zien te komen en op de systemen kunnen kijken. De ‘klassieke’ beveiliging blijft dus absoluut nodig. En natuurlijk moet de versleuteling robuust genoeg zijn.
Verheugend
In de praktijk zien we dat steeds meer netwerkverkeer versleuteld wordt, van HTTPS voor websites tot VPN voor end-to-end verbindingen met een server. Ook organisaties kiezen er in toenemende mate voor om data en dataverkeer te versleutelen. Dat is een verheugende ontwikkeling, al heeft het wel een consequentie. Als een datastroom bijvoorbeeld met VPN versleuteld is, valt niet vast te stellen of het ongewenst of schadelijk verkeer betreft en het zal dan niet gestopt worden – of je zou VPN moeten verbieden, zoals Rusland en China proberen.
Herkennen en stoppen
Oppervlakkig gezien lijkt het middel (versleuteling) het doel (detectie voor betere security) in de weg te zitten. In de kern gaat het bij security om gedrag meten, dat analyseren om afwijkend gedrag te signaleren en verdachte patronen te ontdekken. en Vervolgens anticiperen en maatregelen nemen.. Tegelijk willen we de privacy waarborgen. Wat we daarom nodig hebben is een securityoplossing die verdachte patronen kan ontdekken in versleuteld netwerkverkeer, maar zónder de inhoud te hoeven kennen. En die oplossing is er ook. Analytics en data zijn cruciaal voor security. Alleen dan kunnen we aanvallen herkennen en stoppen. Maar de inhoud blijft geheim!
Michel Schaalje, Directeur Security Cisco Nederland
