6 tips voor een goede beveiliging volgens VMware-CEO Pat Gelsinger
Op VMworld in Barcelona zet Pat Gelsinger zijn eigen security-oplossing ‘Appdefence” nog eens in de verf. De CEO van virtualisatiespecialist VMware illustreert met trots hoe de oplossing een beveiligingslaag toevoegt aan het compute-luik van een workload. Hij voegt daar echter meteen aan toe dat een goede softwarebeveiliging slechts één pijler van een veilige IT-omgeving is. De tweede noemt hij cyberhygiëne. Onder die pijler onderscheidt Gelsinger vijf kritieke punten waarmee je rekening kan houden om je bedrijf veilig te houden. Appdefence werkt enkel in een VMware-omgeving, de vijf andere tips zijn universeel.
1. Privileges
We vliegen er in met de iets algemenere tips. Als eerste punt haalt Gelsinger het privilegebeleid aan. Je kan er van uit gaan dat een hacker vroeg of laat wel ergens binnen raakt. Hoe groot de schade dan is, hangt onder andere hiervan af. De sleutel: policies instellen waarbij een werknemer enkel toegang heeft tot wat hij echt nodig heeft, en absoluut geen rechten heeft op andere zaken. Als een hacker dan het account van een onvoorzichtige bediende overneemt, blijft de schade al bij al beperkt. Bovendien bescherm je je bedrijf in één klap tegen een werknemer met kwade wil. Met beperkte rechten zijn de mogelijkheden tot diefstal of sabotage immers beperkt.
2. Encryptie
Deze tip spreekt voor zich, en is voor een groot stuk van toepassing op mobiele toestellen. “Wanneer iemand je smartphone of laptop steelt, of op een andere manier aan kritieke data raakt, is hij of zij er dankzij een goede versleuteling immers niets mee”, vertelt Gelsinger. Algoritmes zoals AES265 zijn tot nader order nog steeds onkraakbaar door zelfs de beste supercomputer. Bovendien heb je nauwelijks nog een excuus om encryptie niet te om armen, nu je TPM-chips in vrijwel ieder toestel vindt.
3. Multifactor-authenticatie.
“Steelt iemand je gebruikersnaam en wachtwoord, dan is hij geen stap verder”, weet Gelsinger. Hij doelt hierbij op het vanzelfsprekende en te vaak onderschatte nut van multifactor-authenticatie. Gebruikersnaam en wachtwoord zijn waardeloos voor een hacker wanneer hij ook een bevestigingscode die per sms verstuurt wordt moet ingeven om een account te misbruiken. Veel diensten hebben vandaag tweefactorauthenticatie. Het is de moeite om die in te schakelen wanneer mogelijk.
4. Updates
Als je het niet van ons gelooft, dan neem je het misschien wel aan van de CEO van één van ’s werelds meest succesvolle IT-bedrijven. Installeer patches en zorg er voor dat je software up to date is. Het is bijna absurd om te betalen voor een dure beveiligingsoplossing als je er niet in slaagt je Windows-installatie naar bestvermogen te updaten, en diezelfde beveiligingsoplossing wordt ook waardeloos wanneer ze niet up to date is. We kunnen het echt niet genoeg zeggen en zeggen het daarom graag nog eens: update zo vaak als mogelijk.
5. Micro-segmentatie
Micro-segmentatie heeft opnieuw betrekking op gevirtualiseerde omgevingen, al kunnen we de CEO van ’s werelds grootste virtualisatiefirma die focus moeilijk kwalijk nemen. Met micro-segmentatie beveilig je je IT-omgeving op het niveau van de workload. Je kan policies instellen die aan VM’s gekoppeld zijn en mee verhuizen wanneer je een VM migreert. In de plaats van een firewall omheen je digitale infrastructuur, plaats je beveiligingscheckpoints doorheen de IT-omgeving. Dat zorgt er opnieuw voor dat de schade beperkt blijft wanneer een hacker zich ergens door een lek naar binnen forceert. Hij kan de beveiliging immers niet ‘passeren’, aangezien die door het hele netwerk zit.
6. Appdefence
We tot slot naar de software-oplossing van VMware. Appdefence zelf is een knap staaltje techniek. Het is een tool waarmee je het correcte gedrag van een virtuele machine kan registreren. Je leert de beveiligingssoftware wat een VM moet doen, zodat die alarm kan slaan wanneer die iets anders doet. De sleutel: het monitoren van goed gedrag in de plaats van het zoeken naar foutief gedrag. Voor dat laatste moet code in realtime gescand worden op duizenden indicatoren van malware. Door de oefening om te keren, is het veel eenvoudiger om een VM in de gaten te houden. Vertoont de machine afwijkend gedrag, dan kan je policies instellen om te bepalen water moet gebeuren. Zo kan Appdefence de VM bijvoorbeeld meteen uitschakelen, of er een honeypot van maken. Gelsinger claimt dat Appdefence zowel Petya als WannaCry meteen detecteerde, en de verspreiding er van onmiddellijk kon tegen gaan.