IPS: operatie geslaagd, patiënt overleden?
Tientallen profit- en non-profitorganisaties beheren een deel van onze digitale ‘ik’. Iedere dag weer vertrouwen u en ik erop dat gegevens van ons, en over ons, niet zomaar op straat geraken. Of erger nog: doelbewust in handen van criminele organisaties terechtkomen.
Regels moeten waarborgen dat deze gegevens blijven waar ze zijn en niet voor andere doeleinden gebruikt kunnen worden door derden. Gelukkig nemen de meeste bedrijven deze regels voldoende ernstig en hoeven we niet te vrezen voor bijvoorbeeld diefstal van onze digitale identiteit. Toch?
Compliance met de regels is in de praktijk helaas een rekbaar begrip. Termen als “…het leveren van een redelijke inspanning teneinde…” laten immers ruimte om met enkel een kruisje in het juiste vakje op een formulier snel hieraan te voldoen.
IPS als redelijke inspanning?
Het aanschaffen en installeren van een IPS-systeem (intrusion prevention system) kan worden omkleed als een significante verbetering van de informatiebeveiliging. Maar is dat wel zo? Zonder adequate monitoring en het integreren van IPS-alarmen in de reactieprocedures blijft de aanschaf van IPS inderdaad beperkt tot de eerder genoemde aangekruiste vakjes.
Bij veel bedrijven is dit helaas ook vandaag de dag nog steeds het geval. Terecht is dat al lang niet meer. Na de evolutie van IDS (intrusion detection system) naar IPS is er op veel gebieden in deze materie belangrijke vooruitgang geboekt. Niet alle leveranciers zijn hier echter in meegegaan. Vandaar dat nog veel eindgebruikers een IPS als IDS gebruiken, al dan niet geïntegreerd in bestaande beveiligingsprocedures. Of erger nog: helemaal geen IPS gebruiken op basis van redenen die al jaren niet meer van toepassing zijn.
Kent u ze nog?
Ik ken ze nog, de vragen die zeven jaar geleden een telco-speler bezighielden als het over IPS ging:
- IPS is duur, zowel in aanschaf als in gebruik en onderhoud.
- IPS-kennis is dun gezaaid en ik moet derhalve investeren in dure trainingprogramma’s.
- IPS is niet nauwkeurig genoeg en levert veel valse meldingen, waardoor de aandacht ervoor afneemt.
- Productieverkeer wordt regelmatig geblokkeerd door incorrecte IPS-policies. Daar gebruiken we het systeem liever passief (als IDS dus).
- Onze IPS-oplossing is traag en zorgt voor bottlenecks binnen onze infrastructuur. We denken erover het uit te schakelen, of als IDS in te zetten.
Sommige leveranciers hebben intussen niet stilgezeten. Zo biedt de huidige ‘IPS Blade’ een effectief antwoord op alle bovenstaande problemen. IPS is dus niet een geval van ‘operatie geslaagd, patiënt overleden’, waarbij alles wel veilig is, maar niets meer werkt.
Bij het adopteren van nieuwe technologie hoor je vaak de populaire oneliner: “als het te mooi is om waar te zijn, is het waarschijnlijk niet waar”. Uitzonderingen bevestigen echter de regel.
Het is een geruststellende gedachte dat deze oplossing van onderscheidend belang kan zijn bij het compliant maken van bestaande informatiebeveiliging, waarbij niet alleen de vakjes aangekruist worden, maar ook alle hierboven beschreven pijnpunten effectief geadresseerd worden.