InfoSec 2016: laatste ontwikkelingen op het gebied van Security

YaWorks collega's Dave Diependaal en Dave van der Zee doen op InfoSec 2016 verslag van de laatste ontwikkelingen op het gebied van Security

InfoSec 2016 heeft voor de tweede keer zijn onderkomen gezocht in congrescentrum Olympia in London. Dit jaar zijn er opnieuw veel verschillende bedrijven aanwezig en wordt er een breed scala aan producten getoond, van procedurele tot echte technische oplossingen. Denk hierbij aan oplossingen die de bedrijfscontinuïteit ondersteunen, IT-infrastructuur in kaart brengen, compliance ondersteunen of gericht op meer technische producten op het gebied van  APT (Advanced Persistent Threads), DDoS, IAM (Identity Access Management) en NAC (Network Access Control). In het kader van NAC springt de oplossing van ForeScout er boven uit.

Forescout is een bedrijf dat van origine zich bezighield met ips/ids. Sinds een jaar of 6 heeft dit bedrijf een omslag gemaakt naar NAC-oplossingen, namelijk CounterAct. Volgens sommige externe partijen is ForeScout hier erg in geslaagd. 'Transforming Security Trough Visibilty’ is de kreet die ForeScout hanteert in haar promotie naar buiten. De kern van de oplossing zit in 3, naar eigen zeggen, unieke capaciteiten:

  • See: Dit houdt in dat om goede controle te hebben op endpoints het belangrijk is om elke endpoint in de omgeving te kunnen zien. Los van of deze managed, unmanaged of onder het kopje IoT vallen.
  • Control: Dit houdt in dat wanneer endpoints geïdentificeerd zijn, er invloed uitgeoefend kan worden op de endpoints, namelijk in hoeverre deze wel of niet netwerktoegang hebben en in welke mate. Door policy enforcement kan bepaald worden wat er moet gebeuren met non-compliant endpoints.
  • Orchestrate: Op het moment dat bekend is wat de status is van een endpoint kan deze informatie gedeeld worden met de verschillende security systemen, zodat deze aan hand van de posture en policies op deze systemen kunnen bepalen wat er moet gebeuren met de endpoint. Dit kan leiden tot het plaatsen van een endpoint in een quarantaine of guest VLAN maar ook alleen maar een alarm in siem oplossing.

Zonder al te veel in te gaan op het ‘promopraatje’ of te verzanden in technische informatie die je ook in whitepapers en op datasheets kunt vinden, zijn wij het ermee eens dat dit product uniek in zijn soort is. De reden hiervoor is dat dit platform geavanceerde en vernieuwende aspecten heeft om de identiteit en soort platform te achterhalen van een endpoint, zonder perse een probe op de endpoint te hebben.

Voorbeelden van hoe dit werkt zijn admin access via Active Directory voor managed devices, maar ook mogelijkheden zoals een captive portal (voor onbekende of BYOD devices) of via meerdere supported plugins van onder andere Palo Alto, Cisco, Aruba, Fire Eye die bi-directioneel informatie kunnen uitwisselen op het gebied van identity en threads. Het grote voordeel hiervan is dat het op en laagdrempelige manier een goede aanvulling kan zijn binnen organisaties die bijvoorbeeld veel gebruikers hebben met niet centraal beheerde endpoints, of organisaties die niet vendor-locked willen zijn. Een andere mooie feature is dat er ook gebruik gemaakt wordt van Geo-IP-informatie. Dit zorgt ervoor dat een account in bijvoorbeeld Nederland niet 5 minuten later aan de andere kant van de wereld kan inloggen. Zoals eerder al benoemd is dit bedrijf van oudsher bekend uit de ips/ids markt. Deze kennis zit embedded in dit product, waardoor dit meer is dan alleen een NAC-oplossing. Een viertal features die CounterAct bijzonder maken;

  • Agentless:  zoals hierboven beschreven
  • Open interoperability: Het werkt feilloos met populaire switches, routers, VPN, Firewalls en endpoint operating systems (Windows, Linux, IOS, OS X en Android), patch management systemen, anti virus oplossingen en directories (Active Directory, LDAP)
  • Security Orchestration: Hiermee wordt bedoeld het uitwisselen van informatie en de vrijheid in keuze om te bepalen waar in het netwerk je een host gaat beperken en welke toegang de host krijgt.
  • 802.1X authentication: Dit is een optie, maar is niet meer nodig. CounterAct biedt een hybrid oplossing die het mogelijk maakt om legacy 802.1x uit te rollen of helemaal uit te zetten inclusief spanning tree.

Cisco heeft online een solution document gepubliceerd, waarin beschreven wordt hoe je laag 3 tot aan de access laag kan doortrekken. Dit heeft als voordeel dat je op basis van user identity en of RBAC kunt bepalen wat een gebruiker wel of niet mag, los van welk VLAN gebruikt wordt: http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Campus/routed-...

Meer informatie over CounterAct: https://www.forescout.com/products/counteract/

Expertises

Nieuws