Veiligheid vereist overzicht en slagvaardigheid. En dat is wat Immunity biedt voor het beheer van je netwerk. In deze podcast spreekt host Lex Borger met Casper Joost Eyckelhof, team lead development van deze dienst. Wat betekent de nieuwe release van Immunity voor oude en nieuwe klanten?
“Immunity is een product dat we binnen Tesorion zelf bouwen, maar dat we leveren als dienst”, vertelt Casper Joost. “Het doet drie belangrijke dingen voor je beveiliging. Ten eerste network access control: daarmee weet je wie er op je netwerk zit en zorg je dat alle apparaten in het juiste segment zitten. Zo heb je feitelijk ook meteen een configuration management database (CMDB) van je netwerk, die altijd up to date is.”
“Ten tweede doet Immunity detectie van verdachte dingen op het netwerk. En ten derde verzorgt het de response: Immunity kan zelf meteen actie ondernemen op basis van de policy’s die de klant heeft vastgesteld. Soms wil je alleen een melding krijgen, maar vaak is het echt heel handig om iemand direct van het netwerk af te kunnen gooien.”
Blaster Worm
“Wat voor soort organisatie moet ik hebben om Immunity interessant te vinden?” wil Lex weten. “Meestal zeggen we dat het vanaf 200 à 250 werkplekken echt rendabel wordt”, antwoordt Casper Joost. “Bij minder plekken is het meer een keuze voor kwaliteit.”
“Maar een groot deel van onze Immunity-klanten is veel groter. Een universiteit bijvoorbeeld kan gemakkelijk 40.000 apparaten erop hebben.”
Heel diverse apparaten
Die onderwijsinstellingen zijn ook waar Immunity in eerste instantie voor ontwikkeld werd. “Heel lang geleden worstelde de Universiteit Twente – net als de rest van de wereld – met de Blaster Worm. Daar zijn we toen een oplossing voor gaan bedenken.”
De uitdaging was dat die grote onderwijsnetwerken decentraal beheerd werden. Tegenwoordig noemen we dat BYOD: bring your own device.
“Je had dus allerlei computers van studenten op het netwerk. Medewerkers hadden vaak een eigen pc én een beheerd device vanuit de IT van de instelling. Daarnaast was er een heleboel andere apparatuur: kassa’s, camera’s, kluisjes … Allerlei heel diverse apparaten, die je elk op een eigen manier wilde behandelen. Want adware op een studenten-pc is minder erg dan ransomware op een pc bij de financiële administratie.”
Lex valt het op dat dit allemaal endpoints zijn. “Is dat dan ook de sweet spot van Immunity?”
Casper Joost: “De endpoints zijn inderdaad waar we ons vooral op richten. Maar omdat we de detectie toch hebben lopen op het netwerk, houdt Immunity ook de servers in de gaten. Als het bijvoorbeeld op de mailserver iets verdachts ziet, kan het direct een melding afgeven. Dat is meestal beter dan zo’n server direct in quarantaine te plaatsen. Al kan dat desgewenst ook.”
Integratie met Azure AD
“In april heeft Tesorion een nieuwe release uitgebracht van Immunity”, memoreert Lex. “Kun je wat vertellen over de nieuwe features?”
Dat doet Casper Joost met plezier. “We zijn al een tijdje bezig om Immunity steeds nauwer te integreren met de nieuwe technologieën van Microsoft. Dan hebben we het over Azure AD. Je ziet immers dat steeds meer organisaties langzamerhand afstappen van hun lokale active directory en naar de cloudversies gaan. Die gedragen zich compleet anders. Dus daar moesten we een hoop voor aanpassen.”
“Met de release van april kunnen we nu autorisaties via Azure AD doen. En – sneak preview! – de volgende release van Immunity zal Azure AD kunnen gebruiken als backend voor alle authenticatie en autorisatie.”
EAP-TLS
Maar Immunity is van meer markten thuis. “Een andere nieuwe feature is support voor EAP-TLS. Dat klinkt heel technisch en dat is het ook. EAP-TLS is een protocol waarbij je certificaten in plaats van username-password gebruikt om je te authenticeren op het netwerk.”
“In de enterprise-wereld waarin we ons steeds meer begeven, wordt die methode steeds gebruikelijker. Niet zonder reden denk ik, want het is ook echt veiliger. En de support zit er tegenwoordig ook bij.”
Zelf acteren
Een derde verbetering van Immunity betreft de informatievoorziening voor de klanten. “We hebben in de nieuwe release gezorgd dat hun eigen beheerders bepaalde errors op hun netwerkapparatuur veel beter kunnen zien: bijvoorbeeld een switch of een port die fout is geconfigureerd. En dat ze daar zelf meteen op kunnen acteren, in plaats van dat ze onze servicedesk moeten vragen om het uit te zoeken.”
Oude en nieuwe klanten
Lex merkt op dat al deze features vooral interessant zullen zijn voor grote organisaties. Dat ontkent Casper Joost niet: “Ja, dit zijn typisch wensen die we horen van onze nieuwe klanten. En die zijn vaak iets meer enterprise-georiënteerd. Voor hen willen we een aantal features toevoegen waardoor we met Immunity het hele speelveld kunnen afdekken.”
“Maar ondertussen vergeten we onze klassieke klanten niet. We bedienen heel veel organisaties in het onderwijs, in de zorg, bij gemeentes … Daar hebben we nog steeds veel nuttige features voor. Ook in de nieuwe release.”
Veilig uitbreiden
“Zo hadden we bijvoorbeeld een klant met heel oude panden. Daar konden ze geen nieuwe bekabeling trekken, want dat werd veel te duur. Maar op sommige locaties hadden ze zulke grote teams zitten dat ze gebrek kregen aan poorten. Dus wat deden ze? Switches aan switches hangen.”
“Nou ja, dan heb je een moeilijke keuze: òf heel veel minder beveiliging, òf je plakt gemanagede switches aan gemanagede switches. Dat laatste ging in de vorige versie stuk, want dan heb je als het ware twee kapiteins op één schip. Maar in de nieuwe release van Immunity is het opgelost: je hangt een gemanagede switch aan een gemanagede switchpoort. Daarmee kun je je netwerk dus verder uitbreiden en blijft het toch veilig.”
Lex: “Als je de vergelijking volgt, werk je nu dus met kapiteins en admiraals?”
Casper Joost lacht: “Zoiets, ja. Voor wireless konden we dat al: een gemanagede accesspoint aan een gemanagede poort hangen. Dat is ook heel handig, want als je de poort goed hebt ingesteld, kun je een paar studenten of junior beheerders op pad sturen met een stapel accesspoints. Die hoeven ze alleen maar op te hangen en dan werkt het meteen: je hoeft niets meer te configureren.”
“In de release van april hebben we nog heel veel andere dingen aangepast, bijvoorbeeld in de grafische interface, om het makkelijker te maken voor beheerders. Maar dit waren wel de grote nieuwe features van Immunity.”
Exploderend testprogramma
Zoals gezegd ontwikkelt Tesorion Immunity eigenhandig. Lex: “Testen jullie de software ook op al die verschillende netwerkapparaten die jullie ondersteunen?”
“Absoluut”, zegt Casper Joost. “We hebben een enorm testlab met ontzettend veel netwerkapparatuur, oud en nieuw. Die moet getest worden met elke versie van Immunity, in combinatie met heel veel versies van de software die op die switches of access-points draait. Dus je krijgt een nogal exploderend testprogramma.”
“Gelukkig hebben we heel veel kunnen automatiseren: elke nacht draaien er allerlei testen. Ontwikkelaars kunnen ook on demand testen inschieten.”
Immunity in de fabriek
Lex: “Klopt het dat een groeiend deel van het testprogramma draait om switches voor operational technology (OT)?”
“Ja, bijvoorbeeld de Cisco Rugged-serie, die beter tegen vocht, kou en dat soort ongemak kan. Maar ook Moxa en Hirschmann.”
“OT is namelijk een ander speerpunt van ons. Dan moet je dus denken aan fabrieken, sluizen, wissels – dat soort zaken. Het is een andere wereld, met andere techniek. Maar als we met potentiële klanten praten, hoor ik daar eigenlijk dezelfde problemen als wij vijftien jaar geleden zagen op de onderwijsnetwerken. Er wordt weinig aan segmentering gedaan; er is sowieso weinig inzicht in de apparaten die in zo’n fabriek allemaal aangesloten zijn op het netwerk. Dus je hebt weinig inzicht én weinig mogelijkheden om in te grijpen.”
“Dat vraagt om dezelfde oplossingen als wij met Immunity al vijftien jaar bieden voor de IT. Geen wonder dus dat we in de OT ook steeds meer klanten hebben.”
Procesmonitoring
Security wordt ook in OT een steeds groter aandachtspunt. Enerzijds door de dreiging van hacks, anderzijds door de groeiende behoefte om data uit het productieproces te halen. “De business wil processen kunnen monitoren en analyseren via een datawarehouse of cloudoplossing. Maar dan gaan de beheerders en securitymensen protesteren, want het is niet veilig als er data naar buiten kan.”
Lex: “Ja, in business-securitytermen: het risico is te hoog. Je moet mitigerende maatregelen nemen. En juist met Immunity kun je een aantal dingen regelen die anders niet makkelijk mogelijk zijn.”
“Precies. Met Immunity scherm je segmenten af en bewaak je het netwerk. Je hebt inzicht in wat er is. Waar nodig kun je monteurs op een gecontroleerde manier toegang geven tot die omgevingen.”
“En als er data naar buiten moet, kan dat via een data-diode van Compumatica, een leverancier die nauw met Tesorion samenwerkt. Met zo’n cryptografische functiebox weet je honderd procent zeker dat de data alleen naar de gewenste bestemming gaat.”
Externe detectie
“Met Immunity breng je dus de basis van je netwerksecurity én je netwerkmanagement op orde”, stelt Lex vast. “En het werkt goed samen met andere componenten. Dat vind ik een mooi terugkerend thema.”
Daar is Casper Joost het van harte mee eens. “Kijk bijvoorbeeld naar de detectie. We hebben natuurlijk een aantal detectiecomponenten; zelf ontwikkeld, die meegeleverd worden met elke Immunity-installatie. Maar we hebben ook van oudsher de optie om externe bronnen daarop aan te sluiten.”
“Sommige branches hebben bijvoorbeeld hun eigen CERT’s: overkoepelende informatiebeveiligingsclubjes. De universiteiten hebben een CERT, de zorg heeft Z-CERT en zo zijn er meer voorbeelden. Daar hebben we generieke koppelingen voor gebouwd. Dus als een sensornetwerk van een branche iets detecteert, dan kan Immunity dat meteen oppakken en ingrijpen.”
Uiteraard kan Immunity ook samenwerken met gespecialiseerde detectiecomponenten van binnen Tesorion, zoals Vectra AI. “Ieder systeem heeft zijn eigen sterke en zwakke punten”, verklaart Casper Joost. “Als je ze combineert heb je alleen nog maar de sterke punten. En doordat Immunity weet welke apparaten op welke plekken in het netwerk zitten, kan het een dreiging direct isoleren.”
Wil je steeds up to date blijven op het gebied van cybersecurity? Abonneer je dan op de Tesorion Podcast.