De uitdaging van Software Defined Networking voor security
Door Lex Borger 26 nov 2017
Verizon heeft hun jaarlijkste IT trendvoorspellingen weer gedaan. Hun jaarlijks Data Breach Investigations Report (DBIR) is al een favoriet naslagwerk voor mij, deze trendwatcher notitie geeft hiernaast een goede gelegenheid om vooruit te kijken naar de security-uitdagingen waar we als professionals ...
Ook al wordt 'security' maar in een van de zeven trendtitels genoemd, de beschrijvingen van de andere trends bevatten ook vaak verwijzingen naar security. Dus ik loop ze allemaal even langs:
1. SDN has lift-off!
Verizon verwachtte in 2017 al dat software defined networking een grote vlucht zou nemen. SDN groeide wel, maar schoorvoetend. En het gaat hier ook over SDN buiten de datacenters. Dit vergt echt een overzichtelijke en controleerbare integratie van security in de SDN controllers. Wat ik hierbij mis voor de security professional zijn nieuwe beveiligingsmodellen en -raamwerken om zo de beheersing over SDN te regelen. De SDN controller moet bewust zijn wat de security-aspecten zijn van de informatie die over het netwerk gaat. Verizon noemt dit het application-aware network.
2. Security goes underground.
Ik worstel hierbij echt met de titel. Security moet juist duidelijk en transparant op tafel liggen. Verizon legt de nadruk op de plaats van de maatregel. Deze verhuist naar het platform, waar het dan grip heeft op alle informatie die in het platform verwerkt wordt en door het stroomt. Ook spreken ze hier over het globaal rekening houden met 'indicators of compromise' en het belang om deze met iedereen te delen. Dit is inderdaad een trend die we al waarnemen op dit moment. Als dit een stap verder getrokken wordt, dan is ook de effectiviteit van de security controls in je bedrijfsnetwerk kwantitatief te meten, wat integratie en enterprise risk management processen mogelijk maakt. En dan ligt security inderdaad duidelijk en transparant op tafel bij de raad van bestuur. Dat zou een mooie ontwikkeling zijn, al denk ik dat dit nog wel een paar jaar meer zal vergen.
3. Digital collaboration is table stakes.
Al jaren verwachten medewerkers dat ze overal en altijd toegang hebben tot bedrijfsgegevens. En we zien ook de opkomst van de vele cloud-platformen die dit mogelijk maken, met alle kritische kanttekeningen over de beveiliging die daarbij te maken zijn. Dat remde adoptie bij enterprises en de financiële industrie en overheden. Verizon geeft aan dat dit nu ook veilig en snel zal gaan kunnen. Hiertoe wordt de technieken uit de eerste twee trends toegepast. Of het dan veilig genoeg is om ook op kritische informatie toe te passen wachten we even af.
4. Artificial Intelligence and Robotics take on the Internet of Things.
We hebben het regelmatig gehad over de IoT nachtmerrie. Verizon ziet een redding: Artificial Intelligence. Door AI toe te passen bij het beheer van IoT in de enterprise wordt grootschalige inzet mogelijk, zonder de infrastructuur overmatig te belasten. Als we inderdaad een controleerbaar SDN-beheer hebben, dan zie ik het beheer van IoT zo wel werken.
5. People take control of the digital experience.
Mensen worden zich steeds meer bewust dat kennis over hen macht geeft. Door het geven van toegang tot hun informatie verwachten ze ook een effectieve en intieme dialoog met hun leverancier. Dit is de trends waar ik het meeste moeite mee heb om te volgen. Als mensen bewuster worden, worden ze ook juist terughoudender met het beschikbaar maken van die informatie. Bedrijven die een goede klantbeleving kunnen inrichten waarbij ze ook respect tonen voor de privacy van hun klanten zullen de grootste stappen kunnen maken.
6. Interoperability will be a priority for public safety.
Verizon wijdt een trend geheel aan 'first responders'. Dit komt door hun business focus, denk ik. Ze doen bijvoorbeeld goed werk in crisisgebieden om bijvoorbeeld snel met drones schade in kaart te brengen connectiviteit provisorisch te herstellen. Als je dit doet, moet je wat je leert ook willen delen. Ik zie dit geheel in het verlengde liggen van het delen van indicators of compromise, genoemd in trend 2. Dit kun je alleen grootschalig voor elkaar krijgen als je de communicatie-infrastructuur en de beveiliging van de informatie los kunt trekken van elkaar. En dan is de link naar trend 2 compleet.
7. Simple is the goal.
Dit roepen we als security professionals al jaren. Het zou mooi zijn als inderdaad eenvoud troef wordt. Verizon noemt het focussen op de kerntaken (the core) en het afstoten van de vervelende werkzaamheden (chores). Deze focus is wat startups hun snelheid in handelen geeft. Mijn grote zorg als beveiliger is dat security dan ook uiteen gaat vallen in core & chores. We zullen dus inzichtelijk moeten maken wat de kerntaken zijn en hoe goed we die taken uitvoeren. Dan kunnen de andere werkzaamheden inderdaad uitbesteed worden.
Ik kom tot de conclusie dat software defined networking en het meetbaar maken van het effect van de beveiligingsmaatregelen de grote uitdagingen gaan worden voor de security professional. Als we ons ervan kunnen overtuigen dat we SDN kunnen beheersen en de werking ervan goed kunnen monitoren, dan ben je grotendeels klaar om de uitdagingen die voortkomen uit al deze trends aan te pakken.