Netwerksegmentatie: wat u uit de Titanic-ramp kan leren

Netwerksegmentatie: wat u uit de Titanic-ramp kan leren

Geschreven door Manu Fourneau, Product Advisor Security Solutions op

Het is 15 april, 1912 om 2u22 ’s nachts ergens in de Noord-Atlantische Oceaan. Het grootste schip ooit gemaakt breekt in twee en de laatste restanten verdwijnen onder het wateroppervlak. Even voor middernacht had de romp van de Titanic een ijsberg geraakt. 5 van haar 16 waterdichte compartimenten liepen vol met water, één te veel. De Titanic, het onzinkbaar geachte schip, was in werkelijkheid een catastrofe wachtend te gebeuren.

Het zinken van de Titanic leidde tot strengere veiligheidsmaatregelen bij zowel het ontwerpen van schepen als bij een ramp op zee. Want zoals zo vaak is er een ramp nodig om mensen tot inzicht te brengen. In bedrijfsomgevingen is dit vaak niet anders: na een brand zullen er branddeuren geplaatst worden, na een langdurige stroompanne worden er noodstroomsystemen geplaatst en na een cyberaanval worden er moderne veiligheidsmaatregelen geïmplementeerd. Nochtans hoeft u niet te wachten tot er met uw IT-omgeving iets gebeurt voor u maatregelen neemt: u kan immers al heel wat leren uit het verhaal van de Titanic.

Branddeuren in uw netwerk

Het principe van waterdichte compartimenten en branddeuren kan ook toegepast worden om de impact van cyberaanvallen te beperken. Ook uw netwerk kan u voorzien van ‘branddeuren’ door het onder te verdelen in zones: uw netwerk segmenteren heet dat dan. Indien er zich in een gesegmenteerd netwerk een cyberaanval voordoet in één van de zones, blijft de aanval begrensd tot die ene zone. Zo blijft de impact van een cyberaanval beperkt en blijven andere segmenten veilig. 

Traditioneel gezien gebeurde netwerksegmentatie op het niveau van de netwerkapparatuur en was dit vooral een manier om overzicht te bewaren en het beheer van uw netwerk efficiënter te maken. Maar vandaag is netwerksegmentatie een belangrijk onderdeel van een IT-securitystrategie. Er bestaan nu security-producten en -diensten die niet enkel inkomend en uitgaand verkeer gaan scannen maar ook het interne, door elk segment apart te bewaken.

Waarom segmenteren?

Onlangs maakte een IT-manager van een groot ziekenhuis zich zorgen over het security-risico dat externe leveranciers met zich meebrengen. Zijn röntgenmachines worden dikwijls onderhouden door een extern persoon die zijn eigen materiaal tijdelijk aansluit op het interne netwerk van het ziekenhuis. Aangezien dit materiaal niet onder de controle is van het ziekenhuis, kan malware via deze manier zich een weg naar binnen banen. De klant koos ervoor zijn röntgenmachines te gaan segmenteren. Er werd een firewall geplaatst in iedere onderzoeksruimte in plaats van een traditionele switch. Zo wordt een eventuele verspreiding van malware geblokkeerd binnen dit lokaal voor het de rest van het netwerk kan besmetten.

Dat is één voorbeeld van een goede reden om een netwerk te segmenteren. Maar er zijn nog delen van uw netwerk die u maar beter goed afschermt. Productieprocessen, bijvoorbeeld, zijn vaak een doelwit van cybercriminelen omdat het juist daar is dat een organisatie het meest kwetsbaar is. Een extra securitylaag specifiek voor de productie is dus zeker geen overbodige luxe. Ook productiemachines worden overigens dikwijls onderhouden door externen, zij het nu on-site of vanop afstand. En dit brengt zoals gezegd zijn risico’s mee. Om deze problemen te verhelpen werden er industriële firewalls ontwikkeld. Dit zijn traditionele firewalls die een robuuste behuizing gekregen hebben om gewapend te zijn tegen de ruwe omstandigheden binnen een productieomgeving (warmte of koude, stof, …). Daarnaast zijn deze firewalls extra uitgerust met securitytoepassingen die specifiek beschermen tegen malware die industriële processen (denk bijvoorbeeld aan SCADA) als doelwit hebben.

Aan de slag met IT-netwerksegmentatie

De vraag is niet of maar wanneer u aangevallen wordt. Het is dus uiterst belangrijk om niet alleen de kans op een aanval, maar ook de impact ervan te beperken. Hierin is een goede netwerksegmentatie cruciaal. Maar hoe gaat u nu best met netwerksegmentatie aan de slag? De eerste stap is altijd ervoor te zorgen dat er segmentatie op netwerkniveau aanwezig is. VLAN’s creëren voor productie, kantoor, WiFi, … is cruciaal. Dit basisprincipe voorkomt al een hele hoop narigheid.

Daarna kan er gekeken worden om te gaan segmenteren op het niveau van de firewall. Dit kan op een aantal manieren. Eén daarvan is het segmenteren van zones met fysieke toestellen, zoals we hierboven al aangaven. Een andere manier is op een centrale locatie zoals het datacenter alle interne trafiek te laten routeren en segmenteren door één enkele krachtige firewall cluster. Dit kan in essentie zowel virtueel als fysiek. Hier opteren we dikwijls voor virtuele gateways aangezien een 10G connectiviteit veelal noodzakelijk is om de hoge hoeveelheid intern verkeer efficiënt te kunnen verwerken.

De juiste cybersecurity strategie voor uw bedrijf

Welke strategie nu het best geschikt is voor uw bedrijf, dat bepalen onze security-experts graag samen met u. Aan de hand van uw noden tekenen zij een segmentatieplan uit dat afgestemd is op  uw organisatie en u helpt om de impact van cyberaanvallen te beperken. Contacteer ons security-team, ze staan u graag met raad en daad bij.

Savaco's security aanbod