Waarom Firewall Audits nog steeds ernstige fouten signaleren

Waarom Firewall Audits nog steeds ernstige fouten signaleren

Nieuws
Redactie WINMAG Pro

Vaak blijkt bij audits dat firewalls niet voldoen, en dat is zo normaal geworden dat het zorgelijk is voor securitymanagers. Uit benchmarks van firewall audits van grote bedrijfsnetwerken blijkt dat bijna 60% van de firewalls, op tenminste één cruciaal punt tekortschiet. En dat is niet altijd direct zichtbaar. Operationele indicatoren kunnen stabiel lijken, services beschikbaar en er is geen sprake van zichtbare ‘inbreuken’. En toch zijn er kwetsbaarheden. Deze worden bijvoorbeeld veroorzaakt door te soepele toegangsregels en ongewenste afwijkingen op de policies waardoor de toegang is versoepeld, terwijl niemand daar expliciet mee heeft ingestemd.
 Auditors kunnen hun bevindingen op verschillende manieren omschrijven, maar de kern van de zaak blijft gelijk: er is wel controle, maar deze vervult niet langer zijn beoogde functie. En dat tekort aan controle is een lastig op te lossen probleem.
 

Tekst: David Brown, senior vice president International Business bij FireMon

 

Weergave van vroegere urgentie, in plaats van huidige behoefte

De meest ernstige firewall issues ontstaan niet door nalatigheid. Ze komen voort uit redelijke beslissingen die onder druk zijn genomen en vervolgens van kracht blijven, lang nadat de omstandigheden die de beslissingen rechtvaardigden, zijn verdwenen. Na verloop van tijd worden de policies een weergave van vroegere urgentie in plaats van de huidige intentie.

In deze situatie is ‘verkeerde configuratie’ een misleidende term. Het suggereert een op zichzelf staande fout. Wat audits vaak aan het licht brengen, is echter structureel van aard: policies die niet meer in overeenstemming zijn met het oorspronkelijke doel.

Deze  afwijkingen worden pas zichtbaar als je ernaar gaat zoeken. Tijdelijke any-to-any patches worden permanent. Schaduwregels wekken de schijn van controle, terwijl de daadwerkelijke toegang ongewijzigd blijft. Objecten vermenigvuldigen zich, naamgeving wordt inconsistent, de logica van regels botst en segmentatiemodellen lijken op papier verdedigbaar, maar houden geen stand in live afhankelijkheidspatronen.

Compliance gaps laten vaak iets anders zien

Voor Europese organisaties zijn firewall-audits steeds vaker onderdeel van een breder kader van verantwoordingsplichten. Toezichthouders eisen meer dan de verplichting om aan te tonen, dat er controles zijn. Organisaties moeten ook bewijzen dat deze controles effectief, consistent en op een goed bestuurde manier functioneren. Binnen de EU stellen bijvoorbeeld NIS2 en DORA hogere eisen op het gebied van operationele discipline, continu toezicht en het aantonen van de werking van controles.
In die context zijn terugkerende firewallproblemen met een hoge mate van ernst zelden ‘alleen maar’ tekortkomingen op het gebied van compliance. Ze duiden er meestal op dat het policybeheer niet meer aansluit bij de manier waarop het bedrijf tegenwoordig werkt.

Dit is een terugkerend patroon waarbij je ziet dat teams de architecturale intentie wel kunnen beschrijven (denk bijvoorbeeld aan: waar moeten de grenzen liggen, welke systemen moeten met elkaar communiceren en welke flows zouden er niet mogen zijn). Maar ze slagen er niet in om consequent aan te tonen dat de policies daadwerkelijk wordt toegepast, en de intentie ervan ook wordt weerspiegeld in datacenters, cloudomgevingen en besturingssystemen.

Als dat gebeurt, brengen audits tekortkomingen aan het licht waarvan de risico’s moeilijk te negeren zijn. Hackers hebben echter geen audit nodig en ze zullen niet wachten tot organisaties er een uitvoeren. Het enige dat ze nodig hebben, is een zwakke plek.

Firewall-beleid faalt vaak al vóór de uitvoering, namelijk bij de interpretatie ervan. Een regelbestand kan technisch gezien weliswaar correct zijn, maar toch geen samenhangend toegangsmodel meer zijn, omdat het jarenlange uitzonderingen en overgenomen beslissingen weerspiegelt in plaats van wat er nú nodig is. Wanneer teams de gevolgen niet met zekerheid kunnen testen of afhankelijkheden niet met vertrouwen kunnen valideren, wordt de controle van wijzigingen voorzichtig en conservatief, en wordt de firewall een onderdeel van de infrastructuur die niet mag worden gewijzigd.

De operationele reactie is voorspelbaar. Om verstoring te voorkomen, wordt de toegang verruimd. Herstructurering wordt uitgesteld. Audits worden een exercitie in reconstructie, in plaats van een bewijs van stabiele governance.

Zodra het policy-management dat stadium bereikt, kan een periodieke evaluatie het probleem achteraf weliswaar in kaart brengen, maar het kan de controle niet herstellen in een systeem dat voortdurend verandert.

Continue validatie is het enige eerlijke antwoord

Eenmalige audits bieden hiervoor geen oplossing, omdat afwijkingen het gevolg zijn van dagelijkse veranderingen. Wat nodig is, is een validatieproces dat ervoor zorgt dat het beleid in lijn blijft met de doelstellingen naarmate de omgeving verandert, en dat risico’s tijdig aan het licht brengt zodat er actie kan worden ondernomen.

Network Security Policy Management biedt dit, wanneer het geïmplementeerd wordt als een operationele werkwijze in plaats van een rapportagelaag. Het brengt intenties, toegepaste policies en waargenomen afhankelijkheden met elkaar in verband, zodat teams kunnen zien waar de toegang verder is uitgebreid dan nodig, waar de segmentatie is verzwakt en waar uitzonderingen stilletjes de norm zijn geworden. Even belangrijk is, dat hiermee wijzigingen vóór de implementatie kunnen worden getest, waardoor giswerk plaatsmaakt voor feiten.

En daarmee transformeert firewall management van incidentele clean-up naar voortdurende controle.

Hoe ziet policy duidelijkheid er in de praktijk uit? 

De duidelijkheid van policies komt tot uiting in de kwaliteit van de beslissingen die teams onder druk kunnen nemen. In een goed beheerde omgeving kunnen firewalregels worden uitgelegd in termen van de huidige doelstelling, en niet op basis van wat er in het verleden is gebeurd. Dat vereist geen perfecte documentatie van elke regel, maar wel een toegangsmodel dat expliciet genoeg is om wijzigingsverzoeken goed te kunnen toetsen, zodat de discussie gericht blijft op wat de dienst zou moeten mogen doen, en of de voorgestelde wijziging die doelstelling in stand houdt.

Het principe van minimale rechten wordt pas echt effectief wanneer de bedoeling duidelijk is, en controle een vast onderdeel van de routine vormt. Toegangsrechten kunnen worden getoetst aan een duidelijk toegangsmodel, en beoordelaars kunnen de noodzaak en de gevolgen ervan valideren op basis van feiten in plaats van op basis van hun gevoel. Het rationaliseren van het beleid wordt dan ook meer dan alleen maar een administratieve klus, omdat overbodige en verouderde beleidsonderdelen worden gezien als bronnen van risico’s en operationele belemmeringen, en niet alleen als onnodige ballast.

Segmentatie profiteert van dezelfde discipline. Grenzen blijven standhouden wanneer ze voortdurend worden getoetst aan daadwerkelijke afhankelijkheidspatronen en gecorrigeerd voordat uitzonderingen de norm worden. Zonder die feedbackloop blijft segmentatie niet meer dan een design diagram waarvan de handhaving steeds verder afbrokkelt.

Dit alles maakt IT-omgevingen niet eenvoudiger. Het maakt ze wel beheersbaar. Complexiteit kan nog steeds aanwezig zijn, maar wordt wel inzichtelijk, en het beleid kan worden bijgesteld zonder dat men zich moet baseren op giswerk, of onnodige risico’s moet accepteren als prijs voor stabiliteit.

De vraag die audits niet kunnen beantwoorden

Wanneer er in een auditrapport een bevinding met een hoge ernstgraad wordt vermeld, is het verleidelijk om deze te beschouwen als een tekortkoming die moet worden verholpen. Een nuttigere interpretatie is echter dat het wijst op een groter probleem: kan de organisatie met zekerheid uitleggen hoe het beleid de huidige intenties binnen de hele organisatie weerspiegelt, en kan zij dat beleid veilig aanpassen wanneer de bedrijfsvoering dat vereist?

Als dat niet het geval is, zullen dezelfde tekortkomingen in verschillende vormen blijven terugkeren. De benaming kan veranderen. De onderliggende oorzaak niet.

Lees meer

SANS Institute onthult: “De top-5 gevaarlijkste cyber-aanvalstechnieken omvat een AI-component”
SANS Institute onthult: “De top-5 gevaarlijkste cyber-aanvalstechnieken omvat een AI-component”
TrustConnect: een RAT in vermomming
TrustConnect: een RAT in vermomming
Nieuw rapport: 57% van de mkb-bedrijven ziet printbeveiliging niet als prioriteit, terwijl printers vaak standaard worden vertrouwd
Nieuw rapport: 57% van de mkb-bedrijven ziet printbeveiliging niet als prioriteit, terwijl printers vaak standaard worden vertrouwd
LTP lanceert verantwoorde AI om assessments beter en sneller te maken
LTP lanceert verantwoorde AI om assessments beter en sneller te maken
HarfangLab waarschuwt voor nieuwe AI-gedreven cyberrisico’s
HarfangLab waarschuwt voor nieuwe AI-gedreven cyberrisico’s
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie