Volledige bescherming tegen evasive-technieken wel degelijk mogelijk

Door het grote aantal security-incidenten waarmee we de laatste maanden worden geconfronteerd, lijkt het soms wel of de cybercriminelen de strijd aan het winnen zijn. Wie echter een recent verschenen onderzoek van NSS Labs leest, ziet dat die conclusie niet klopt. Next generation firewalls blijken wel degelijk in staat om nagenoeg alle aanvallen tegen te houden en - wellicht nog belangrijker - de vele technieken die cybercriminelen bedenken om security-maatregelen te omzeilen volledig te neutraliseren.

De informatieplicht die steeds meer overheden aan bedrijven opleggen om security-incidenten waarbij persoonsgegevens zijn betrokken openbaar te maken heeft grote voordelen. Maar helaas kent dit beleid ook een belangrijk nadeel. Aan de ene kant krijgen we een steeds beter beeld van wat er daadwerkelijk gebeurt op het gebied van security. Tegelijkertijd zien we nu echter ook heel duidelijk hoe vaak cybercriminelen in staat zijn om door te dringen in netwerken waarvan we dachten dat deze goed afgeschermd waren voor onbevoegden. De maatschappelijke onrust die hierover is ontstaan, zal niemand ontgaan zijn. Sterker nog, hierdoor lijkt soms de indruk te ontstaan dat de cybercriminelen de strijd aan het winnen zijn.

Onjuist beeld

Dat beeld klopt echter niet. Waar de wedloop tussen cybercriminelen en aanbieders van beveiligingsproducten vaak iets weg heeft van ‘haasje-over’, zien we dat de security-aanbieders momenteel behoorlijk goed scoren. Dat blijkt bijvoorbeeld uit een recent gepubliceerd onderzoek van NSS Labs. Dit testlab heeft onlangs een aantal zogeheten ‘next generation firewalls' onderzocht en onderworpen aan een groot aantal - wat zij noemen - ‘real world attacks’. Met andere woorden: op basis van de diepgaande kennis van NSS Labs van de security-wereld, heeft men een groot aantal aanvalsmethodieken van cybercriminelen verzameld. Vervolgens heeft men onderzocht in hoeverre een serie bekende firewalls in staat is om deze aanvallen tegen te houden. Daarbij heeft men gekeken naar producten van Barracuda, Checkpoint, Cisco, Cyberoam, Dell (Sonicwall), Fortinet, McAfee, Palo Alto Networks en WatchGuard. Van sommige aanbieders zijn meerdere modellen firewalls beproefd.

Kosten en prestaties

Wat het onderzoek echter extra interessant maakt, is het feit dat NSS Labs niet uitsluitend naar de technische prestaties van de diverse leveranciers heeft gekeken. Men heeft echter ook een relatie gelegd met de kosten die een IT-afdeling moet maken om tot een bepaald prestatieniveau te komen. Met andere woorden: wat kost het om een bepaalde hoeveelheid dataverkeer te beveiligen? De resultaten van deze tests zijn weergegeven in figuur 1.

Bekende namen

Opvallend is dat een aantal bekende aanbieders wat minder goed lijken te scoren dan wat kleinere spelers als bijvoorbeeld WatchGuard, dat zowel wat betreft kosten als effectiviteit goed uit de tests naar voren komt. Uit het onderzoek blijkt dat de WatchGuard XTM 1525 97,8 procent van alle geteste aanvallen weet tegen te houden. Bovendien omzeilde deze firewall alle zogeheten ‘evasive techniques’ die cybercriminelen toepassen om beveiligingsmaatregelen te omzeilen. Daar komt bij dat de kostprijs per beveiligde Mbps door NSS Labs als ‘zeer gunstig’ wordt getypeerd.

In detail

Meer in detail levert de test als resultaat op dat de WatchGuard XTM 1525 volgens NSS Labs 96,7 procent van alle aanvallen blokkeert tegens serverapplicaties en 98,7 procent van alle pogingen om client-applicaties aan te vallen. Dit betekent dat de XTM 1525 gemiddeld 97,8 procent van alle aanvallen tegenhoudt. Belangrijk is bovendien dat de firewall zeer goed scoorde in de NSS Application Control-test. NSSLabs heeft vastgesteld dat de software die door de firewall wordt gebruikt, ofwel XTM v11.8, op correcte en effectieve wijze complexe policies afdwingt die zijn samengesteld uit meerdere regels, objecten en applicaties. Hierbij hebben de onderzoekers vastgesteld dat de XTM bij zowel inkomend als uitgaand dataverkeer met succes kan vaststellen welke applicatie de data verstuurt of ontvangt, om vervolgens de juiste policy op deze datastroom toe te passen.

Toelichting

“Voor bedrijven en overheidsorganisaties is het van cruciaal belang dat zij een goed begrip hebben van de prestaties en effectiviteit van moderne firewalls”, zegt Vikram Phatak, chief executive officer van NSSLabs in een toelichting op de testresultaten. “De WatchGuard XTM 1525 kende gedurende het gehele testproces een zeer hoge en bovendien zeer consistente mate van bescherming tegen aanvallen en pogingen van cybercriminelen om de beveiligingsvoorzieningen van de firewall te omzeilen.”

Incidenten real-time zichtbaar

De WatchGuard XTM 1500-serie biedt een throughput tot 25 Gbps en 10 Gbps als sprake is van het gebruik van een VPN (virtual private network). Net als alle WatchGuard Next Generation (NGFW) en Unified Threat Management (UTM) appliances wordt de XTM 1525 ondersteund door WatchGuard Dimension. Deze software maakt beveilingsmaatregelen en eventuele incidenten in real-time zichtbaar. Hierdoor kan per direct het door een beveiligingsincident getroffen deel van een netwerk worden vastgesteld en geïsoleerd. WatchGuard Dimension genereert ook in real-time alle voor die aanval relevante informatie - van type aanval tot trendinformatie.