Als het (malware) regent, gebruik je een (Cisco) paraplu

De manier waarop tegenwoordig gewerkt wordt, is fundamenteel aan het veranderen. Het komt steeds vaker voor dat corporate endpoints het internet opgaan vanaf onbeveiligde netwerken. Dit komt onder andere doordat steeds meer applicaties naar de cloud gaan. Hierdoor hoeven werknemers niet meer verbonden te zijn op het corporate netwerk om gebruik te kunnen maken van die diensten. Ook wordt er niet altijd een VPN-connectie gebruikt, wat extra kwetsbaarheden met zich meebrengt. Steeds meer wordt er gebruikgemaakt van een vorm van directe toegang tot internet.

De bovenstaande ontwikkelingen leiden ertoe dat Gartner heeft voorspeld dat 25 procent van het corporate dataverkeer in 2018 niet meer via het interne netwerk zal gaan. Dit heeft als gevolg dat slechts het gebruik van netwerk-perimeter security (e.g. Next-Generation Firewalls) niet meer voldoende zal zijn voor het volledig beschermen van corporate informatie. Dit is natuurlijk geen goede ontwikkeling in een tijd waar het via het internet malware ‘regent’. Daarom is het belangrijk om niet alleen netwerk- en endpoint-security toe te passen, maar om nog een extra laag van security te hebben. Dit is waar Cisco Umbrella te hulp schiet.

Wat is Cisco Umbrella?

Cisco Umbrella is al zeer duidelijk uitgelegd in een eerdere blog. Voor de geïnteresseerden die de vorige blog niet hebben kunnen lezen, volgt hier een bondige uitleg: Umbrella is een Cloud-platform dat is ingebouwd in de structuur van het internet en dient als een primaire laag van bescherming. Het maakt gebruik van Domain Name Service (DNS) en heeft daardoor een compleet beeld van internet-activiteit. Daarmee kan het dreigingen van elke port en elk protocol weren voordat die de gebruiker en het netwerk bereiken. Umbrella is een zogenaamde ‘recursieve DNS-provider’.

Een recursieve DNS-provider is verantwoordelijk voor het verschaffen van het juiste IP-adres voor een opgevraagde domeinnaam. Dit kan vergeleken worden met een telefoniste die voor iemand een telefoonnummer opzoekt. Zij heeft hiervoor meerdere telefoonboeken in haar bezit. Daarentegen houdt een ‘autoritaire DNS-provider’ juist bij welke domeinnaam bij welk IP-adres hoort, en reageert direct op aanvragen van recursieve DNS-servers. Dit kan vergeleken worden met één van de telefoonboeken van de telefoniste. Door het analyseren van internet-activiteit leert Umbrella correlaties, waarmee het allerlei vormen van internet-dreigingen kan ontdekken en blootstellen. Hierdoor kan Umbrella dus proactief dreigingen blokkeren voordat die de eindgebruiker bereikt hebben. Als een gebruiker toch geïnfecteerd raakt met malware, dan kan Umbrella het ‘Command & Control’ (C&C)-verkeer herkennen en blokkeren, wat ervoor kan zorgen dat de malware niet actief wordt.

Doordat Umbrella is genesteld in een fundament van het internet, DNS, kunnen zowel gebruikers die verbonden zijn via het interne netwerk, als mensen die niet verbonden zijn met het internet via het interne netwerk, profiteren van optimale bescherming.

Onderliggende technologie: OpenDNS

Met de acquisitie van OpenDNS in 2015 werd er een serieus cloudplatform voor internet-beveiliging toegevoegd aan het portfolio van Cisco. Dit komt door de simpele werking, zoals beschreven in de vorige alinea’s. Ook draagt de architectuur van het platform hieraan bij. Het eerste voordeel van het OpenDNS-platform is dat het gebruikmaakt van ‘anycast-routing’. Dit houdt in dat een gebruiker niet afhankelijk is van één of twee datacenters, maar in het geval van een uitval direct wordt doorverbonden naar een van de vele andere datacenters. Hierdoor is OpenDNS sinds 2006 altijd bereikbaar geweest (100% up-time). Het tweede voordeel is dat er geen connector of PAC-bestanden nodig zijn om OpenDNS te implementeren. Soms is het zelfs zo eenvoudig dat men alleen de recursieve DNS-instellingen hoeft te veranderen naar 208.67.222.222 of 208.67.220.220. Een derde voordeel is dat het platform is opgebouwd door middel van een ‘container-architectuur’, waardoor het toevoegen en aanpassen van functionaliteiten erg makkelijk is. Dit maakt het een erg adaptief en flexibel platform. Een laatste voordeel is dat het gebruikmaakt van een intelligente proxy die niet elke vorm van dataverkeer grondig hoeft te inspecteren. Hierdoor is de impact op de performance te verwaarlozen.

Wat gebeurt er met Cisco CWS?

Gepaard met de acquisitie van OpenDNS, kwam een overlap van functionaliteiten met het al bestaande product Cisco Cloud Web Security (CWS). Dit leidde tot de vraag hoe dit zou moeten worden aangepakt. Doordat Cisco OpenDNS als cloudplatform een aantal serieuze voordelen heeft op het CWS-platform, is besloten een aantal ontbrekende functionaliteiten van CWS naar het OpenDNS-platform te migreren, en dit Cisco Umbrella te noemen. Als gevolg hiervan zijn meerjarige contracten van CWS end-of-sale geworden per 28 januari 2017.

In de toekomst zal de intelligentie van Cisco Umbrella nog verder worden uitgebreid.

Meer weten?

Door het fuseren van OpenDNS en CWS tot Cisco Umbrella is er een uitstekende “first line of defense” ontstaan die gebruikers beveiligt tegen dreigingen van het internet. Voor meer informatie over Cisco Umbrella kunt u naar umbrella.cisco.com.

Laat een reactie achter