De Kanselarij van de Eerste Minister stapte zonder enige downtime over van een legacy-beveiligingsoplossing naar een volledig nieuw platform dat het securityniveau een flinke boost moet geven. Wat kunnen we leren van de overstap?
Vorig jaar verving de Kanselarij van de Eerste Minister haar volledige beveiligingsinfrastructuur door een nieuw platform. De oplossing van Stonesoft, die nochtans nog niet zo oud was, moest plaats ruimen voor de Security Fabric van Fortinet. De migratie is de analyse waard om verschillende redenen. Enerzijds illustreert ze het belang van een moderne kijk op beveiliging, anderzijds laat de case zien hoe zelfs een complexe omschakeling in kritische IT-infrastructuur zonder impact op de gebruikers kan plaatsvinden.
Obscure oplossing
De Kanselarij maakte aanvankelijk gebruik van beveiligingsoplossingen van Stonesoft. Toen dat contract werd afgesloten, was Stonesoft een Europese speler. Niet veel later werd het bedrijf echter speelbal van Amerikaanse giganten. Na een overname door Intel kwam Stonesoft onder McAfee terecht, dat het portfolio uiteindelijk doorspeelde naar Forcepoint. Resultaat: de beveiligingsinfrastructuur bestond uit redelijk obscure hard- en software waarvoor specialisten een bedreigde diersoort waren. drie jaar geleden ging de overheidsdienst op zoek naar een alternatief.
De beveiligingsinfrastructuur van de kanselarij bestond uit obscure hard- en software.
““We zochten naar een cybersecurityplatform dat ons een hoog niveau van beveiliging kon bieden tegen de steeds frequentere aanvallen”, zegt Bart Decruyenaere, Adviseur-Generaal, FOD Kanselarij van de Eerste Minister. De keuze viel uiteindelijk op de Security Fabric van Fortinet. Fortinet neemt vandaag de beveiliging van het merendeel van de Federale Overheidsdiensten voor zijn rekening en won als bijkomend voordeel een raamcontract met Smals. Dat maakte het mogelijk voor de Kanselarij om snel te schakelen zonder nood aan een volledig nieuwe aanbesteding.
Netwerk beveiliging op niveau
De dienst zocht in eerste instantie naar een beter visibiliteit, betere interne beveiliging, hogere efficiëntie en netwerksegmentering. Kortom: een modern beveiligingspostuur. Op die vragen bood de Security Fabric van Fortinet een antwoord. Dat platform bestaat uit een veelvoud van beveiligingsoplossingen die allemaal met elkaar praten en als één geheel werken. “De grote differentiator binnen het platform is de fysieke, dedicated sandbox”, verduidelijkt Patrick Commers, sales manager bij Fortinet en destijds verantwoordelijke bij het beveiligingsbedrijf voor de overeenkomst met de Kanselarij.
Die sandbox voorziet een lokale vorm van threat intelligence. Het stuk infrastructuur analyseert het gedrag van mogelijke malware en beslist op basis daarvan of code verdacht is. “Malware vermommen is vandaag erg eenvoudig, zodat signature-gebaseerde beveiliging niet meer volstaat. Door het gedrag van malware te analyseren, kunnen we ook zero-day-bedreigingen blokkeren.” Via de sandbox beschermt de Kanselarij haar infrastructuur tegen ongekende bedreigingen zonder dat trafiek daarvoor langs een cloudgebaseerde sandbox hoeft te passeren.
Signature-gebaseerde beveiliging volstaat niet meer.
Commers: “De dedicated sandbox in het lokale netwerk werkt samen met de andere beveiligingsapparaten zoals firewalls of de mail security gateway. Die sturen bestanden ter inspectie door, waar ze ook uitgerold staan. Vindt de sandbox een nieuwe bedreiging, dan stuurt die meteen een update uit naar alle andere oplossingen waarmee ze de threat zelf kunnen blokkeren. Die geïntegreerde aanpak van detectie en remediëring loopt volledig automatisch.”
Bijkomend voordeel van het Security Fabric is de eenvoud. De oplossing voor de Kanselarij bestaat onder andere uit firewalls, mailbeveiliging, sandbox en VPN-capaciteit. De hele omgeving werkt samen en wordt centraal beheerd en heeft een centrale logging en rapportage tool. In het geval van de Kanselarij gebeurt dat beheer en ondersteuning via partner VanRoey. De brede omarming van Fortinet doorheen de Belgische overheidsdiensten zorgt bovendien voor een zekere standaardisering van implementatie en beleid.
Moeilijke maar vlekkeloze migratie
“Die implementatie was niet eenvoudig”, herinnert Commers zich. De Kanselarij van de Eerste Minister zelf is immers niet zo’n grote overheidsdienst, maar ze profileerde zich de afgelopen jaren als een provider van IT-diensten voor andere overheidsdiensten (‘Shared Services’) waaronder de Federale Politie. “Bovendien bestaat er weinig expertise rond Stonesoft.”
Fortinet en Atos, dat instaat voor het operationele beheer van de hele IT-omgeving van de kanselarij, staken de koppen bij elkaar. Uiteindelijk was het niet de bedoeling om de bestaande Stonesoft-policies allemaal over te zetten. Commers: “We hebben heel veel gepraat met de Kanselarij en van de gelegenheid geprofiteerd om een propere situatie uit te rollen. We onderzochten wat er moest gebeuren zodat we een wildgroei van policies konden vermijden.”
Pas toen heel duidelijk was wat er precies moet gebeuren, was het tijd voor de migratie. Die gebeurde uiteindelijk in drie fases, telkens in een weekend. “De migratie heeft een viertal maanden in beslag genomen maar verliep vlekkeloos”, zegt Commers trots. “Klanten van de Kanselarij hebben er niets van gemerkt.”
Hybride mogelijkheden
De mailbescherming is naast de sandbox een belangrijke pijler voor de beveiliging van de overheidsdienst, niet in het minst omwille van de tienduizenden gebruikers die op de infrastructuur vertrouwen voor de beveiliging van hun e-mails. Momenteel is die beveiligingsgateway lokaal uitgerold op een virtuele machine in het datacenter van de Kanselarij. De dienst overweegt echter om op termijn Office 365 in de cloud te omarmen. Ook dat speelde mee in de keuze voor het Security Fabric. “De licenties werken zowel on-premises als in de cloud en ook de connectie met de lokale sandbox blijft bestaan. Zelfs wanneer de Kanselarij naar een meer hybride infrastructuur migreert, is geen enkele investering weggegooid.”
lees ook
Cyberaanvallen verschuiven van IT naar OT: security moet ook mee
De Kanselarij van de Eerste Minister voldoet sinds de migratie aan de vereisten van een moderne beveiliging zoals zowat iedere beveiligingsspecialist die schetst. Denk daarbij aan zero-day-bescherming, integratie en visibiliteit, eenvoudige analyse van logbestanden en netwerksegmentering via de verschillende firewalls aan de rand van de infrastructuur en in het datacenter. Dat is ook nodig volgens Decruyenaere:“Dagelijks krijgen onze systemen zeer doelgerichte aanvallen te verduren. Een cyberaanval zal voor ons niet zozeer financiële gevolgen met zich meedragen, maar onze grootste bekommernis is de grote invloed die een aanval kan hebben op het imago van de Kanselarij en de mogelijkheid van België om internationaal te reageren. Dat is op zijn minst even kritisch.”
Dit is een redactionele bijdrage in samenwerking met Fortinet. Meer informatie over de beveiligingsoplossingen van het bedrijf vind je hier.