30 maart 2010
Hoe ga je als systeembeheerder om met kritische beveiligingsproblemen binnen browsers? Het installeren van meerdere browsers op één gebruikersdesktop is geen optie. 'Je kunt niet van je gebruikers verwachten dat ze op jouw aanraden tijdelijk een andere browser gebruiken', zegt beveiligingsarchitect Marco Plas van ING. 'Vaak zijn dan net niet de juiste plug-ins voorhanden om intranetapplicaties goed te kunnen draaien'. 'De frequentie van het ontdekken van lekken in de browsers is dusdanig groot, dat men eigenlijk wel dagelijks zou moeten schakelen', vult Orange-adviseur Marco Mulder aan. Beveiligingsadviseur John Rudolph van Wipro: 'Het wisselen van browser is geen optie. De gebruiker weet dan niet meer waar hij/zij aan toe is: wanneer moet je IE gebruiken, wanneer Firefox of Opera of Google Chrome?' 'De allereerste taak van een systeembeheerder is om de rust bewaren', zegt marketing manager Maurice Remmé van Getronics. 'Want voor een systeembeheerder zijn dit soort meldingen aan de orde van de dag. Als de beveiligingsomgeving goed is opgebouwd (verschillende beveiligingslagen), biedt dit over het algemeen afdoende bescherming voor organisaties.' Dat vindt ook Jan van der Sluis van Unisys: 'Een goede systeembeheerder heeft een security-draaiboek waarmee kan worden gehandeld conform de bedrijfsrichtlijnen.'
Ook adviseur Lex Borger van Domus Technica houdt het hoofd koel: 'Browsers zijn wel gratis, het beheren daarvan is dat zeker niet. De oplossing moet veel meer worden gezocht in het veilig inrichten van je IT-infrastructuur: weet welke processen en informatie belangrijk zijn en bescherm deze goed. Scherm dit af van de algemene werkplek met browser en e-mail, waar de kansen van een kwetsbaarheid en een virusbesmetting groot zijn'. 'Het is bijna onbegonnen werk en ook niet realistisch voor een systeembeheerder om meerdere browsers te ondersteunen, hoewel het soms wordt gedaan voor bepaalde toepassingen', vindt ook 'security evangelist' Eddy Willems van G Data Security Labs. Ralph Moonen sluit zich hierbij aan: 'Elke keer een andere browser aanraden werkt erg verwarrend voor de meeste mensen. Beter is het om het eindpunt zelf beter te beveiligen. Denk aan personal firewalls, no-script plugins en het kweken van bewustzijn over hoe je kwaadaardige sites kunt herkennen'. Plas: 'Goed patch management is eigenlijk de enige remedie. Softwareleveranciers zijn vaak snel op de hoogte van dit soort lekken en komen doorgaans snel met een patch op de proppen. Als je daarmee als bedrijf op een efficiënte wijze kunt omgaan, is het gevaar al geweken voor dat je ervan last hebt'. Netwerk- en beveiligingsmanager Sinclair Koelemij van Honeywell adviseert daarnaast om gebruik te maken van 'virtual patching en whitelisting. Met virtual patching leg je als het ware een scherm om je webapplicaties heen. Daardoor kun je op centraal niveau het lek proberen te dichten, voordat je decentraal gaat patchen. Dat beperkt de overlast van het patchen een beetje en stelt je in staat sneller te reageren. Een tweede manier zou whitelisting zijn geweest. Dat is een methodiek die het normaal functioneren als uitgangspunt neemt en afwijkingen daarvan blokkeert'.