Een veilig netwerk door de ogen van Loek: Cisco Secure Client ‘Anytime Anywhere’

Het vierde en laatste deel van de serie ‘Een veilig netwerk in de ogen van Loek’ richt zich op de Secure Client van Cisco, waarmee je de beveiliging van je netwerk vanuit een centraal punt kunt beheren.

Sinds begin 2020 heeft het thuiswerken een enorme boost gekregen. Waar medewerkers, klanten en leveranciers voorheen grotendeels vanuit kantoor werkten, zijn de werkzaamheden veel meer naar de thuissituatie verplaatst. Deze wijziging heeft er ook toe geleid dat ‘security controls’ verhuisd zijn van het centrale datacenter naar een cloud managed oplossing. Met deze oplossing is het makkelijker om grip te houden op zowel de kantooromgeving als de werkomgeving van de medewerker buiten kantoor.

Wat kun je met de Cisco Secure Client?

Cisco heeft de cloud managed oplossing begin 2022 omgedoopt van Anyconnect naar Cisco Secure Client. Hiermee beheer je diverse Cisco producten (waaronder Umbrelle, ISE (Identity Service Engine) en Secure Endpoint) vanuit één client. Ook blijft elk product in zijn kracht en blijf je gebruik maken van alle unieke functionaliteiten.

Afhankelijk van de behoefte kunnen de producten gestapeld worden waardoor je uiteindelijk een totaaloplossing krijgt. In de afbeelding zie je drie gestapelde producten.

Cisco AnyConnect VPN

Hiermee kun je onder andere verbinding maken met een organisatie, om vanuit daar de benodigde applicaties te benaderen. Cisco Anyconnect VPN biedt daarnaast ook mogelijkheden om de gebruiker te authentiseren tegen Active Directory of SAML (een technische standaard die, door single sign-on providers, gebruikt wordt om er voor te zorgen dat een gebruiker geauthentiseerd kan worden).

Cisco Secure Endpoint (voorheen AMP)

De vernieuwde endpoint protectie van Cisco voorziet in een Endpoint Detection and Response oplossing (EDR). Waar de klassieke antivirus oplossing enkele tekortkomingen had, heeft Cisco met Secure Endpoint de beveiliging substantieel verhoogd. Secure Endpoint monitort de werkplek constant, in zijn geheel als ecosysteem, op afwijkend gedrag. Hierdoor zijn afwijkingen eenvoudig vast te stellen. Uiteraard dient deze oplossing constant gemonitord te worden op afwijkingen om vast te stellen of er geen false-positives ontstaan.

Cisco Umbrella

Umbrella heeft zijn meerwaarde al meermaals bewezen. Cisco Umbrella is in de basis een DNS-Security oplossing. Om dit product goed te kunnen toelichten, is enige kennis van de werking van DNS benodigd.

Waar het in de essentie om gaat is dat wanneer men een website bezoekt er eerst altijd een vertaling gedaan wordt van NAAM naar IP adres. Door gebruik te maken van de DNS servers van Umbrella (208.67.220.220 en 208.67.222.222) wordt deze vertaling door Cisco uitgevoerd.

Cisco houdt een database bij met malafide IP adressen. Mocht er een DNS verzoek komen dat matcht met een van deze malafide IP adressen, dan kan Cisco deze blokkeren. Hiermee voorkom je dat gebruikers (per abuis) malafide websites bezoeken. Ook verklein je substantieel het risico op malware en phishing.

Een andere mogelijkheid van Umbrella is om URL-filtering toe te passen. Zo kun je bepaalde URL categorieën blokkeren, zoals shopping of gaming. Dit zijn voorgedefinieerde categorieën, die meerdere URL’s bevatten. Op de afbeelding zie je een dergelijke blokkade.

Cloud Managed Firewall

De laatste nieuwe ontwikkeling binnen Secure Client is de toevoeging van een Cloud Managed Firewall. Dit biedt extra mogelijkheden op het gebied van het toestaan of blokkeren van IP of TCP/UDP pakketten. Het toestaan of blokkeren van pakketten is eigenlijk niet bijzonder, dit doen we immers al jaren met lokale firewalls. Echter door het in de cloud te hosten, kunnen de policies ook op de thuiswerkplek worden toegepast.

De Umbrella Cloud Managed Firewall is met name geschikt om verkeer van binnen naar buiten te filteren. Voor verkeer dat andersom gaat, blijft een on-premise firewall noodzakelijk.

Additionele mogelijkheden

• Cloud Access Security Broker (CASB): laat organisaties grip krijgen op het gebruik van cloud toepassingen
• Data Loss Prevention (DLP): helpt bij het beschermen van gevoelige informatie. DLP classificeert data op basis van gevoeligheid. Op basis van deze classificatie kan er bepaald worden wat er al dan niet mogelijk is met deze data. Zo kunnen er bijvoorbeeld bij creditcardnummers beperkte mogelijkheden worden opgelegd.
• Remote Browser Isolation (RBI): met RBI plaats je een extra beveiligingslaag voor hoge risico-eindgebruikers. Door de browser te activeren in de cloud en niet op het lokale apparaat, verplaats je gevaarlijke webcontent ook naar de cloud. Hierdoor hebben aanvalstechnieken als scripts en phishing minder effect op de werkplek van de gebruiker.

Doordat Cisco meerdere producten kan stapelen in de Cisco Secure Client kan voor elk beveiligingsrisico een gepaste oplossing geboden worden.

Daarnaast is het ook van belang om in acht te houden dat er gefaseerd producten geïmplementeerd dienen te worden. Op deze manier kun je implementaties goed monitoren en meten, waardoor doorlooptijden verklein worden. Het interne beleid van organisaties is regelmatig een vertragende factor in dit proces. De ervaring van TCC zal ervoor zorgdragen dat er een correcte vertaling wordt gemaakt van beleid naar technische oplossing.

Cisco Secure-X

In de toekomst zal alles aangestuurd worden vanuit Secure-X dashboard. Hiermee bewerkstellig je een Single Pane of Glass. De verschillende security oplossingen, waaronder Umbrella en Secure Endpoint, geven op basis van API’s informatie door aan het dashboard.

Daarnaast zal Secure-X meer en meer mogelijkheden gaan bieden om direct acties vanuit het Secure-X dashboard te kunnen toepassen. Bijvoorbeeld het in quarantaine plaatsen van een client omdat er in Secure Endpoint afwijkend gedrag wordt vertoond. Op basis van een playbook wordt er vervolgens automatisch ingegrepen. Na onderzoek van de werkplek, kan deze client dan weer worden vrijgegeven.