Drie soorten IT-kwetsbaarheden en de maatregelen op rij

Gepost op: 14-10-2016 12:07:48 door Gerard Klop
Tags: cybercrime, zerodayattack
Gerard Klop
Hoewel 0-day kwetsbaarheden op de meeste aandacht kunnen rekenen, vormen de ‘bekende kwetsbaarheden’ nog altijd een groter probleem voor bedrijven. Hoe zorgen we ervoor dat deze kwetsbaarheden u niet onnodig aan het werk houden? Het onderwerp ‘0-days’ heeft alle elementen van een spannende misdaadthriller in zich. Een aanslag op een belangrijk overheidsgebouw hangt in de lucht, dat is wel duidelijk. Maar de dader, zijn motieven en van welke zwakke plek in de beveiliging hij misbruik gaat maken? Daarover tasten de knappe rechercheurs nog volledig in het duister. Dat plaatje wordt pas duidelijk als alle lijntjes op het whiteboard met elkaar in verband zijn gebracht, waarna de rechercheurs met een blauw zwaailicht op het dak wegscheuren...

Bekende kwetsbaarheden: niet spannend, wel problematisch

Nee, dan de bekende kwetsbaarheden... Bekend is hoe cybercriminelen hier misbruik van maken en de leveranciers van de software hebben al lang hun patches beschikbaar. Daar is met de beste wil van de wereld geen spannend script op te baseren.En toch vormen deze bekende kwetsbaarheden een veel groter probleem voor bedrijven dan de 0-days. In 2015 troffen de onderzoekers van Secunia Research ruim zestienduizend kwetsbaarheden aan. In maar liefst 84 procent van de gevallen was er geen sprake van een 0-day maar van gaten waarvoor op het moment van ontdekking patches beschikbaar waren. En toch gaat het dan nog regelmatig mis.

Drie soorten maatregelen

Gelukkig zijn tegen cyberdreigingen die misbruik maken van bekende gaten effectieve maatregelen te nemen. Grofweg zijn er naast de onbekende 0-day gaten drie soorten kwetsbaarheden, ieder met een eigen aanpak:

1. Fouten in software

Dit advies klinkt misschien wat vreemd, maar is eigenlijk heel logisch: gebruik zo weinig mogelijk software. Geen enkel stuk software is helemaal foutvrij. Hoe meer software je gebruikt, hoe groter het potentiële ‘aanvalsvlak’ van een hacker. Installeer je een Windows-server als fileserver, doe dat dan zonder de aanvullende diensten die je niet nodig hebt. Daarnaast is het natuurlijk zaak om een strak patchbeleid te hanteren. Hoe korter de tijd tussen het verschijnen van de patch en de installatie ervan, hoe kleiner de kans dat een aanvaller gebruikmaakt van een bekend lek. Een andere goede maatregel is om regelmatig het hele netwerk te scannen op kwetsbaarheden. Zo’n  zogeheten vulnerabilityscan voorkomt dat er ongemerkt kwetsbaarheden ontstaan die lange tijd onopgemerkt blijven. Een belangrijk onderdeel is het scannen van webapplicaties waarmee je kwetsbaarheden in webapps opspoort. Juist webapplicaties zijn kwetsbaar: in theorie kan iedereen met een internetverbinding bij deze applicaties.

2) Fouten in configuratie

Zelfs een strak gepatchte server of werkstation is kwetsbaar wanneer de beheerder niet de juiste configuratiekeuzes maakt. Een goede manier om dat zoveel mogelijk te voorkomen, is het optuigen van een enkele server en de beveiliging hiervan helemaal te optimaliseren. Deze ‘golden template’ kun je vervolgens op alle servers uitrollen. Vervolgens is het zaak dat al die servers veilig geconfigureerd blijven. Via logaudits en speciale software voorkom je dat gebruikers of andere beheerders ongewenst instellingen wijzigen. Ook een policy-compliancescan voorkomt configuratiemissers. Zo’n scan controleert alle netwerkcomponenten en houdt de bevindingen tegen de golden template aan. Zo komen afwijkingen van de policy tijdig aan het licht.

3) Menselijke fouten

Zelfs het meest geharde serverpark is niet opgewassen tegen menselijke fouten. Die fouten maken mensen overigens niet altijd bewust. Mensen zijn lang niet altijd zijn op de hoogte van de gevaren. Ook handelen ze niet altijd even zorgvuldig. Cybercriminelen maken middels social engineering misbruik van hun goede vertrouwen, bijvoorbeeld door ze via een listig telefoongesprek of een phishing-mail inloggegevens te ontfutselen. Educatie en awarenesstrainingen helpen bij het verkleinen van de menselijke risicofactor.

Securitymedaille

Het in kaart brengen en verkleinen van bovenstaande drie risicofactoren is echter slechts een kant van de medaille. Minstens zo belangrijk is weten aan welke cyberdreigingen je organisatie blootstaat. Pas wanneer je die twee zaken scherp hebt, kun je een goede prioritering maken van de securitymaatregelen. Het heeft immers niet zoveel nut om veel tijd en geld te steken in het verhelpen van kwetsbaarheden als er nauwelijks dreigingen zijn die daar misbruik van maken, en vice versa. Dreigingen en kwetsbaarheden zijn daarbij twee kanten van dezelfde securitymedaille. Honderd procent waterdicht is een utopie, maar wie de juiste keuzes maakt, is in ieder geval al voorbereid op het bekende.

--------

Dit artikel is ook verschenen op IT Executive
Blog postsRSS