Geavanceerde hacks? Welnee, simpele en bewezen methodes zijn het gevaar.
Een standaardconfiguratie, een ongepatcht systeem, een brakke applicatie – dit zijn de dingen waar aanvallers op jagen. Richt je niet op die nieuwe complexe aanval die veel media-aandacht krijgt, maar op de 99,9 procent die de meeste problemen opleveren.
Exploits zijn in de kern simpel gezegd een zaak van het gebruiken van onterecht vertrouwen in de invoer van een gebruiker. Dit geldt voor zowel netwerkaanvallen of als iemand fysieke toegang probeert te krijgen tot een locatie. In de beveiligingswereld wordt daarom vaak het Russische gezegde “doveryai, no proveryai” aangehaald: vertrouw, maar verifieer.
Het aanpakken van kwetsbaarheden werkt met hetzelfde principe: er moet worden geverifieerd dat de persoon die de code invoert, opbelt of een server aanspreekt wel de persoon is die hij of zij zegt te zijn of dat een onverwachte fout leidt tot onterechte toegang. Vergeet de complexe theoretische aanvallen en richt je eerst op het aanpakken van deze tien praktijken.
1. Zwakke wachtwoorden
We beginnen met een inkopper: tenminste een van je werknemers heeft op dit moment een wachtwoord dat een aanvaller makkelijk kan raden, bijvoorbeeld Lente2016!. Zulke wachtwoorden voldoen aan de afgedwongen eisen en worden volop gebruikt, ook al weet echt iedereen dat dit onveilig is. Afdwingen van eisen helpt niet: zorg ervoor dat werknemers zich beter bewust zijn van de reële risico’s die dit met zich meebrengt.
2. Recyclen en delen
Het hergebruiken van dezelfde wachtwoord is pas echt een probleem als mensen voor hun administratieve toegang hetzelfde wachtwoord gebruiken als op een site. Er zijn al honderden miljoenen wachtwoorden uitgelekt en het hergebruik in combinatie met het nooit wijzigen ervan is een ramp die staat te gebeuren als wanneer aanvallers deze credentials gebruiken om je netwerk te infiltreren.
3. Phising & client side-aanvallen
Spamfilters houden niet alle phishing tegen die op je organisatie worden afgevuurd. Daarbij is gevaarlijk gedrag van werknemers (invullen van inloggegevens, klikken op links) een van dé manieren waarop je bedrijf wordt blootgesteld aan een aanval. Producten die beheersen waar gegevens heengaan kunnen effectief zijn, maar ook hier geldt dat voorlichten van personeel om inbraak te voorkomen van cruciaal belang is.
4. Usb-sticks achterlaten
Vel achtergelaten usb-sticks worden in computers geprikt omdat mensen nieuwsgierig zijn over wat er op staat. Onderzoekers toonden dit jaar aan dat dit in de praktijk zowaar regelmatig voorkomt. Sommige ubs-sticks worden expres verspreid en bevatten malware die aanvallers in staat stelt het systeem binnen te komen. Ook hier is voorlichting in de meeste gevallen een betere oplossing dan het draconisch whitelisten van usb-apparaten.
5. Social engineering
Dit is de term die we in de IT gebruiken voor de actie van zwendelaars: aanvallers die misbruik maken van de goedgelovigheid van sommige mensen om gegevens of toegang te bemachtigen. Dit soort zwendel wordt vaak toegepast, omdat het makkelijker is om misbruik te maken van het vertrouwen van een werknemer dan om een systeem of software te hacken. Zou je liever iemand vragen om een wachtwoord of een poging wagen om het te bemachtigen via inbraak?
6. Slecht ontworpen webapps
Security by design komt gelukkig vaker voor dan vroeger, maar bij de meerderheid van applicaties is helaas onvoldoende rekening gehouden met malafide gebruik ervan. Bovendien hebben zelfs de beste ontwikkelaars wel eens haast en worden producten met kwetsbare code afgeleverd zonder dat er tijd is voor een grondige security-review. Op dit soort software azen hackers.
7. Slecht geïmplementeerde of geen segmentatie
Netwerksegmentatie, waarbij je toegang tussen delen van de netwerktoplogie bruusk scheidt door bijvoorbeeld VLAN’s, is ontzettend belangrijk om aanvallers buiten kritieke systemen te houden. Als ze bij een systeem van een personeelslid binnenkomen, kunnen ze dus geen toegang verwerven tot een fysiek gescheiden onderdeel. Nog steeds heeft niet iedere organisatie zulke segmentatie of wordt het niet goed toegepast, zodat er nog altijd laterale beweging naar belangrijke servers mogelijk is.
8. SMB relay-aanvallen
Een van de makkelijkste ingangen is het misbruiken van het SMB-protocol of een ander broadcast-protocol om netwerkbronnen te delen. De beruchte SMB-kwetsbaarheid werd meer dan een decennium geleden al gepatcht door Microsoft, maar aanvallers ontdekten vorig jaar dat ondanks deze patch ze er nog misbruik van kunnen maken, waardoor Windows-gebruikers onbeschermd blijven.
9. Ongepatchte systemen
Zelfs in een vrij efficiënte IT-organisatie blijft het volledig patchen van het IT-systeem een utopie. Het is altijd het afwegen van onder meer prioritering van een patch en van risico’s versus gebruikersimpact. Een leverancier is niet de hoofdverantwoordelijke meer zodra jij een product in je netwerk introduceert, want op dat moment is het jouw zorg. Voer regelmatig tests uit, zorg voor een patch-team en houdt in de gaten wat producenten en beveiligingsonderzoekers melden. In de praktijk blijkt namelijk dat aanvallers meestal binnenkomen via kwetsbaarheden waar al jááren geleden een patch voor is verschenen.
10. Systemen met standaardinloggegevens
Veel hardware en software wordt tegenwoordig standaard beveiligd, maar dat moeten gebruikers dan nog wel aanpassen. Het is al erg genoeg dat dit bij consumenten voorkomt, maar bedrijfsapparatuur die is beveiligd met admin/admin is simpelweg onvergeeflijk. Dat configuraties niet worden aangepast of iets simpels als wachtwoordbeveiliging op een console niet wordt ingeschakeld gebeurt, ook al weten we allemaal beter. Pas configuraties altijd aan en zorg ervoor dat werknemers wachtwoorden gebruiken bij hun eigen spullen die op je netwerk worden ingeprikt.
Dit artikel verscheen eerder op de website van Computerworld: http://computerworld.nl/security/94558-10-manieren-waarop-aanvallers-je-besluipen