De security industrie wordt al jaren gedomineerd door offensieve acties en maatregelen. Dit lijkt er al ingeslopen te zijn sinds de eerste security oplossingen in de jaren negentig gelanceerd werden. Het geeft een security specialist een veel “cooler” imago als hij “0-day exploits” onderzoekt. Terwijl iemand die een effectieve defensieve oplossing heeft snel gezien wordt als een “wannabe hacker”.

Achter de feiten aanlopen

Het gevolg hiervan is dat er vooral reactieve oplossingen worden ingezet. Denk hierbij aan het installeren van patches, of het stuk-voor-stuk vinden van alle kwetsbaarheden in een systeem. Dit zijn absoluut waardevolle activiteiten die in elke organisatie in de bedrijfsprocessen opgenomen moet worden. Updates en patches helpen echter alleen tegen bekende kwetsbaarheden in software. Maar wat als er een lek wordt misbruikt dat nog niet bij software leveranciers bekend is. Of wanneer er nog geen patch voor een bekende kwetsbaarheid beschikbaar is vanwege de complexiteit van de oplossing in het product? Dan loop je dus altijd achter de feiten aan en heb je de kans dat jouw omgeving misbruikt wordt.

Daarnaast zien we dat online criminelen geen ‘traditionele’ lekken meer misbruiken, maar juist gebruik maken van beschikbare functionaliteit in software. Een goed voorbeeld hiervan is ransomware. Deze vorm van malicious software maakt gebruik van de mogelijkheid binnen Office om macro’s uit te voeren. Dit is een standaard functionaliteit, geen patch of update die hier tegen helpt!

Teveel focus op kwetsbaarheden

Een van de grootste obsessies binnen de security industrie op dit moment is het vinden van security kwetsbaarheden. Het lijkt haast wel of het ultieme doel is om elke kwetsbaarheid die er is aan te tonen. Organisaties willen de tellers op ‘0’ hebben, elke kwetsbaarheid moet worden opgelost! Software wordt echter door mensen geschreven en zal daarom altijd fouten bevatten, hoe goed de ontwikkelaars ook is. We kunnen er dus wel van uit gaan dat fouten zullen blijven ontstaan zo lang de mens code schrijft.

Helpt het dan om je blind te starten op dezelfde kwetsbaarheden die al duizenden keren in de afgelopen 10-20 jaar voorbij gekomen zijn, in een of andere vorm? Wij zijn er van overtuigd dat dit niet het geval is. Het is een zeer reactieve (en arbeidsintensieve!) aanpak om elke bug stuk voor stuk aan te tonen en op te lossen. Regelmatig wordt geconstateerd dat een ernstige kwetsbaarheid al vele jaren in een product aanwezig is, ondanks dat meerdere security researchers de software onderzocht hebben. In sommige gevallen heeft het meer dan 10 jaar geduurd voordat een lek ontdekt en gepatcht werd! Al de tijd had dit lek misbruikt kunnen worden door criminelen. Dit bevestigt dat alleen het vinden van lekken niet de oplossing is!

Defense-in-depth

Steeds meer organisaties krijgen gelukkig door dat alleen updaten of het inzetten van Anti-Virus oplossingen niet helpt. Er wordt gezocht naar andere oplossingen die wel effectief zijn. Denk hierbij aan defense(-in-depth) maatregelen, zoals het simpelweg uitzetten van de macro functionaliteit in Office. Ook zorgen restrictie policies op software en maatregel zoals “AppLocker” of “Device Guard” dat het uitvoeren van ransomware en andere malware niet meer mogelijk is. Dus ook wanneer een gebruiker op een verdachte link klikt of een attachment probeert te openen zal de malware geen schade aanrichten. Door deze preventieve “defense-in-depth” maatregelen op verschillende lagen binnen de organisatie toe te passen, kunnen zo veel aanvallen worden voorkomen of het effect ervan fors worden terug gebracht.

Leveranciers en ontwikkelaars van essentiële systemen, zoals bijvoorbeeld het besturingssysteem dat je elke dag gebruikt, beginnen door te krijgen dat het oneindig oplossen van kwetsbaarheden geen echte oplossing is voor het probleem. We constateren dat er op verschillende niveau’s steeds meer mitigatie maatregelen worden ontwikkeld. Deze maatregelen kunnen preventief of pro-actief kunnen worden ingezet om organisaties te beschermen tegen het misbruik van kwetsbaarheden. In veel gevallen is de oplossing voor organisaties eenvoudig, gebruik bijvoorbeeld gewoon de laatste versie van het besturingssysteem met deze mitigatie technieken.

Guardian360 zal zich de komende periode meer gaan focussen op het in kaart brengen van ontbrekende defense-in-depth maatregelen in netwerken en webapplicaties omdat we er van overtuigd zijn dat we organisaties zo veel beter kunnen helpen!

Bescherming van webapplicaties

De afgelopen periode zijn extra beschermingslagen voor websites in opkomst, bijvoorbeeld door zogenaamde “security headers” toe te passen. Deze headers kunnen helpen bij het beschermen van de bezoeker van een website of gebruiker van een webapplicatie. Een voorbeeld hiervan is het tegengaan van het uitvoeren van kwaadaardige script code in de browser. Dus mocht er in de website een programmeerfout aanwezig zijn die nog niet is ontdekt, dan kunnen de maatregelen ervoor zorgen dat kwaadwillenden misbruik maken van het lek zodra e dat hebben weten te achterhalen.

Guardian360 Quickscan

Guardian360 heeft in 2016 een gratis dienst ontwikkeld waarmee website ontwikkelaars, webshopeigenaren en webapplicatie aanbieders eenvoudig kunnen testen of de defense in depth maatregelen goed zijn geconfigureerd. Ga naarhttps://quickscan.guardian360.eu/nl om een gratis scan te doen!

Dit artikel is geschreven in samenwerking met Robert van Hamburg, senior security engineer bij Guardian360