Home Security Blindelings vertrouwen van IT Security professionals in sleutels en certificaten

Blindelings vertrouwen van IT Security professionals in sleutels en certificaten

128

Vervalsingen van digitale sleutels en certificaten lijken weinig op typische cyberaanvallen, maar komen steeds vaker voor. Onderzoek toont aan dat veel bedrijven ongemerkt de deur wijd open houden voor cybercriminelen.
Met behulp van een vervalste of gestolen sleutel kunnen cybercriminelen versleuteld verkeer ontcijferen, hun slachtoffers ongemerkt volgen en zich voordoen als betrouwbare werknemers, websites, codes of beheerders. Onbeschermde, gestolen of gecompromitteerde sleutels en certificaten geven aanvallers onbeperkt toegang tot het netwerk van hun slachtoffers, waardoor ze tijdenlang ongemerkt in alle vrijheid kunnen rondneuzen, zodat ze ongestoord gevoelige informatie kunnen aftappen die ze voor hun criminele activiteiten kunnen gebruiken.

Naar aanleiding van aanvallen zoals die van afgelopen jaar op Sony Pictures Entertainment, heeft Venafi een onderzoek laten uitvoeren onder IT security professionals, om na te gaan wat zij doen om dit soort beveiligingsproblemen te voorkomen en het online vertrouwen te herstellen. De uitkomsten zijn verontrustend.
De meeste IT professionals erkennen in het onderzoek dat ze niet weten hoe ze met gecompromitteerde cryptografische sleutels en digitale certificaten moeten omgaan, laat staan hoe ze dat probleem zouden moeten oplossen. 38% van de respondenten blijkt überhaupt niet te weten hoe je dergelijke sleutels en certificaten kunt detecteren, en van de resterende respondenten geeft 56% aan dat ze daarvoor vertrouwen op een combinatie van Next Generation Fire Walls (NGFW), antivirus, Intrusion Defense Systems (IDS), Intrusion Prevention Systems (IPS) en sandboxes om zich tegen dit soort aanvallen te wapenen.

Cybercriminelen misbruiken meer frequent de Secure Sockets Layer (SSL), wat momenteel steeds vaker gebruikt wordt in grote ondernemingen. Volgens marktonderzoeksbureau Gartner maakt in 2017 50% van alle netwerkaanvallen misbruik van SSL/TLS (Transport Layer Security). Dat doen ze simpelweg omdat ze weten dat de meeste beveiligingsoplossingen ofwel blind vertrouwen op SSL/TLS, ofwel niet beschikken over de sleutels die nodig zijn om het verkeer te kunnen controleren op verborgen beveiligingsrisico’s. Die blinde vlek ondermijnt zo essentiële beveiligingssystemen.

Te goed van vertrouwen
Minstens zo beangstigend is dat bijna twee derde (64%) van de ondervraagde beveiligingsexperts toegeeft dat ze niet in staat zijn om snel (binnen 24 uur) te reageren op aanvallen via beveiligingssleutels. De meesten gaven aan minstens drie dagen of zelfs een week nodig te hebben om sleutels die gecompromitteerd zijn geraakt op te sporen, door te lichten en te vervangen.
In geval van misbruik van zo’n sleutel gaf meer dan driekwart (78%) ook nog eens aan dat ze maar een gedeeltelijke sanering zouden doorvoeren, waardoor ze in feite kwetsbaar blijven voor een volgende aanval. Op de vraag welke strategie hun organisatie volgt om het vertrouwenssysteem van sleutels en certificaten te beschermen, gaf slechts 43% van de respondenten aan dat ze gebruikmaken van een key management systeem. 16% had simpelweg geen idee. 14% vertrouwt op een handmatig proces en 22% blijkt de verantwoordelijkheid hiervoor elders in de organisatie belegd te hebben.

Deze onderzoeksresultaten zijn zorgwekkend, gezien het groeiende aantal aanvallen op de vertrouwensbasis van het internet, en de serieuze inbreuken op SSL/TLS en SSH sleutels en certificaten die we in de afgelopen maanden hebben gezien. Heartbleed, ShellShock, POODLE, de incidenten met man-in-the-middle aanvallen via Gogo en Superfish bij Lenovo, FREAK en nu onlangs weer het LogJam-gat: cybercriminelen zijn zich maar al te zeer bewust van de kwetsbaarheden in sleutels en certificaten en maken er druk gebruik van om mee te liften op vertrouwd internetverkeer.

Een solide basis
De reden dat cybercriminelen graag gebruikmaken van deze kwetsbaarheden is dat er geen immuunsysteem is voor het internet en zonder zo’n systeem kunnen ondernemingen niet controleren welk verkeer op hun netwerken te vertrouwen is.
Net als de antigenen in het menselijk lichaam heeft het internet een eigen identificatiesysteem voor betrouwbaar verkeer dat bestaat uit sleutels en certificaten. Dit systeem kent unieke kenmerken toe aan webservers, software, mobiele apparaten, apps, beheerders en zelfs complete vliegtuigen. Maar het internet heeft niet, zoals wij mensen dat wel hebben, een immuunsysteem dat het beschermt en actief uitzoekt of die kenmerken wel juist zijn, of dat iets zijn ware identiteit probeert te verbergen achter een onschuldig masker. Als je tijdens een aanval, die is ingezet via vervalste sleutels en certificaten, niet kunt nagaan welke kanalen onbetrouwbaar zijn en niet weet hoe je gecompromitteerde kanalen weer kunt herstellen, blijf je kwetsbaar voor een volgende aanval.

IT security professionals moeten zich wel realiseren dat sleutels en certificaten de basis vormen voor vertrouwde verbindingen met vrijwel alles wat tegenwoordig een IP-adres heeft, van online bankieren en winkelen tot de websites van onze regeringen. Als SSL/TLS en SSH sleutels op een goede manier beschermd en gebruikt worden, kun je erop vertrouwen dat webservers, software, apparaten, toepassingen en beheerders zijn wie ze zeggen te zijn. Doe je het goed, dan herken je indringers die zich verschuilen achter vervalste certificaten, zodat je ze kunt blokkeren en vervangen. Maar in de praktijk blijkt dat sleutels en certificaten vaak blind worden vertrouwd, zodat cybercriminelen ze kunnen gebruiken om mee naar binnen te liften, sites te infecteren en te vervalsen, malware te installeren en data te stelen.

Beveiligen en beschermen
Digitale certificaten verlopen op den duur en moeten worden vervangen, namaakcertificaten zijn eenvoudig te produceren. Ondernemingen doen er goed aan het toezicht van sleutels en certificaten onder de loep te nemen, zodat niet alleen duidelijk is waar ze te vinden zijn en wie ervoor verantwoordelijk is, maar ook dat ze gecontroleerd worden zodat ze inderdaad het vertrouwen verdienen waar ze voor staan. Dat vereist een immuunsysteem dat in staat is voortdurende controle uit te oefenen, dat direct actie kan ondernemen als er afwijkingen worden geconstateerd en dat volledig automatisch in staat is oude of geweigerde sleutels en certificaten te vervangen door nieuwe.
Nu we meer en meer overstappen naar de cloud en DevOps omgevingen, hebben organisaties behoefte aan een systeem dat in staat is snel te reageren, zodat de snelheid, veiligheid en het vertrouwen gewaarborgd blijft. IT professionals zullen zich moeten aanwennen certificaten te controleren en te beschermen en snel te reageren op iedere aanval. Als ze dat niet doen, gaat het online vertrouwen verloren, wat grote gevolgen kan hebben voor de economie, die voor commerciële en bedrijfskritische activiteiten zo sterk van dat vertrouwen afhankelijk is.

Kevin Bocek, Vice President of Security Strategy and Threat Intelligence, Venafi

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in