“Iedereen moet zich ongestoord kunnen bewegen in de digitale wereld”
Veel organisaties zitten middenin een digitale transformatie. Apparatuur en mensen zijn steeds nadrukkelijk verbonden met het internet. Het is echter wel zaak om te zorgen dat iedereen het beste uit de beschikbare technologie kan halen. Aan deze kansen kleven helaas ook risico’s. De afgelopen periode haalden hackpogingen en andere vormen van cybercriminaliteit de voorpagina’s van kranten en nieuwssites. Het spanningsveld tussen maximale productiviteit en een veilige digitale wereld groeit langzaam uit tot een wedloop met cybercriminelen.
Hoewel in 2014 weer veel nieuwe exploits opdoken, schuilt ook in het verleden nog steeds gevaar. In de praktijk blijkt dat oude exploits nog steeds schade veroorzaken. In veel organisaties, groot en klein, staan systemen die al lange tijd niet meer gepatcht zijn. In 2014 waren de meest gebruikte exploits zelfs bijna vijf jaar oud. Deze systemen zijn ooit in gebruik genomen en draaien veelal op oude applicaties. In veel gevallen doen ze het gewoon goed. Mensen kijken bijvoorbeeld nauwelijks om naar een printserver, maar realiseren zich niet dat deze wel verbonden is met het netwerk. Omdat updates vergeten worden of te duur zijn, blijven exploits van een paar jaar geleden ook nu nog schadelijk.
Fast or slow update
Leveranciers van besturingssystemen bieden gebruikers regelmatig security updates tegen kwetsbaarheden aan. In tegenstelling tot algemene opinie zijn de besturingssystemen van Microsoft niet per definitie het meest kwetsbaar. Met een grote gebruikersgroep is Windows een aantrekkelijk en soms lucratief mikpunt. Toch kenden de besturingssystemen van Apple en Linux het afgelopen jaar de meeste kwetsbaarheden. Dat neemt niet weg dat security veel aandacht heeft bij de introductie van Windows 10 later dit jaar. Voor deze nieuwe OS-versie vernieuwt Microsoft de patch-strategie. Ze bieden gebruikers twee snelheden: slow en fast. De snelle variant biedt eindgebruikers en consumenten een oplossing tegen een exploit die weliswaar snel geleverd wordt, maar nog niet uitgebreid getest is. De consument vervult hier dus eigenlijk de rol van beta-tester. De langzame versie is vooral voor bedrijven die een patch willen, waarbij de kans op problemen minimaal is. Nadeel van deze aanpak is echter dat op het moment van het vrijgeven van de patch in het ‘fast’ scenario, hackers kennis van de gepatchte exploit krijgen. Daardoor kunnen ze proberen om deze te gebruiken bij bedrijven die het ‘slow’ scenario volgen en de patch dus nog niet geïmplementeerd hebben. In deze nieuwe situatie is hoe dan ook een duidelijk patch-beleid noodzakelijk, ongeacht de keuze die een organisatie maakt.
Heuristisch
Het is nog onduidelijk hoe de nieuwe patch-aanpak zal werken en wat het effect op de beveiliging van organisaties is. Het is te vroeg in het transitieproces om daar conclusies aan te verbinden. Hoewel de security elke keer weer verbetert, zullen criminelen altijd op zoek gaan naar kwetsbaarheden. Naast een helder patch-beleid blijft het essentieel om geavanceerde security software met exploit blocking-technologie in te zetten die meer doet dan alleen reageren op een incident. Een helder security-beleid, heuristische software en minimaal beheer zijn basisvoorwaarden voor optimale bescherming.
Alertheid
Steeds meer organisaties erkennen het belang van een goed gedocumenteerd patch-beleid. Maar ook vanuit klanten en wet- en regelgeving neemt de druk toe. Recent kreeg een verzekeringsbedrijf in Groot-Brittannië een boete omdat ze de security van hun systemen niet up to date hielden. Doordat de verzekeraar in gebreke bleef, hadden hackers toegang tot persoonlijke gegevens van klanten. In Nederland is die regelgeving nog niet opgetuigd. En zonder in discussie te gaan over de wenselijkheid kan dit kan wel bijdragen aan een grotere alertheid bij bedrijven en hun IT-afdeling. Zeker voor bedrijven die persoonlijke gegevens en bijvoorbeeld creditcardgegevens van klanten opslaan.
Potentially Unwanted Advice
De sleutel voor IT-security ligt echter niet alleen bij organisaties en IT-afdelingen. De mens blijft de zwakste schakel, maar zelfs de meest oplettende gebruiker kan misleid worden door trucs. Potentially Unwanted Applications (PUA) zijn bijvoorbeeld programma’s die adware of toolbars installeren. Bekende voorbeelden van zulke ingenieuze software van afgelopen tijd zijn SuperFish en PrivDog. Deze software draait op de achtergrond en injecteert advertenties. Door het toevoegen van een zogenaamd root-certificaat aan het systeem is het mogelijk al het beveiligde verkeer in te zien (deze software fungeert als een Man in the Middle (MitM). De beveiligde verbinding is dan niet verbonden met het systeem waar de gebruiker verbinding mee denkt te hebben, maar met de MitM-software. Dat kan op zich legitiem zijn, maar SuperFish maakte de fout om hetzelfde root-certificaat op alle systemen te installeren, zodat het voor misbruikers makkelijk was om hun systeem legitiem te laten lijken. PrivDog is een graadje erger. PrivDog valideerde de geldigheid van het certificaat aan de andere kant niet. Als dat systeem een ingetrokken, verlopen of niet vertrouwd certificaat had, kreeg de gebruiker dit niet en was hij of zij in de veronderstelling dat de verbinding legitiem en beveiligd was. En dat zijn (privé)data dus veilig kon worden verstuurd.
Ongestoord werken
Nieuwe IT-security daagt cybercriminelen weer uit om nieuwe achterdeuren en omwegen te vinden. Er is nu eenmaal geld te verdienen met hacks en exploits. Toch is internetbeveiliging meer dan technologie. Het gaat erom dat organisaties en gebruikers veilig kunnen profiteren van de mogelijkheden die internet biedt. Daarom gaan wij voortdurend in gesprek met gebruikers om te kijken waar hun behoeften liggen. Door deze data en wensen te analyseren en te koppelen aan de security trends komen we tot betere security-oplossingen. Zo kunnen gebruikers en IT-beheerders zich wapenen tegen bedreigingen met IT-security die eenvoudig te beheren is en geen aanslag op de IT-resources en –capaciteit is. Zo kan iedereen zich vooral ongestoord bewegen in de digitale wereld.
Righard Zwienenberg Senior Research Fellow bij ESET
