Hoewel datalekken al sinds decennia leiden tot slapeloze nachten bij IT-beheerders, hebben de algemene media deze vorm van kwetsbaarheden in de IT-security eigenlijk pas na 2010 ontdekt. Vooral toen in 2012 belastinggegevens van een groot aantal Amerikanen op straat kwamen te liggen, doordat er datalekken waren bij de datacenters van een aantal Amerikaanse staten, kwam het verschijnsel groots in de aandacht te staan. Dat de verantwoordelijke gouverneurs geen idee hadden wat er aan de hand was en hoe snel de problemen opgelost zouden worden, schetste de complexiteit van de situatie. Dit jaar begon ook al goed, door lekken bij Twitter, de New York Times en Facebook.
“Traditionele tools, zoals virusscanners, kunnen niet alle malware meer tegenhouden, vooral omdat computers op zwakke punten worden aangevallen.” Stelde Wolfgang Kandek, CTO van Qualys tijdens het Onsight Security Event vandaag. “Denk daarbij aan te oude of niet bijgewerkte software.” Een firewall of virusscanner heeft weinig nut als passwords een default instelling hebben (wat vaak gebeurd!) of te eenvoudig zijn. Ook komt het vaak voor dat eindgebruikers adminrechten blijken te hebben en zo toegang hebben tot systemen.
Hierbij komt dat de kennis bij hackers er ook op vooruit is gegaan – of ze kopen eenvoudige kits via internet zoals BlackHole. Dit is software waarmee eenvoudig op zwakke punten in computersystemen kan worden ‘geschoten’.
In de praktijk blijken IT-afdelingen niet te weten hoeveel pc’s er eigenlijk in het netwerk staan, welke softwareversies precies worden gebruikt. Nog vervelender: wordt de passwordstrategie goed nageleefd? Worden er producten gedownload die niet op de whitelist staan?
Soms zijn problemen makkelijk op te lossen. Wie bijvoorbeeld in zijn Adobe Reader Javascript “uit” zet, kan jaren werken zonder dat er problemen zijn met het openen van PDF’s, maar staat in dat opzicht niet meer bloot aan zwakke plekken van Java.
Sinds 2008 bestaat het netwerk CSIS, dat bijhoudt wat de 20 belangrijkste zwakke plekken in IT-security zijn.
Op dit moment zijn dat:
Critical Control 1: Inventory of Authorized and Unauthorized Devices
Critical Control 2: Inventory of Authorized and Unauthorized Software
Critical Control 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
Critical Control 4: Continuous Vulnerability Assessment and Remediation
Critical Control 5: Malware Defenses
Critical Control 6: Application Software Security
Critical Control 7: Wireless Device Control
Critical Control 8: Data Recovery Capability
Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps
Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services
Critical Control 12: Controlled Use of Administrative Privileges
Critical Control 13: Boundary Defense
Critical Control 14: Maintenance, Monitoring, and Analysis of Audit Logs
Critical Control 15: Controlled Access Based on the Need to Know
Critical Control 16: Account Monitoring and Control
Critical Control 17: Data Loss Prevention
Critical Control 18: Incident Response and Management
Critical Control 19: Secure Network Engineering
Critical Control 20: Penetration Tests and Red Team Exercises
Een van de partners in CSIS is Qualys, dat zelf geen software ontwikkelt om aanvallen af te slaan of virussen te scannen, maar wel scansoftware (SaaS) dat bovengenoemde zwakke plekken in de IT-security in kaart brengt. Wie de gratis BrowserCheck uitprobeert zal waarschijnlijk net zo schrikken als ik, als het gaat om de kwetsbaarheid van zijn eigen computer.
Dat geeft een aardig beeld van de kwetsbaarheid van grote bedrijfsnetwerken.