Home Security Traditionele IT-security tools niet meer afdoende

Traditionele IT-security tools niet meer afdoende

139
dainamics

Hoewel datalekken al sinds decennia leiden tot slapeloze nachten bij IT-beheerders, hebben de algemene media deze vorm van kwetsbaarheden in de IT-security eigenlijk pas na 2010 ontdekt. Vooral toen in 2012 belastinggegevens van een groot aantal Amerikanen op straat kwamen te liggen, doordat er datalekken waren bij de datacenters van een aantal Amerikaanse staten, kwam het verschijnsel groots in de aandacht te staan. Dat de verantwoordelijke gouverneurs geen idee hadden wat er aan de hand was en hoe snel de problemen opgelost zouden worden, schetste de complexiteit van de situatie. Dit jaar begon ook al goed, door lekken bij Twitter, de New York Times en Facebook.

“Traditionele tools, zoals virusscanners, kunnen niet alle malware meer tegenhouden, vooral omdat computers op zwakke punten worden aangevallen.” Stelde Wolfgang Kandek, CTO van Qualys tijdens het Onsight Security Event vandaag. “Denk daarbij aan te oude of niet bijgewerkte software.” Een firewall of virusscanner heeft weinig nut als passwords een default instelling hebben (wat vaak gebeurd!) of te eenvoudig zijn. Ook komt het vaak voor dat eindgebruikers adminrechten blijken te hebben en zo toegang hebben tot systemen.

Hierbij komt dat de kennis bij hackers er ook op vooruit is gegaan – of ze kopen eenvoudige kits via internet zoals BlackHole. Dit is software waarmee eenvoudig op zwakke punten in computersystemen kan worden ‘geschoten’.

In de praktijk blijken IT-afdelingen niet te weten hoeveel pc’s er eigenlijk in het netwerk staan, welke softwareversies precies worden gebruikt. Nog vervelender: wordt de passwordstrategie goed nageleefd? Worden er producten gedownload die niet op de whitelist staan?
Soms zijn problemen makkelijk op te lossen. Wie bijvoorbeeld in zijn Adobe Reader Javascript “uit” zet, kan jaren werken zonder dat er problemen zijn met het openen van PDF’s, maar staat in dat opzicht niet meer bloot aan zwakke plekken van Java.

Sinds 2008 bestaat het netwerk CSIS, dat bijhoudt wat de 20 belangrijkste zwakke plekken in IT-security zijn.

Op dit moment zijn dat:

Critical Control 1: Inventory of Authorized and Unauthorized Devices

Critical Control 2: Inventory of Authorized and Unauthorized Software

Critical Control 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers

Critical Control 4: Continuous Vulnerability Assessment and Remediation

Critical Control 5: Malware Defenses

Critical Control 6: Application Software Security

Critical Control 7: Wireless Device Control

Critical Control 8: Data Recovery Capability

Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps

Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches

Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services

Critical Control 12: Controlled Use of Administrative Privileges

Critical Control 13: Boundary Defense

Critical Control 14: Maintenance, Monitoring, and Analysis of Audit Logs

Critical Control 15: Controlled Access Based on the Need to Know

Critical Control 16: Account Monitoring and Control

Critical Control 17: Data Loss Prevention

Critical Control 18: Incident Response and Management

Critical Control 19: Secure Network Engineering

Critical Control 20: Penetration Tests and Red Team Exercises

Een van de partners in CSIS is Qualys, dat zelf geen software ontwikkelt om aanvallen af te slaan of virussen te scannen, maar wel scansoftware (SaaS) dat bovengenoemde zwakke plekken in de IT-security in kaart brengt. Wie de gratis BrowserCheck uitprobeert zal waarschijnlijk net zo schrikken als ik, als het gaat om de kwetsbaarheid van zijn eigen computer.

Dat geeft een aardig beeld van de kwetsbaarheid van grote bedrijfsnetwerken.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here