Gemiddeld worden jaarlijks tussen de 5000 en 7000 nieuwe beveiligingsrisico's gevonden, oftewel ongeveer 19 per dag. Die snelheid maakt het lastig om te beslissen welke van de 19 jouw aandacht verdienen. Hoewel je concurrentie geld uitgeeft aan high-tech, prijzige en soms exotische beveiligingsmiddelen, bereik je meer succes door je juist te concentreren op enkele zaken die je al doet. Het scheelt geld en niets wat je meer doet voegt iets toe aan de beveiliging.
De drie dingen waar ik het in de kop van dit artikel over heb, moeten geen verrassing zijn. Je weet al dat je deze dingen moet doen. Je weet uit eigen ervaring dat wat ik hier beweer, waar is. Ondanks dat we het allemaal weten, doen de meeste organisaties ze simpelweg niet goed genoeg.
Verander de focus
De meeste beveiliging richt zich op de verkeerde dingen. We focussen op specifieke dreigingen en wat aanvallers deden toen ze binnen waren, maar niet hoe ze zijn ingebroken. Er zijn dan wel honderdduizenden unieke softwarekwetsbaarheden en zelfs honderden miljoenen malware-families, maar ze maken allemaal gebruik van dezelfde basisconcepten om een omgeving te veroveren, waaronder:
- Ongepatchte software
- Social engineering
- Foutieve configuraties
- Wachtwoordaanvallen
- Fysieke aanvallen
- Afluisteren
- Gebruikersfouten
- Denial of service
Door je op zulke dingen te richten, kun je aanvallers en malware veel beter pareren. Als je beveiligingsrisico het snelst wilt indammen, kijk dan naar de grootste basisissues in je bedrijf die de meeste schade aanrichten als aanvallers er misbruik van weten te maken. Houd het grootste root-issue tegen en je houdt alle aanvallen die daar gebruik van maken tegen. De grootste drie? Ongepatchte software, social engineering en wachtwoordbeheer.
Het staat buiten kijf dat deze issues al decennia de grondproblemen vormen voor de succesvolste en schadelijkste aanvallen in bedrijven. Een van deze root-explotatiemethoden zit hoogstwaarschijnlijk achter elke grote hack of datadiefstal waar je over leest in mainstream media. Het is mijn ervaring dat als een bedrijf of zelfs militaire organisatie het slachtoffer is van een grote aanval, dat dit kan worden teruggevoerd naar een van deze drie issues. Voor heel specifieke omgevingen en organisaties kan dat anders zijn, maar voor de meeste IT'ers zal onderstaande relevant zijn.
Beter patchen
Aanvallers en malware zijn allebei op zoek naar ongepatchte software om in een omgeving in te breken. Ze pakken daarbij het liefst ongepatchte software, omdat dit minimale interactie met een eindgebruiker vereist. Een aanvaller kan genetwerkte computers en diensten bekijken om te zien of er patches ontbreken, vervolgens kwetsbaarheden te benutten en dan verder te gaan naar andere interne doelwitten. Of ze kunnen een gebruiker ervan te overtuigen om een e-mail te openen of een ongepatchte kwetsbaarheid te benutten via een externe website.
Het komt inderdaad voor dat aanvallers exploits gebruiken voor gaten die nog onbekend waren en geen patch voor bestaat (zerodays) maar er komen slechts enkele tientallen zerodays per jaar aan het licht, tegenover de duizenden bekende gaten die net zo nuttig zijn voor aanvallers. Het is sowieso erg lastig om je te beveiligen tegen een zeroday-aanval en je tijd is beter besteed aan een veel groter en blijvend risico. Je weet niet of je organisatie ooit belaagd gaat worden door een zeroday-aanvaller, maar je weet zeker dat je meerdere malen te maken gaat krijgen met dreigingen die naar ongepatchte gaten zoeken.
Goede beveiliging draait om het concentreren op de software die de grootste risico opleveren op de appararen die de grootste risico's vormen. De meeste bedrijven proberen alle software te patchen (en er zijn honderdduizenden unieke programma's) met dezelfde moeite, maar dat is een strijd die je bij voorbaat zult verliezen. Het komt uiteindelijk neer op een rekensom: inzet vermenigvuldigd met het aantal apparaten en softwareversies. Er is een groot verschil tussen de meeste ongepatchte software in je omgeving en de software waar aanvallers zich het waarschijnlijkst op richten. Als je dat verschil inzet, dan snap je dit advies helemaal.
Zo was bijvoorbeeld jarenlang het meest ongepatchte programma op een Windows-machine de Microsoft Visual C++ Runtime Library. Dat was een programmabibliotheek die werd meegeleverd met veel third party-programma's. Ook al was dit het meest ongepatchte programma, ook werd hij het minst vaak misbruikt. Waarom? Omdat een exploit moeilijk was. De library kon schuilen in duizenden verschillende mappen en werd niet zo duidelijk aangegeven dat een exploit een pad kon toewijzen zonder tegen fouten aan te lopen. Hetzelfde geldt voor 95 procent van je geïnstalleerde software: ze mogen dan wel ongepatcht zijn, ze worden niet vaak misbruikt.
In plaats daarvan werden programma's als Sun/Oracle Java, Adobe Acrobat en browsers de populairste software onder aanvallers, omdat ze consequente locatiepaden gebruiken en makkelijk zijn te benutten. Op servers, werden webservers en databaseservers de populairste doelwitten. Om deze reden ben je veel beter af als je probeert browser-gerelateerde software op de werkstations van eindgebruikers grondig te patchen en advertising-services op servers bijgewerkt te houden.
Kijk naar jouw patchbeheersoftware. Maakt deze de hoogste prioriteit van dit soort risicovolle software? Accepteer je een patchratio van 99 procent of minder van programma's die een hoog risico dragen? Weet je eigenlijk wat jouw hoge risico-programma; s zijn? Welke software wordt het vaakst misbruikt om bij jouw bedrijf binnen te komen? Bevat je patchbeheersoftware ook patches voor firmware en mobiele apparaten? Dat zijn vragen die je moet beantwoorden om de beveiliging op te hogen.
Betere social engineering-training
Nog een doeltreffend beveiligingsmiddel draait niet om software of een apparaat. Het is training. Al zolang we computers gebruiken, richten aanvallers zich op eindgebruikers om onverstandige dingen te doen, meestal via de browser of e-mail. De grootste hackaanvallen die ik van dichtbij heb meegemaakt hadden duidelijke social engineering-componenten, vooral de aanvallen die de grootste langdurige schade veroorzaakten.
Social engineers zijn berucht om hun vaardigheden om eindgebruikers wachtwoorden te ontfutselen en om ze malware te laten installeren met hoge rechten om gevoelige resources te benaderen. Gebruikers draaien vaak per ongeluk trojans of geven hun inloggegevens door via valse e-mails en nepsites. Social engineering is enorm succesvol. Veel IT-beveiligers weigeren te geloven dat het antwoord ligt in meer training, maar toch is dat zo.
Onderzoek naar onderzoek wijst uit dat eindgebruikers die beter op de hoogte zijn, hoe je dat ook bereikt, minder geneigd zijn om in een social engineering-valstrik te trappen. Helaas doen veel bedrijven hier weinig aan, vaak minder dan 30 minuten per jaar.
Ik was betrokken bij een case-study waarbij twee groepen werknemers social engineering-training ontvingen. De eerste groep, de controlegroep, kreeg de standaard verplichte video van een half uur. De tweede groep kreeg een twee uur durende training van veelvoorkomende social engineering-aanvallen waar het bedrijf daadwerkelijk mee te maken kreeg. Beide groepen kregen daarna een jaar lang elke twee maanden een nep social engineering-aanval voor de kiezen?
Het resultaat was dat de groep met de meeste training de lessen zo goed had geleerd dat niet alleen geen enkele werknemer in de nepmail trapte gedurende zes maanden, maar ook dat de kans veel groter was dat ze een social engineering-aanval zouden melden bij IT dan de groep met de verplichte video van een half uur.
Ik ben er niet zeker van hoeveel training je precies moet geven, maar ik ben er vrij zeker van dat je dit moet meten in uren per jaar. Die hoeven niet opvolgend te zijn en het is beter om de training op meerdere momenten gedurende het jaar te doen en zo goed mogelijk aan te passen aan de praktijkaanvallen die je daadwerkelijk te zien krijgt bij je eigen bedrijf.
Beter wachtwoordenbeheer
Lang was het zo dat ik me vooral richtte op deze eerste twee. Maar het is duidelijk tijd om een derde toe te voegen: wachtwoordenbeheer. In het verleden stelde ik wel eens dat wachtwoord-hygiëne tijdverspilling was omdat er zoveel social engineering en ongepatchte software voorbij gaat aan wachtwoorden. En dat was ook zo.
Maar wachtwoordaanvallers zijn voorbij het brute forcen van wachtwoord en pass-the-hash (PtH) aanvallen gegaan om daarmee toegang te krijgen tot wachtwoorddatabases. PtH-aanvallen zijn van een theoretische aanva naar een serieus praktijkprobleem gegaan nadat Hernan Ochoa in 2008 zijn PtH-toolkit publiceerde. Bijna een decennium lang kreeg ik uitsluitend te maken met een PtH-element van een aanval bij iedere forensische analyse die ik uitvoerde.
Ik werd niet enthousiast van het waarschuwen voor het gevaar van PtH-aanvallen, omdat dit een post-exploitation techniek is: de aanvaller heeft op dat moment al toegang tot een lokaal of domein adminaccount. Het probleem is niet de PtH-aanval: het probleem is dat de aanvaller al admincontrole had. Ik ben meer geïnteresseerd in het tegenhouden van die eerste exploit dan post-exploitation technieken, omdat als je niet kijkt naar hoe ze in de eerste plaats binnenkomen, je aanvallers niet gaat tegenhouden.
Maar dat is dan ook precies de reden dat je wachtwoordbeheer moet toevoegen aan de lijst van drie hoogste prioriteiten waar organisaties zich druk over moeten maken. De wachtwoorden die je organisatie gebruikt liggen overal. Ik heb het niet eens over de nieuwe recorddatabase van 773 miljoen records die Troy Hunt deze maand publiceerde: de database van Privacy Rights stelt dat er meer dan 11 miljard bekende gestolen records zijn.
Mijn besef hiervan heeft mijn kijk veranderd. Als je wachtwoorden overal rondslingeren, is het duidelijk een probleem dat leidt tot die eerste exploit van je omgeving. De enige echte veilige strategie is het maken van echt unieke wachtwoorden zonder van buitenaf reproduceerbaar patroon. Om dat te doen moet je ze noteren (en elke keer opzoeken) of een wachtwoordbeheerder het werk voor je laten doen.
Daar kleven wat problemen aan, met voorop het issue dat als je computer wordt veroverd (en dat gaat vroeger of later een keer gebeuren) een aanvaller in één klap toegang krijgt tot al je sites. Nu ze populairder worden, kun je er de donder op zeggen dat ze meer zullen worden aangevallen.
De juiste oplossing voor het probleem met wachtwoorden is door ze overbodig te maken en daar wordt aan gewerkt. De in mijn optiek veelbelovendste alternatieven, multifactor-authenticatie (MFA) en multi-variabele gedragsanalyse hebben hun eigen issues, maar aanvalles kunnen ze tenminste niet simpelweg opzoeken in een database.
Ik raad de volgende dingen aan wat wachtwoorden betreft:
- Verander alle wachtwoorden die je de laatste paar maanden nog niet hebt gewijzigd naar patroonloze wachtwoorden.
- Implementeer MFA op je kritiekste accounts, als dat mogelijk is.
- Zorg ervoor dat alle wachtwoorden uniek zijn voor elke site.
- Controleer pro-actief op wachtwoordendiefstal met diensten als HaveIBeenPwned, Breachalarm, of een gratis enteprise-tool als Password Exposure Test van KnowBe4 om alle wachtwoorden direct te controleren. (Disclaimer: Ik werk voor KnowBe4.)
- Denk na over een wachtwoordbeheerder die automatisch controleert of een bestaand actief wachtwoord overeen komt met een match van een gelekte wachtwoordendatabase.
- Als je wachtwoord gestolen is, wijzig het. Als het gestolen is, ga dan na hoe dit is gebeurd. Ging dit volledig buiten je controle om of is er phishing of een andere truc aan te pas gekomen om je wachtwoord te ontfutselen?
Door te handelen naar de wetenschap dat de meeste wachtwoorden op straat liggen voor een ieder die de moeite neemt ze op te zoeken is een belangrijke derde stap om de beveiliging te verbeteren. Social engineering en ongepatchte software staan bovenaan de lijst van redenen dat data wordt gestolen. Blijf je concentreren op deze twee, maar doordat wachtwoorden overal te vinden zijn, zijn aanvallers in staat om binnen te komen zelfs als je deze twee perfect hebt afgedicht.
.PNG)
.jpg)
