Beheer

Security
cracker

'IT-beheer moet denken als cybercrimineel'

© McAfee
5 september 2014

 

De tijd van puntoplossingen zoals firewalls, Intrusion Protection, antimalware et cetera is voorbij, zeker voor grotere organisaties. Geen van de puntoplossingen geeft de garantie dat elke zwakke plek in de verdediging is afgedekt. Beveiliging van IT moet nu komen van een goede architectuur, zeker nu het veld steeds onoverzichtelijker wordt met mobiele apparatuur en het Internet of Things.

Een van de redenen dat Software Defined Infrastructure (of Software Defined Networking in wat engere zin) zo in de belangstelling staat, is dat er grote behoefte bestaat aan een centrale plek waar de regie over een dynamisch netwerk kan worden geregeld, inclusief de beveiliging. Liefst zelfs in een vergaande vorm van geautomatiseerde taken zodat IT-beheer er maar weinig omkijken naar heeft.

De verschillende puntoplossingen hebben vaak hun eigen besturingssysteem en elk apparaat vergt zijn eigen specialisme om het optimaal in te richten en te beheren. Dat past niet meer in een tijd waarin de budgetten van de IT-afdeling onder druk staan en er tegelijk vanuit de organisatie de vraag komt om meer mee te denken met de vragen uit de bedrijfsprocessen.

 

Voorsprong voor bad guys

Fred Noordam, Area Manager Benelux Cisco Security, maakte deze ontwikkeling in zijn carrière mee. Hij zette voor de bedrijven F5 en SourceFire Benelux-organisaties op om startende bedrijven te helpen met een puntoplossing in beveiliging. Met de overname van SourceFire, is hij in de gelederen van Cisco beland.

Noordam vertelt over het Cisco's Midyear Security Report 2014. Het beveiligingsrapport is gebaseerd op interviews met klanten, op de malwaresignature-afdeling van SourceFire en op contacten in verschillende samenwerkingsverbanden rond beveiliging. In die communities zijn de details van kwetsbaarheden veel eerder beschikbaar dan er patches voor klaar zijn.

Het beeld dat uit het rapport naar voren komt, is niet geruststellend. Wanneer successen tegen malwaremakers worden geboekt, duiken nieuwe opportunisten in een ander gat. Is er een bedrijfstak waarin organisaties het aantal aanvallen weet terug te dringen, verleggen criminelen hun aandacht op zijn minst tijdelijk naar andere sectoren waar waarde te vinden is. Noordam: “De bad guys houden altijd een voorsprong, omdat zij bepalen welke kant het opgaat en beveiligers daarop reageren. Bovendien hoeven bad guys zich niet te houden aan regulering die soms een snelle oplossing in de weg staat.”

 

Uit het rapport komt naar voren dat organisaties zich de grootste ellende kunnen besparen met twee heel voor de hand liggende acties:

- Zorg dat alle patches onmiddellijk worden aangebracht, en
- Zorg voor een up-to-date beveiligingsbeleid en -infrastructuur.

Het snel aanbrengen van patches lijkt logisch, maar is in praktijk heel weerbarstig, geeft Noordam toe. Neem Java, dat goed is voor 93 procent van alle beveiligingsproblemen. Java 8 met de laatste patches geïnstalleerd is best veilig, maar heel veel organisaties kunnen niet migreren vanaf Java 7 of zelfs Java 6. Zelfgeschreven applicaties verhinderen dat vanwege compatibiliteitsproblemen.

Bovendien is het aanbrengen van patches een tijdrovend karwei. Alle veranderingen moeten eerst goed worden getest met alle applicaties die op de productieomgeving draaien. En dan zijn er niet alleen Java-patches, maar ook die van Microsoft, van Adobe en van allerlei bedrijfssoftware. Patchbeheer is voor veel organisaties een hoofdpijndossier.

Aan de andere kant van het front vindt bovendien professionalisering plaats. Waar in de begindagen de malware kwam van hobbyisten die het leuk vonden te pesten, gaat het nu om een goed geoliede industrie gericht op het vinden en exploiteren van softwarefouten. De werknemers in die schimmige sector verdienen veel meer dan zij die werken aan de goede zijde van het front. In toenemende mate zijn het zelfs overheden die met veel geld gebruik maken van de exploit-industrie om te infiltreren, te spioneren of zelfs cyberaanslagen te plegen.

 

 

Actie ondernemen

De verdediging wordt onmiskenbaar steeds beter maar wordt nooit perfect, constateert Noordam. Het accent verschuift daarom naar volgen wat er op je eigen netwerk gebeurt. “Het komt steeds vaker naar boven dat wanneer bad guys eenmaal ongezien door de verdediging zijn gedrongen, ze tot wel 400 dagen ongemerkt kunnen rondneuzen in alle systemen. Je moet er niet aan denken wat er aan informatie naar buiten lekt.” Noordam ziet daarom veel waarde in systemen die ook terug kunnen kijken en handelen. “Een bestand kan binnenkomen en als veilig worden aangemerkt, maar na verloop van tijd veranderen in een kwaadaardig bestand. Je moet dan in staat zijn terug te kijken waar dat bestand is geweest en wat voor acties het heeft uitgevoerd of ermee zijn uitgevoerd. Vervolgens moet het detectiesysteem daar actie op kunnen ondernemen. Een simpele opruimactie is niet genoeg. Er kan van alles achterblijven, wat ongemerkt doorgaat met zijn kwaadaardige werk.”

Hij noemt die aanpak Advanced Malware Protection. Die werkt overigens alleen goed in combinatie met een actie van de aloude firewalls en vertrouwde Intrusion Protection Systemen. “Het gaat er om dat wie verantwoordelijk is voor beveiliging veel meer leert denken als een (cyber)crimineel. Zie security als een business process, en behandel het als zodanig.”

Java blijft groot probleem

Het gebruik van de Blackhole-exploitkit verminderde met 87 procent nadat de ontwikkelaar, de Russische hacker Paunch, in oktober vorig jaar werd gearresteerd. Sindsdien proberen nieuwe initiatieven zijn gat te vullen. Deze constatering uit Cisco's 2014 Midyear Security Report, dat begin augustus werd vrijgegeven, is opmerkelijk. Met het arresteren van de maker van de exploit kan deze nog steeds worden gebruikt voor wie hem in bezit heeft.

“Het toont aan hoe professioneel deze malware-industrie is geworden”, licht Fred Noordam, Area Manager Benelux Cisco Security toe. “Een exploit koop je – niet alleen de code, er hoort ook support bij, al valt die support weg na een arrestatie. Toch zal een deel van de afnemers angstig raken, omdat hun naam bekend is bij de maker en zo bij de opsporingsdiensten terecht kan komen.”

Opvallend is ook het aandeel van de Java-exploits in het totaal, goed voor maar liefst 93 procent. Noordam: “Het rapport toont eens te meer aan waar de pijn in beveiliging ligt. Hou het patchen actief bij, dat vermindert de kans op problemen aanzienlijk.” Java 8 vindt Noordam veel veiliger dan versie 7 en die is weer veiliger dan versie 6.

Spaar patches niet maandelijks op maar voer ze uit wanneer ze uitkomen, is ook het advies in het rapport. Wellicht een utopie, realiseert ook Noordam zich. “Soms is het gewoon niet mogelijk naar de nieuwste versies te gaan, omdat zelfgeschreven apps dat niet aankunnen. Bovendien zijn er Oracle-patches, maar ook Microsoft en Adobe en ga zo maar door. Alle patches moeten bovendien eerst worden getest voor ze bedrijfsbreed kunnen worden uitgerold.”

Ook een bijzondere constatering in het 2014 Midyear Security Report is de geografische verdeling van getroffen industrietakken. Is Food & Beverages het meest aangevallen in EMEA (Europa, Midden-Oosten en Afrika), in Noord- en Zuid-Amerika zijn juist de Media & Publishingbedrijven het vaakst slachtoffer. Pharmaceutical & Medical staat wereldwijd in de top 3, waarschijnlijk vanwege de grote belangen en pogingen tot bedrijfsspionage. Gek genoeg heeft Banking & Finance relatief weinig last van beveiligingsincidenten. “Mogelijk is de aandacht daar inmiddels zo hoog dat criminele hackers liever een makkelijker weg kiezen.”

Het volledige rapport is te verkrijgen op https://info.sourcefire.com/2014CiscoMidyearSecurityReport.html

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!