Beheer

Security
Zo versterk je je beveiliging met responsible disclosure

Zo versterk je je beveiliging met responsible disclosure

Hoe je een melding van een lek goed gebruikt

© Shutterstock Mircea Maties
3 oktober 2018

Hoe je een melding van een lek goed gebruikt

'Goede' hackers die lekken vinden en deze aan getroffen organisaties melden, krijgen maar zelden een warm welkom. Niet verstandig, vindt Christiaan Ottow, want een organisatie die goed gebruikmaakt van responsible disclosure, kan haar beveiliging relatief voordelig en doeltreffend fors versterken. Dat vereist wel dat je organisatie goed voorbereid moet zijn op dergelijke meldingen van lekken.

Niemand wil gehackt worden. Veel bedrijven zijn er ook niet op voorbereid dat dit kan gebeuren en reageren op een voorspelbare manier als een hacker meldt dat er een kwetsbaarheid in hun product of dienst zit: de melding wordt ontkend of er wordt een tegenaanval gedaan op de partij die de melding heeft ingediend. Zo ontstaat er een onoverzichtelijke situatie met veel kosten, emotionele reacties en alleen maar verliezers. Dit terwijl een kwetsbaarheid die wordt gemeld juist kan leiden tot een waardevolle verbetering van de security. Een goed beleid voor responsible disclosure, waarbij je duidelijk communiceert over de procedure voor het melden van een kwetsbaarheid, kan hierbij helpen, zodat organisaties hun voordeel kunnen doen met de kennis van hackers.

Opties wanneer hackers
een kwetsbaarheid vinden
 

Tijdens het uitvoeren van R&D-projecten hebben we beveiligingsproblemen gemeld aan bedrijven die ons niet hadden ingeschakeld voor het beoordelen van de security. Voorbeelden hiervan zijn het opensourceproject Ansible, een tool van de besloten vennootschap StartCom en auto's van Volkswagen. Ook zijn er kwetsbaarheden in onze eigen infrastructuur aan ons gemeld. Op basis van deze ervaringen deel ik graag enkele lessen hoe je de kwetsbaarheden die hackers ontdekken in je voordeel laat werken.

Als een hacker een kwetsbaarheid in je systemen vindt, heeft hij een paar opties:

1.     De ontdekking van de kwetsbaarheid voor zich houden.

2.     Misbruik maken van de kwetsbaarheid door cybercrime (ransomware, afpersing et cetera).

3.     De kennis van de kwetsbaarheid verkopen op de grijze markt.

4.     De kwetsbaarheid openbaar bekendmaken (full disclosure of FD).

5.     De kwetsbaarheid aan jou, de eigenaar van de systemen, melden (responsible disclosure of RD).

Het zal duidelijk zijn dat optie 5 de meeste voordelen met zich meebrengt. Optie 1 kan ook aantrekkelijk klinken, maar onthoud wel dat je hiermee niet de kans krijgt om de kwetsbaarheid te repareren en je niet weet wat de volgende hacker die de kwetsbaarheid vindt gaat doen. Met optie 1 blijf je dus eigenlijk in cirkeltjes denken.

Bij optie 2 en 3 heb je de minste controle over de situatie. Als een hacker zich op het pad van cybercriminaliteit begeeft, zal hij niets geven om de andere opties en direct kiezen voor optie 2, ongeacht jouw houding of de maatregelen die je neemt. Optie 3 is alleen van toepassing op producten die zo populair zijn dat er zelfs een grijze markt bestaat voor kwetsbaarheden in deze producten.

Hiermee blijven dus alleen optie 4 en 5 open. Maar hoe kun je hackers nu stimuleren om voor optie 5 te kiezen?

Vier verschillende houdingen ten opzichte van hackers

We hebben ontdekt dat je met een paar kleine dingen een groot verschil kunt maken tussen een negatieve en een positieve RD-ervaring. In de onderstaande tabel wordt een toelichting gegeven op de verschillende houdingen ten opzichte van hackers die we hebben gezien en de voor- en nadelen daarvan.

Met een paar kleine dingen kun je een groot verschil maken tussen een negatieve en een positieve RD-ervaring

Volwassenheidsniveaus in responsible disclosure
Responsibe Disclosure
Figuur 1. Volwassenheidsniveaus in Responsible Disclosure 

Zoals te zien is in de tabel, kun je het beste op niveau 1 of 2 zitten. Niveau 0 leidt tot chaos en stress, en een vijandige houding ten opzichte van de hackers kan er zelfs toe leiden dat de hacker de kwetsbaarheden alsnog openbaar maakt. Bij de verwelkomende houding van niveau 1 leidt responsible disclosure echter tot een verbetering van de security, wat zorgt voor een positieve ervaring voor zowel de hacker als het bedrijf.

Elementen van een beleid voor responsible disclosure

In de basis is het heel eenvoudig om niveau 1 te bereiken. Je hoeft niet alles dichtgetimmerd te hebben of de volledige controle te hebben over de beveiliging van je systemen. Je moet alleen weten wat je gaat doen wanneer iemand een kwetsbaarheid meldt, of dat nu op een verantwoorde of andere wijze gebeurt. Dit betekent dat je moet weten wie verantwoordelijk is voor welke systemen, hoe je deze personen kunt bereiken in noodgevallen en hoe je de volgende processen inricht en organiseert:

-       Informatie krijgen van de hacker en ervoor zorgen dat hij aan jouw kant blijft staan.

-       De kwetsbaarheid fixen terwijl je de hacker op de hoogte houdt.

-       Stakeholders (mogelijk zelfs klanten of overheidsinstanties) op de hoogte houden.

-       Het proces intern en met de hacker afsluiten.

Logisch nadenken

Doorgaans hoef je voor al deze stappen alleen maar logisch na te denken en gebruik te maken van de kennis die reeds aanwezig is in de organisatie. Zodra je eenmaal weet hoe je moet omgaan met een melding en welke voorwaarden er gelden voor de hacker en het proces, leg je dit proces vast en publiceer je dit op je website als ‘beleid voor responsible disclosure’. Hiervoor kun je simpelweg dit voorbeeld gebruiken https://responsibledisclosure.nl/en. Hier staan ook enkele aandachtspunten voor het interne proces vermeld.

Houd er echter rekening mee dat als je een beleid voor responsible disclosure opstelt, je meldingen over bugs kunt krijgen met informatie die je misschien niet wilt horen. Het zal enige tijd en moeite kosten om dergelijke zaken te repareren en hierover te communiceren. Maar al met al krijg je liever een melding van een vriendelijke hacker dan dat je te maken krijgt met een schadelijk incident.

Securitystrategie

Zoals je kunt zien in de tabel is er voor niveau 2 meer nodig, zijn de kosten voor de organisatie hoger en is ook de beloning voor de hacker hoger. Maar daarmee is het plaatje nog niet compleet. Een organisatie die actief hackers vraagt om op zoek te gaan naar kwetsbaarheden in de securitysystemen en deze te melden, en hen daarvoor beloont, heeft dit geïntegreerd in de securitystrategie. Dit bedrijf haalt hier ook meer voordeel uit dan organisaties die amper weten wat ze moeten doen op het moment dat iemand een kwetsbaarheid meldt (niveau 1).

Als je een beleid voor responsible disclosure opstelt, kun je meldingen over bugs krijgen met informatie die je misschien niet wilt horen

Wanneer je organisatie volwassen is geworden op het gebied van security, en controle heeft over de beveiliging van online eigendommen, heb je waarschijnlijk meerdere beveiligingsmaatregelen geïmplementeerd tijdens de ontwikkeling en levensduur van eigendommen. Om tot deze volwassenheid te komen, dient een organisatie eerst inzicht te hebben in de belangrijke eigendommen en processen en de risico’s die daarvoor relevant zijn. Daarna kan risicogestuurd invulling worden gegeven aan securitymaatregelen in preventie, detectie en respons. Voorbeelden van dergelijke maatregelen, zijn:

  • beleid en monitoring rond softwarepatches;
  • automatische inventory van hardware en software;
  • vulnerability scanning op de externe perimeter en interne netwerken;
  • ontwikkelaars trainen in secure software development;
  • securityreviewing onderdeel maken van softwareontwikkeltrajecten, van architectuur tot implementatie en deployment;
  • tooling hebben geïmplementeerd die helpt het huidige securityniveau van de ontwikkelde software meetbaar te maken, zoals SAST- en DAST-tooling.

In software development is het mogelijk om KPI’s op kwaliteit te formuleren, waar security een onderdeel van is, en om hier kwantitatief in te meten. Wanneer een organisatie dit doet, en in staat is om te sturen op deze metingen, dan is een hoge mate van volwassenheid bereikt.

Geen enkel pakket van maatregelen zorgt echter voor een 100% beveiligd systeem. Bug bounty-programma's zijn een uitstekende manier om de gaten te helpen dichten. Wanneer je een beloning biedt voor het vinden van kwetsbaarheden, worden veel hackers meer gestimuleerd om de kwetsbaarheid te melden of om actief op zoek te gaan naar kwetsbaarheden en die te melden waarvan anders misbruik kon worden gemaakt door een kwaadwillende hacker. Bovendien voorziet dit in een mooie KPI, waarmee een indruk wordt verkregen van de veiligheid van de online assets. Let wel, het aantal bugs dat gemeld wordt is niet alleen een functie van de veiligheid van de asset, maar ook van de hoeveelheid aandacht die hackers er door andere omstandigheden voor gehad hebben!

Hackercommunity actief betrekken

De kans is groot dat je op een bepaald moment te maken krijgt met de situatie dat een hacker een ernstige kwetsbaarheid in je systemen vindt en deze ontdekking aan je meldt. Jij bepaalt in dit geval hoe deze ervaring voor jou en de hacker zal aflopen en hoe waardevol deze voor je zal zijn. Met enkele eenvoudige stappen, om te beginnen met een proces voor responsible disclosure, kunnen organisaties leren van dergelijke situaties. Organisaties die verder zijn op het gebied van security, kunnen zelfs de hackercommunity actief betrekken bij het beveiligen van hun systemen. Dit leidt tot een echte win-winsituatie voor alle betrokken partijen en, misschien nog wel belangrijker, een veiligere omgeving.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.