'Techleveranciers en cloudaanbieders verzwijgen gaten en patches'
- Informatie delen over kwetsbaarheden en patches is kritiek voor betere beveiliging.
- Toch houden veel techbedrijven zulke securityzaken onder de pet, stelt ZDI.
- Tech- en cloudgebruikers zijn daar de dupe van.
- Lees ook: NCSC mag kwetsbaarheden nu zelf van CVE-nummers voorzien
datalek
Shutterstock.com
In de praktijk zijn techaanbiedende bedrijven, zoals softwareleveranciers en cloud providers, steeds minder transparant over kwetsbaarheden in hun producten en diensten, plus hun patches daarvoor. Dit constateert Trend Micro's Zero Day Initiative (ZDI), waar ethische hackers ontdekte kwetsbaarheden kunnen melden, zodat betrokken techaanbieders worden geïnformeerd een aangezet tot patchen.
Securityleverancier Trend Micro, dat ZDI via een overname ooit in handen heeft gekregen, pleit voor proactieve aanpak van kwetsbaarheden. Dat kan veel ellende en kosten voorkomen, aldus het ICT-beveiligingsbedrijf. “Onze proactieve miljoeneninvestering in onderzoek naar kwetsbaarheden heeft al miljarden bespaard voor onze klanten en de sector als geheel”, zegt COO Kevin Simzer COO.
Stilletjes afhandelen
Hij zegt echter een zorgwekkende trend te zien: "Het gebrek aan transparantie in de berichtgeving rond kwetsbaarheden en patching. Dit vormt een enorm gevaar voor de veiligheid van de digitale wereld.” Met berichtgeving bedoelt de topman dan dus niet mediaberichten, maar meldingen van tech- en cloudaanbieders aan hun klanten en aan het publiek.
Trend Micro hekelt dit zogeheten 'silent patching', waarbij techbedrijven dan kwetsbaarheden in hun producten en diensten niet inzichtelijk afhandelen. Zowel het bestaan en de aard van kwetsbaarheden alsook de uitrol van patches worden dan stil of zo stil mogelijk gehouden. Hierbij wordt openbaarmaking vertraagd of zelfs afgezwakt en wordt documentatie vaag gehouden.
Privépatches
Volgens de securityleverancier maakt dit het flink - en onnodig - lastiger om beveiliging te verbeteren en cybercrime te bestrijden. Silent patching is "een vaak voorkomend verschijnsel bij grote leveranciers en cloudproviders". Zij zien dan vaak af van het toewijzen van CVE-identificatienummers (Common Vulnerability and Exposures ID's) voor openbare documentatie. In plaats daarvan kiezen cloudaanbieders dan privépatches.
Hackervaring horen op AG TechFest
Ook techgebruikende bedrijven zijn soms terughoudend over kwetsbaarheden en hackaanvallen. Dat geldt niet voor het Nederlandse bedrijf Ticketcounter. CEO Sjoerd Bakker heeft AG Connect eerder al uitgebreid verteld over wat het door hem opgerichte bedrijf is overkomen. Op AG TechFest (woensdag 20 september in Utrecht) doet hij dat live voor alle bezoekers van dat zakelijke techfeest. Meld je hier aan!
Twee jaar terug hebben securityonderzoekers al gepleit voor invoering van CVE-nummers voor cloudkwetsbaarheden. Ami Luttwak en Shir Tamari van beveiligings-startup Wiz.io presenteerden op Black Hat USA 2021 kwetsbaarheden in Amazon Web Services (AWS) waarmee ze data van verschillende AWS-accounts konden inzien. Volgens AWS ging het hier echter niet om kwetsbaarheden, maar om configuratie-opties die klanten zelf kunnen instellen. Misconfiguraties zijn echter, naast ongepatchte kwetsbaarheden, ook een groot securityprobleem.
Details en ernst inschatten
Volgens beveiligingsonderzoekers Luttwak en Tamari heeft de branche behoefte aan één database met alle kwetsbaarheden in cloudsoftware. Voor reguliere software bestaat dat al in de vorm van de CVE-database. Het systeem daarachter heeft zich inmiddels ruimschoots bewezen in de industrie. Bij elke CVE-melding wordt aangegeven wat de bijbehorende kwetsbaarheid precies inhoudt, wat de ernst ervan is en of er al een patch voor is. Zo kunnen betrokken organisaties gelijk zien of ze direct actie moeten ondernemen of dat een ander gat voorrang moet krijgen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeEen van de nadelen van de verSaaSing is dat we gewoon veel minder controle kunnen uitvoeren op zowel de IT-Infra als de software. Certificeringen vertellen maar de halve waarheid. Aan de andere kant heb ik liever dat leveranciers niet zo krampachtig doen over waar ze staan op het gebied van security, maar ook privacy. De wetgever moet echt terug op aarde komen en alles willen reguleren door middel van wetten. Er moet een balans komen waar iedereen achter kan staan. En als we dan met zijn allen bewegen naar een steeds hogere standaard dan komen we er wel. Alles heeft te maken met vertrouwen: vertrouwen in de leverancier die vaak ook met een zelfgecreeerde legacy of backlog zit en vertrouwen van de wetgever die begrijpt dat bepaalde zaken tijd kosten. Als een van beide hun zin krijgen, dan leidt tot complete stilstand of een nog grotere gatenkaas.
Dit gedrag bewijst weer eens opnieuw dat je kritische ICT functies met eigen hard- en software moet invullen.
Jammer dat dit artikel niet ingaat op de vraag wáárom cloud-aanbieders hun kwetsbaarheden stilletjes reperaren. Het is begrijpelijk dat ze potentiële hackers niet op verkeerde ideeën willen brengen. Maar als een kwetsbaarheid eenmaal is verholpen, kunnen ze alsnog de belanghebbers inlichten en als CVE registeren. Is dat wat AWS heeft nagelaten? Zo ja, dan lijkt het erop dat ze bang zijn voor reputatieverlies na het registreren van een CVE. Ik denk dat cloud-afnemers zich dan moeten organiseren en gezamenlijk hun cloud-aanbieder onder druk moeten zetten als blijkt dat CVE-meldingen ten onrechte worden nagelaten.
Helemaal zorgelijk zijn de risico's van misconfiguraties. Veel bedrijven zijn naar de cloud gegaan omdat de grote cloud-aanbieders veel beter in beveiliging zijn dan de meeste cloud-afnemers. Zo blijkt dat cloud-afnemers toch zelf expertise in beveiliging nodig blijven hebben, zij het dan in andere vorm. Verplaatsen van de eigen IT naar de cloud wordt dan verplaatsen van het probleem.
Karel de Smet