‘We leren niet van onze fouten, de cybercriminelen helaas wel’
Eén van de belangrijkste problemen waarmee we op het gebied van IT-security worstelen, is dat we niet of nauwelijks leren van onze fouten. “Hoe kunnen we anders verklaren dat cybercriminelen nog altijd zeer succesvol zijn met aanvalsmethodes die al jaren oud zijn en problemen in software en netwerken misbruiken die al lang geleden opgelost hadden kunnen zijn?”, vraagt Simon Leech van Hewlett Packard Belgium zich af.
HP publiceerde onlangs een Cyber Risk Report dat op dit punt ronduit schokkend te noemen is. Bekende kwetsbaarheden die soms al decennialang bekend zijn, vormden in 2014 nog altijd de meest belangrijke risico’s op het gebied van cybercrime. Bovendien kwam maar liefst 44 procent van de inbreuken op enterprise IT-systemen vorig jaar tot stand via kwetsbaarheden die al twee tot vier jaar bekend zijn. En waarvoor wel degelijk een goede technische oplossingen bestaat.
Samenwerken
“Dat is geen resultaat waar we trots op mogen zijn”, zegt Simon Leech, Architects Manager, EMEA Data Center Team HP. HP roept dan ook de security-industrie op om meer en beter te gaan samenwerken. “Bovendien maken wij ons als HP niet alleen grote zorgen als het gaat om enterprise IT en security, maar we zijn ook allesbehalve gerust op de beveiliging van Internet of Things-projecten. Zeker nu de daadwerkelijke uitrol van dit soort systemen - denk aan huisbeveiligingssystemen - een hoge vlucht begint te nemen, zullen we snel met serieuze security-maatregelen moeten komen.”
Het jaarlijkse Cyber Risk Report van HP is enerzijds zeer interessant om te lezen, maar anderzijds ook zeer verontrustend. De diepgaande analyses van de aanvallen en de werkmethoden van cybercriminelen doen de vraag rijzen of we de strijd met ‘the bad guys’ nu eigenlijk aan het winnen en toch eerder aan het verliezen zijn.
Wat bovendien sterk in het oog loopt, is de professionele manier waarop de cybercriminelen zich hebben georganiseerd. Zij kiezen meer en meer voor goed omschreven specialisaties die zij vervolgens te huur aan anderen aanbieden. Op die manier kunnen snel en eenvoudig zeer geavanceerde systeemomgevingen worden samengesteld die zeer geraffineerde aanvallen mogelijk maken. We zouden het bijna een zeer professionele manier van samenwerken noemen. Die vorm van samenwerking ontbreekt echter nog grotendeels bij de aanbieders en afnemers van security-oplossingen. Leveranciers opereren veelal alleen, terwijl ook afnemers onderling nauwelijks tot samenwerkingsafspraken komen. Ook de samenwerking tussen aanbieders en afnemers van security-tools komt nog niet erg uit de verf.
Waarschuwing
Het rapport van HP geeft echter een niet mis te verstane waarschuwing. Als zelfs duidelijk gecommuniceerde bugs en andere gaten door veel ICT-afdelingen zelfs na jaren nog niet zijn gedicht, hoe kunnen we dan verwachten dat we de razendsnel op nieuwe ‘kansen’ inspelende cybercriminelen tegenspel kunnen bieden?
Samenwerken is dan de enige oplossing - tussen aanbieders onderling, tussen gebruikers onderling, tussen aanbieders en afnemers en tussen aanbieders, afnemers en overheden. Maar zoals Art Gilliland, senior vice president en general manager van Enterprise Security Products van HP, vorig jaar al in een interview met Infosecurity Magazine aangaf, moeten we hierbij wel oppassen dat overheden die samenwerking niet eerder frustreren dan faciliteren. Nog te vaak ziet de HP-topman in tal van landen wetgeving ontstaan die technische oplossingen soms onbedoeld in de wielen rijden. Dit gebeurt bijvoorbeeld als in wet- en regelgeving zeer specifieke security-maatregelen worden opgenomen, waar het definiëren van doelen - en niet de middelen om die doelen te bereiken - vaak een veel grotere kans op succes oplevert.
Cyber Risk Report
De belangrijkste bevindingen uit het Cyber Risk Report liegen er niet om:
- 44 procent van de bekende inbreuken zijn kwetsbaarheden van twee tot vier jaar oud. Aanvallers blijven bekende technieken gebruiken en zijn succesvol in het binnendringen van systemen en netwerken. De top tien kwetsbaarheden die in 2014 benut zijn, profiteren allemaal van code die jaren of zelfs decennia geleden geschreven zijn.
- Foutief geconfigureerde servers zijn het grootste probleem onder alle geanalyseerde applicaties. Het gaat dan vooral om toegang tot onnodige bestanden en bestandsmappen, naast issues rond privacy en cookies. Met dit soort informatie kunnen die aanvallers hun methoden verder verbeteren.
- In 2014 werden ook geheel nieuwe aanvalsmethoden ontdekt. Vooral via fysieke apparaten die verbonden zijn met internet (Internet of Things). In 2014 nam ook het gebruik van mobiele malware toe.
- De meeste kwetsbaarheden komen voort uit een relatief klein aantal gemeenschappelijke programmeerfouten.
Wat doen we hieraan? HP komt met een aantal aanbevelingen:
- Netwerkbeheerders moeten een snelle en flexibele patching-strategie ontwikkelen om ervoor te zorgen dat systemen up-to-date zijn.
- Systemen en netwerken dienen regelmatig getest en geverifieerd te worden op kwetsbaarheden en configuratiefouten.
- IT-afdelingen dienen een fundamenteel begrip van hun systemen en netwerken te ontwikkelen. Alleen dan kunnen zij de impact van nieuwe technologieën maar bijvoorbeeld ook de gevolgen van specifieke kwetsbaarheden in software bepalen.
- Samenwerking en kennisdeling tussen de security-bedrijven helpt om inzicht krijgen in de tactiek van aanvallers, zorgt voor een meer proactieve verdediging, versterkt de bescherming die aangeboden wordt in beveiligingssoftware en zorgt daarmee voor een veiligere werkomgeving.
Hans Vandam is journalist