Het is iets wat ons allemaal overviel, de inmiddels ruim bekende kwetsbaarheid in Log4j: Log4Shell. Als lezer zul je het waarschijnlijk ook al wel weer een beetje gehad hebben met alle nieuwssites die hierover rapporteren. Desondanks voel ik me verplicht om hier toch nog een artikel aan te wijden.
Mijn collega’s bij SALT, de wijdere cybersecuritygemeenschap en waarschijnlijk inmiddels heel veel anderen zijn het over het volgende eens: het hebben van een objectief goede, moderne cybersecuritystrategie in een bedrijf is geen luxe meer, maar een must have. Hoe je zo’n strategie opzet en waar je aan moet denken om applicaties veilig te kunnen maken, is iets waar ik (en mijn collega’s) al eerder over hebben geschreven en ook een dienst die we als SALT aanbieden. In dit artikel zet ik kort een aantal belangrijke punten onder elkaar.
Dutch IT-channel plaatste op 28 september jongstleden een interessant interview met Dirk Jan Jannink (F-Secure) over proactieve cybersecurity. De redactie schrijft: “Reactieve cybersecurity, zonder proactief de IT-omgeving af te speuren op kwetsbaarheden en onwenselijk gedrag, is zo lek als een mandje.”
Dutch IT-channel plaatste op 28 september jongstleden een interessant interview met Dirk Jan Jannink (F-Secure) over proactieve cybersecurity. De redactie schrijft: “Reactieve cybersecurity, zonder proactief de IT-omgeving af te speuren op kwetsbaarheden en onwenselijk gedrag, is zo lek als een mandje.”
Alhoewel het gebruiken van externe packages in je applicaties zeer aantrekkelijk is, kun je er een hoop ellende mee in huis halen. Deze externe packages zijn, net zoals als alle andere software, vatbaar voor kwetsbaarheden. In principe vormt dit dus geen groter risico dan normaal, maar we hebben vaak een irrationeel groot vertrouwen in deze dependencies en gebruiken er vaak zo veel dat we door de bomen het bos niet meer zien. Het is dus belangrijk om deze afhankelijkheden in de gaten te houden en actie te ondernemen wanneer er een kwetsbaarheid in opduikt. Het geautomatiseerd in de gaten houden van de gebruikte packages in een applicatie heet dependency scanning en zit ingebouwd in platformen als GitHub, GitLab en Snyk.
Het gebruiken van externe packages in je applicaties om het leven makkelijker te maken is iets wat we allemaal doen, maar waar we vaak de gevaren niet goed van voor ogen hebben. Het grote voordeel van open source code uit de community zou moeten zijn dat we op het werk van anderen kunnen leunen én erop kunnen vertrouwen dat andere mensen de code op veiligheid controleren.
Het gebruiken van externe packages in je applicaties om het leven makkelijker te maken is iets wat we allemaal doen, maar waar we vaak de gevaren niet goed van voor ogen hebben. Het grote voordeel van open source code uit de community zou moeten zijn dat we op het werk van anderen kunnen leunen én erop kunnen vertrouwen dat andere mensen de code op veiligheid controleren.
Vorige week kwam naar buiten dat er weer eens een WordPress plug-in gigantische gaten in websites veroorzaakt. John Leyden (journalist voor The Daily Swig) schrijft hier het volgende over: “Kwetsbaarheden in OptinMonster, een plug-in voor e-mailmarketing voor WordPress, lieten meer dan een miljoen websites open voor misbruik, waarschuwen beveiligingsonderzoekers van Wordfence.” De plug-in laat aanvallers gevoelige informatie exporteren en kwaadaardige JavaScript toevoegen aan kwetsbare sites, naast andere exploits.
Vorige week kwam naar buiten dat er weer eens een WordPress plug-in gigantische gaten in websites veroorzaakt. John Leyden (journalist voor The Daily Swig) schrijft hier het volgende over: “Kwetsbaarheden in OptinMonster, een plug-in voor e-mailmarketing voor WordPress, lieten meer dan een miljoen websites open voor misbruik, waarschuwen beveiligingsonderzoekers van Wordfence.” De plug-in laat aanvallers gevoelige informatie exporteren en kwaadaardige JavaScript toevoegen aan kwetsbare sites, naast andere exploits.
Ook de Log4Shell kwetsbaarheid kan gedetecteerd worden door een dependency scanner te gebruiken. In de meeste gevallen ontvang je een rapport waarin in alle gevonden kwetsbaarheden worden aangeven met hun bijbehorende risiconiveau. In veel gevallen is het zelfs mogelijk om de kwetsbaarheid automatisch op te laten lossen. Als meer organisaties deze tooling hadden geïmplementeerd vóór het incident, had dit een hoop werk en ellende kunnen schelen.
Thomas van den Nieuwenhoff schreef deze week een blog over package afhankelijkheden en de risico’s. Enkele uren later wordt de wereld opgeschrikt door één van de grootste exploits
Thomas van den Nieuwenhoff schreef deze week een blog over package afhankelijkheden en de risico’s. Enkele uren later wordt de wereld opgeschrikt door één van de grootste exploits
“Waarom is pentesten belangrijk, we kunnen toch automatisch onze code op problemen scannen?”, is een vraag die wij vaak horen en ook graag een antwoord op geven. Op eenzelfde manier als dat het absoluut cruciaal is voor onze krijgsmacht om zoveel mogelijk over de tegenstander te weten, om een succesvolle missie uit te voeren, is het bij penetratietesten even cruciaal om te begrijpen hoe een aanvaller te werk zou gaan. Je probeert je namelijk niet te beschermen tegen robots, maar mensen met een creatief brein en een motivatie om uit te vinden hoe ze een systeem binnen komen. Dit komt mooi naar voren in deze quote van Lavi Lazarovitz (Head of Security Research @ CyberArk):
"In de beveiligingswereld hoef je geen cybercrimineel te zijn om er een te vangen – maar het helpt zeker om de denkwijze van cybercriminelen te begrijpen."
Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.
Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.
Een tool die automatisch op kwetsbaarheden kan scannen en hier regelmatig een rapport over genereerd is fantastisch, maar het blijft een tool en geen oplossing. Daarnaast is een eenmalige pentest zeker nuttig, maar geen oplossing voor een continu evoluerende dreiging. Het is daarom een goed idee om een pentesting partij regelmatig naar je applicaties te laten kijken. Dit kan dan ook incrementeel worden gedaan, wat een hogere efficiëntie oplevert.
Sinds de Coronacrisis zijn veel meer mensen thuis gaan werken, wat gepaard gaat met een sterk toegenomen hoeveelheid werknemers die buiten een kantoor bij businessapplicaties en bestanden moeten kunnen. Er zijn grofweg vijf stappen om de overgang naar hybride werken op een veilige en succesvolle manier te voltooien. Een hiervan is het beveiligen van de apparaten en verbinding die de werknemers gebruiken om hun werk te doen.
Het is belangrijk om de verbinding tussen het apparaat van de medewerker (wat zich dus buiten een beveiligd kantoor bevindt) en het bedrijfsnetwerk te beveiligen. Je loopt hier namelijk het risico dat door een slecht geconfigureerde verbinding, een kwaadwillende actor bedrijfsgegevens steelt, bewerkt of onbeschikbaar maakt. Naast het beveiligen van de netwerkverbinding, is het belangrijk om ervoor te zorgen dat de apparaten van medewerkers voorzien zijn van de laatste beveiligingsupdates. Deze medewerkers werkten misschien eerder op een desktop in het kantoor, maar werken nu op een (bedrijfs)laptop thuis. Het grote verschil is niet het formaat noch de locatie, maar de controle die het bedrijf heeft over het apparaat. Een softwareoplossing die ervoor zorgt dat deze laptop voorzien is van de laatste updates en misschien bepaalde acties niet toelaat, zal ervoor zorgen dat het apparaat weer beheerbaar wordt en niet een te groot beveiligingsrisico vormt.
Business Insider bracht op 10 november het volgende artikel naar buiten: “Thuiswerkers zijn weer welkom op kantoor, hackers niet – 4 tips voor de cybersecurity van bedrijven”. Ze schrijven dat na een lange periode thuiswerken de terugkeer naar kantoor een gevaar voor de cybersecurity op kan leveren. De stap naar thuiswerken vereiste namelijk snelle veranderingen die nu niet meer teruggedraaid kunnen worden. Ze hebben de vier belangrijkste punten op een rij gezet, die ik hier graag herhaal, omdat het een probleem is waar veel organisaties mee zullen zitten.
Business Insider bracht op 10 november het volgende artikel naar buiten: “Thuiswerkers zijn weer welkom op kantoor, hackers niet – 4 tips voor de cybersecurity van bedrijven”. Ze schrijven dat na een lange periode thuiswerken de terugkeer naar kantoor een gevaar voor de cybersecurity op kan leveren. De stap naar thuiswerken vereiste namelijk snelle veranderingen die nu niet meer teruggedraaid kunnen worden. Ze hebben de vier belangrijkste punten op een rij gezet, die ik hier graag herhaal, omdat het een probleem is waar veel organisaties mee zullen zitten.
Cyberaanvallen komen tegenwoordig uit alle hoeken en niemand is veilig. Dat klinkt uiterst somber, maar het is écht waar. Het is daarom belangrijker dan ooit dat we ons goed genoeg beschermen tegen deze mogelijke aanvallen. Maar wat is goed genoeg? Threat modelling is een proces waarin beveiligingsrisico’s voor een applicatie in kaart worden gebracht en beoordeeld. Je houdt hier dus een overzichtelijke lijst aan kwetsbaarheden aan over, waar direct een prioritering op toe te passen is. De risico’s met het hoogste risiconiveau moeten uiteraard het snelst opgelost worden.
Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.
Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.
Security bewustzijn draait volledig om het herkennen van mogelijke beveiligingsrisico’s en weten hoe hiermee om te gaan. Dit bewustzijn stijgt altijd enorm bij een nieuwe kwetsbaarheid zoals Log4Shell, maar ebt de maanden en jaren daarna weer behoorlijk af. Als je een (of meer!) Security Champion(‘s) aanstelt binnen je organisatie, zorg je ervoor dat dit bewustzijn langer op niveau blijft en creëer een securitycultuur waarin je gaat opereren op basis van standaarden en richtlijnen in plaats van de schik van de nieuwste high-impact kwetsbaarheid.
Security-specialisten zijn schaars. Ontwikkelaars zijn vaak aangewezen op de kennis die zij al hebben (of juist niet hebben) om een applicatie veilig te bouwen. Het
Security-specialisten zijn schaars. Ontwikkelaars zijn vaak aangewezen op de kennis die zij al hebben (of juist niet hebben) om een applicatie veilig te bouwen. Het
Op eenzelfde manier als waarop een Security Champion het security bewustzijn op lange termijn hooghoudt, doet secure coding dit wat meer in een theoretische en leerbare manier. Als je goede secure coding practices aanhoudt, weet je effectief invoervalidatie, injectiemitigatie, encoding & escaping, authenticatie & autorisatie, sessie management, foutafhandeling, logging & monitoring, codedekking en detectie van kwaadaardige code toe te passen.
Tot slot is er dan security configuratie, oftewel: de configuraties die je aan kunt passen om een applicatie veiliger te maken. Net zoals bij secure coding gaat het hier om een aantal standaard practices die je je eigen moet maken. De oorzaak van een groot aantal kwetsbaarheden is een verkeerde configuratie van applicaties en de platformen waar ze op draaien. Het is dus zeker een belangrijk punt om mee te nemen in je security toolkit.
Ik hoop dat dit artikel een goede bron is voor jouw eigen weg naar een veiligere toekomst! Mocht je nog twijfelen over het nut van dit alles, dan moet je zeker contact opnemen met mij of SALT in het algemeen, want dan zijn we niet duidelijk genoeg geweest. Security is al jaren iets wat niet genegeerd mag worden en het wordt alleen nog maar belangrijker richting de toekomst. Het is commemorabel om een leider te zijn op het gebied van cybersecurity en dat heeft een hele goede reden.
P. de Medinalaan 73, 1086XP, Amsterdam
+31 (0)20-3030580
ma - fri 8:30-17:00
