-

Ethisch hacken: beter voorkomen dan genezen

Steeds meer bedrijven zetten ethische hackers in om hun security te testen. Het verschil tussen de good guys en de bad guys werd in het weekend van 13 mei wederom duidelijk. Toen trof de grootscheepse wereldwijde WannaCry-cyberaanval ziekenhuizen, telecom- en elektriciteitsbedrijven. Een 22-jarige ethische hacker wist de aanval tijdelijk te stoppen maar het virtuele vuur laaide weer op in de vorm van een tweede aanval. Deze wedloop tussen goed en slecht vindt continu plaats.

In Nederland bleef de schade van WannaCry beperkt, maar ook hier worden bedrijven uiteraard regelmatig gehackt. In het eerste kwartaal van 2017 zijn er ruim 2300 datalekken gemeld aan de Autoriteit Persoonsgegevens. Bij 4 procent van de meldingen ging het om 5.000 mensen of meer. Het grootste aantal betrokkenen bij een lek was 680.000. De financiële impact van hacks is lastig te bepalen en wordt daardoor vaak onderschat. Je kunt als vuistregel nemen dat één datarecord die verloren gaat, 170 euro kost aan detectie, herstel, reputatieschade en eventuele schadeclaims.

Nog wat interessante feiten: gemiddeld duurt het 252 dagen voor een bedrijf erachter komt gehackt te zijn. Dat terwijl het in 82 procent van de gevallen binnen een minuut is gepiept. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27 procent), financiële dienstverlening (21 procent) en openbaar bestuur (20 procent). Volgens de AP werd in de eerste drie maanden van dit jaar onder andere een melding gedaan van een besmetting met malware waarbij mogelijk gegevens van 300.000 mensen waren gelekt, waaronder financiële gegevens en kopieën van ID-bewijzen. Ook zijn bij een klantportaal mogelijk de NAW-gegevens en het burgerservicenummer van 480.000 mensen zichtbaar geweest voor andere klanten.

Preventie, detectie, reactie

Aan een datalek ligt niet altijd een kwaadwillende hack ten grondslag, maar de cijfers zijn wel illustratief voor het feit dat het beheersen van digitale en IT-risico’s een steeds belangrijker onderwerp is geworden voor organisaties. Het gevaar wordt steeds vaker bestreden door ethische hackers, die worden ingezet voor preventie (waar is de organisatie kwetsbaar en hoe kun je deze gaten dichten), detectie (hoe kom je erachter dat iemand aan het hacken is) en reactie (wat doe je als je bent gehackt).

De cyberaanval van 13 en 14 mei jl. bewijst eens te meer dat het niet de vraag is of, maar wanneer je wordt gehackt. Iedereen komt aan de beurt. Als je weet wat je dan moet doen, kun je de schade beperken, zowel qua reputatie als financieel. Een cryptolocker stoppen bij de voordeur scheelt downtime in je netwerk en je hoeft geen back-up terug te zetten om alles weer up and running te krijgen.

Bedrijven hebben verschillende redenen om ethische hackers in te schakelen. Het is ten eerste een manier om de stand van zaken vast te stellen, bijvoorbeeld hoe groot de kans is dat er klantgegevens worden gestolen. Ben je een target en moet je maatregelen treffen?

Ten tweede kun je ermee valideren of de voorgenomen beveiligingsmaatregelen hun werk correct doen. Het veilig configureren van software is in deze continu wijzigende technologische wereld uitdagend. Details maken het verschil tussen veilig en onveilig. Ethische hackers testen de robuustheid van de IT-omgeving en stellen vast wat er ontbreekt of onveilig is geïmplementeerd. De frequentie en diepgang van testen hangt af van het belang van de betreffende omgeving. Een webapplicatie met privacygevoelige gegevens bijvoorbeeld zal vaker aan tests worden onderworpen dan een standalone computer zonder internetverbinding. Hoe kritischer de data, des te groter de noodzaak om te blijven valideren dat deze data veilig en betrouwbaar zijn. Daarbij wordt niet alleen gelet op technische zaken maar ook op het menselijke aspect. De grote hacks die de afgelopen periode hebben plaats gevonden kwamen vaak doordat mensen op phishing links klikten en zo malware installeerden op hun computer.

Penetratietests en red teaming

Wij hanteren twee verschillende testmethoden: penetratietests en red teaming. Bij penetratietests concentreren de hackers zich op het opsporen van technische kwetsbaarheden en mogelijke manieren van misbruik hiervan op een afgebakend gebied, bijvoorbeeld alleen in de webshop. Penetratietesten blijkt een populaire term en veel security-aanbieders spelen hierop in. Helaas heeft dit tot gevolg dat de kwaliteit van de ene penetratietest, de andere niet is, waardoor de opdrachtgever een vals gevoel van veiligheid krijgt.

Bij red teaming wordt een bepaald doel vastgesteld en hanteert de ethische hacker meerdere scenario’s om dat doel te bereiken. Een expliciet onderdeel van red teaming is dan ook het menselijk aspect en het combineren van verschillende aanvalsscenario’s. Het is een realistische simulatie van een echte aanval. Er wordt onder de radar geopereerd waarbij goed in de gaten wordt gehouden of het blue team (het bedrijf) in staat is om de aanval op te sporen en te stoppen. Doel is met de laatste technologie en technieken onopgemerkt de kroonjuwelen van het bedrijf te stelen en tegelijkertijd de detectie- en responscapaciteiten van de desbetreffende organisatie testen. En dat lukt vaker dan je zou willen.

De trend die wij zien is dan ook dat steeds meer organisaties om red teaming vragen. Dit waren aanvankelijk vooral bedrijven uit de top-500 maar inmiddels houden kleinere organisaties zich er ook steeds meer mee bezig, omdat de impact en het belang van cybersecurity blijft toenemen. Naast probleemdetecterende diensten zoals de beschreven penetratietesten en red teaming is het van belang voor organisaties om ‘secure by design’ te werken. Hier speelt een samenhang van beveiligingsmaatregelen op de verschillende lagen binnen een netwerk en monitoring hierop een grote rol. Voor webapplicaties reden we sterk aan om secure coding principes toe te passen tijdens het ontwikkelproces. Er zijn referentiekaders waarmee je webapplicaties kunt toetsen op veiligheid. Tweede belangrijke punt is dat er minimaal een keer per jaar en bij iedere grote wijziging een securitytest moet worden gedaan.

Het is niet zo dat grote bedrijven doordat ze het budget hebben om bijvoorbeeld ethische hackers in te zetten, per definitie veiliger zijn. Ze beschikken vaak over de nieuwste technologie maar door hun omvang en complexiteit van het netwerk blijkt het vaak lastig voor deze organisaties om het overzicht te houden. Daar staat tegenover dat detectie en respons bij kleinere bedrijven minder goed geregeld is.

Iedereen weet dat security belangrijk is en toch treffen we regelmatig ongelofelijke situaties aan. Zo was er een bedrijf dat nog nooit een security update had uitgevoerd op de servers en geen enkel antivirusprogramma had. Die IT-omgeving was allang geïnfecteerd door allerlei virussen. En laatst onderzochten we een webapplicatie en kwamen we erachter dat deze twee jaar geleden door Chinezen is gehackt zonder dat het bedrijf dat wist. Forensisch onderzoek wees uit dat elke wijziging in de data werd gekopieerd naar China, zonder dat we er precies achter hebben kunnen komen wat ze met die informatie doen. Webshops die hun klantgegevens online opslaan en slecht beveiligen, een bank waar wij tot op klant- en rekeningniveau informatie konden weghalen – we komen het allemaal tegen.

We vinden altijd ernstige risico’s in een omgeving die nog nooit is getest. Als het ieder jaar gebeurt, zijn de grootste problemen over het algemeen wel afgedekt en zien we over het algemeen medium tot lage risico’s. Dit is geen wet van Meden en Perzen, want er als er een nieuwe kwetsbaarheid wordt ontdekt, worden de kaarten opnieuw geschud. Dat maakt security dynamisch en uitdagend om volledig te beheersen.

Dit artikel is in samenwerking met Gerwin Naber geschreven.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond