Maatregelen tegen de meest voorkomende beveiligingsincidenten

Het is al lang niet meer zo dat een server met het installeren van een virusscanner en firewall beschermd is tegen de boze buitenwereld. Meer aandacht is benodigd bij het voorkomen van en het reageren op beveiligingsincidenten. Voortkomend uit onze ervaring hebben wij de belangrijkste aandachtspunten op een rijtje gezet.

Door Wikileaks en de Hacking Team affaire hebben we iets belangrijks geleerd: het gebruik van zogeheten zero-day exploits door professionele aanvallers neemt enorm toe. In dit artikel vindt u daarom een aantal maatregelen die u hiertegen kunt nemen.

* Beveilig uw software

U kunt veel problemen voorkomen door ervoor te zorgen dat uw software veilig is.

Update uw software

De absolute nummer één blijft updaten; achterstallige updates vormen de grootste risicofactor voor iedere computer. Dit geldt zowel voor het weren van ongewenste bezoekers, als het voorkomen dat verschillende kleine fouten grote schade aanrichten. Wij updaten voor onze klanten continu het operating system (OS), de onderliggende virtuele en fysieke hardware, de firewall en de back-up. De klant blijft zelf verantwoordelijk voor het updaten van de applicatie.

Ondanks het toenemende aantal zero-day exploits, is het leeuwendeel van de inbraken op servers nog altijd te wijten aan oude gaten in software waar al maanden of soms zelfs jaren een fix voor is. Updaten blijft dus prioriteit nummer één.

Inventariseer uw software

Als uw leverancier voor u het OS en de ‘onderste’ applicatielagen, zoals de webserver en de database, up to date houdt betekent dat niet dat u zelf niets hoeft te doen. Wij inventariseren de door ons geïnstalleerde software, om onze veiligheidsaanpak richting te kunnen geven. Echter, u als klant (of uw ontwikkelpartij) moet alle details weten van de applicatielaag.

Als u bijvoorbeeld gebruik maakt van een CMS, dan weet u dat zo’n CMS zelf regelmatig geüpdated moet worden. Kent u ook alle plugins die in uw website gebruikt worden? Vraag daarom aan uw ontwikkelpartij of ze een lijst bijhouden met versienummers, de bron van de plugin en de reden van gebruik van de plugin. Let hiervoor op bij complete website ‘thema’s’ die soms met verouderde plugins in de bundel worden aangeboden.

Helaas hebben we zelfs al thema’s gezien met spyware en onzichtbare bakens verstopt in de code. Plugins raken soms ‘op’, de werkwijze verandert of de taken ervan worden overgenomen door het CMS en dan is het handig als men de reden van het gebruik heeft vastgelegd. Wanneer men de plugin wil vervangen, kan men op deze manier onderzoeken of de functionaliteit ervan nog nodig is of dat een vervanger beter werkt.

Overweeg een web application firewall

Veel aanvallen gericht op websites kunnen worden tegengehouden door een goede Web Application Firewall (WAF). Zelfs de meeste zero day exploits hebben herkenbare patronen, waardoor ze niet langs een WAF komen. Er is een ruime keuze aan WAF’s, van open source oplossingen tot commerciële oplossingen. Het hangt helemaal van uw toepassing af, of een WAF iets voor u is.

* Beveilig uw operating system

De veiligheid van uw software is belangrijk, maar die van uw operating system zelf is minstens zo cruciaal.

Gebruik een modern operating system

Moderne operating systems bieden extra beschermingen, waardoor het lastiger wordt om een gat in de beveiliging te knippen door een programmeerfout te misbruiken. Zo’n programmeerfout kan bijvoorbeeld misbruikt worden door meer data aan te bieden dan verwacht of door ongebruikelijke karakters of coderingen te gebruiken.

Recente versies van Linux kennen nieuwe beveiligingen in de kernel en de compiler. Deze maken het onmogelijk om, door misbruik van kleine programmeerfouten in bijvoorbeeld een web server, ongewenste code uit te voeren. In Windows 2012 zijn op dit vlak ook tal van verbeteringen doorgevoerd. Dit is een extra overweging om iedere paar jaar het OS te upgraden.

Gebruik de extra veiligheid van uw operating system

Er zijn meer geavanceerde beveiligingen om op operating system niveau door te voeren, zoals het op militaire leest geschoeide SELinux. Helaas gaat met SELinux in de meeste omgevingen teveel functionaliteit verloren, waardoor een kostbare cyclus van verbeteringsmomenten ontstaat.

Een gunstige uitzondering is Ubuntu’s AppArmor, die slechts een beperkt aantal processen beschermt zonder in de weg te zitten. Door deze continue verbetering op OS niveau, raden wij iedereen aan om voor één van de lang ondersteunde Operating Systems te kiezen. Dat geldt bijvoorbeeld voor Windows 2012, Ubuntu 14.04 LTS “Trusty”, of CentOS 6.x.

Gerbruik een 64-bits operating system

De keuze voor een 64-bit operating system verkleint het risico op inbraak ook. 32 bits code is kwetsbaar voor een aantal aanvallen waarvoor 64 bits code niet kwetsbaar is. Wanneer uw server nog 32 bits is, zou u kunnen overwegen het eerstvolgende updatemoment aan te grijpen om meteen naar een 64 bits omgeving over te gaan. Al met al biedt een moderne omgeving een veel beter basisniveau tegen hacken. Wij raden aan dit in uw application life cycle planning mee te nemen.

* Zorg voor externe bescherming

Op de hostingomgeving zelf kunt u dus al veel regelen, maar sommige bedreigingen komen van buiten uw eigen platform.

Wees alert op phishing

Soms zien we bij het analyseren van een inbraak dat de aanvaller in één keer het juiste wachtwoord probeert. Helaas richt phishing zich al lang niet meer enkel op wachtwoorden van mailboxen en internetbankieren, maar ook op webmasters en andere medewerkers van organisaties en daarmee groeit het phishing probleem nog steeds. Het is belangrijk om uw medewerkers scherp te houden en bewust te maken van de risico’s.

Voorkom downtime door DDOS aanvallen

Een aparte hobby van onscrupuleuze lieden is de DDoS aanval. Door een webserver te overbelasten met bezoeken vanuit de hele wereld kan deze onbruikbaar worden gemaakt voor de legitieme bezoekers, uw klanten.

De afgelopen jaren is DDoS van een gereedschap van activistische whiz kids verworden tot een ondergrondse industrie. Zo kan een scholier die een slecht cijfer krijgt, nu voor een paar tientjes een DDoS inhuren om de website van school offline te krijgen.

Bijzonder genoeg is dat de meeste Internet dienstverleners wel maatregelen nemen tegen inkomende DDoS aanvallen, maar weinig doen aan uitgaande aanvallen. Voor een DDoS aanval is normaal gesproken een groot Botnet nodig (een leger van gehackte computers, die in opdracht tegelijkertijd een aanval uitvoeren) of een beperkt Botnet in combinatie met slecht geconfigureerde Internet servers.

*) Dit artikel is tevens gepubliceerd op de site van cyso.