Kijk ook naar indirecte relaties in de digitale supply chain
Het vergrendelen van programmaconfiguraties en het patchen van computers zijn twee cruciale taken in cybersecurity. In het praktisch georiënteerde raamwerk van ‘De twintig meest kritische beveiligingsmechanismen’ (zie kader) zijn ze aangemerkt als taken met hoge prioriteit in de mechanismen drie en vier. Zij volgen net na hardware- en software-inventarisatie, die zijn omschreven in de mechanismen één en twee.
Patchen en vergrendelen spelen uitsluitend in op de eerste laag van de digitale supply chain. We moeten dan ook alert zijn op de meer indirecte relaties in de infrastructuur. De patch-set die Microsoft in augustus uitbracht, omvatte een nieuwe versie van Microsoft Exchange. Een nieuwe versie van de Exchange Mail Server-software was nodig met het oog op een kwetsbaarheid in een van de componenten waarover Microsoft geen controle heeft. Microsoft gebruikt deze in licentie van een derde partij. Daarom moet het bedrijf deze monitoren met het oog op beveiligingspatches. Microsoft doet dit prima, maar de software waar het om gaat (Outside-in van Oracle) wordt ook door andere bedrijven gebruikt. Van die andere bedrijven is het niet zeker dat zij net zo zorgvuldig zijn als Microsoft. Op dit moment staat niet vast of andere leveranciers ook nieuwe versies hebben uitgebracht naar aanleiding van deze kwestie.
Domeinnamen
Een andere schakel in onze digitale supply chain is te illustreren aan de hand van aanvallen eerder dit jaar op websites van de New York Times, Huffington Post en Twitter door het Syrian Electronic Army (SEA). Het SEA voerde geen rechtstreekse aanval uit, maar werkte via de partij waar de domeinnaam is geregistreerd. Deze organisatie onderhoudt de relatie van de domeinnaamhouder met de beheerder van het .com-topdomein en controleert de mapping van name servers. Onder normale omstandigheden heet de ‘name server’ van de New York Times ‘dns.ewr1.nytimes.com’. Tijdens de aanval wist de SEA via de domeinregistratie dit te veranderen in ‘m.sea.sy’. Dat gaf de SEA controle over alle nytimes.com-servers, – met www.nytimes.com als belangrijkste – maar ook over andere systemen zoals mail.nytimes.com. Een en ander leidde tot ongewenste content op de sites en downtime.
Twitter was beter bewapend tegen dit type aanval. Dit bedrijf had een beschermingsmiddel in de vorm van een ‘registry lock’ bij de partij waar het domein is geregistreerd. Deze voorziening wordt uitgevoerd door VeriSign. Wanneer het ‘registry lock’ geactiveerd is, worden wijzigingen voor een name server door een medewerker gecontroleerd. Deze verifieert de wijziging bij de eigenaar van de domeinnaam. Een wijziging bij Twitter van de normale instelling ‘ns1.p34.dynect.net’ naar ‘m.sea.sy’ zou meteen opvallen bij controle. Alleen met geavanceerde social engineering waarbij iemand zich zou voordoen als Twitter-medewerker zou dit eventueel kans van slagen hebben. Dit is een mooi startpunt voor ieder bedrijf om te bepalen hoe kwetsbaar ze zijn en hoe dat te minimaliseren is. Uiteraard geldt bovenstaande voor ieder toplevel-domein, van .com tot .fr en .nl.
Voor de IT-beveiligingssector betekent dit ook een nieuw facet bij het in kaart brengen van IT-middelen. Wij moeten ons afvragen van welke middelen de business afhankelijk is en welke potentiële issues deze middelen kunnen aantasten. Daarbij moeten we niet stoppen bij de eigen organisatie maar ook kijken naar serviceproviders en hen betrekken bij die activiteiten.
De twintig meest kritische beveiligingsmechanismen
Veel organisaties implementeren beveiligingsprogramma’s om hun transacties en intellectuele eigendommen te beschermen. Veel gebruikte standaarden op dat gebied zoals ISO 2700x en NIST 800-53 zijn berucht om hun omvang. De nieuwste versie van NIST 800-53 telt maar liefst 450 pagina’s en beschrijft 1.200 beveiligingsmechanismen. De complexiteit van deze standaarden vereist diepgaande kennis tijdens het ontwerp. Het is zelfs nog uitdagender om de scope van een implementatie te bepalen. Deze situatie was in 2008 aanleiding voor een groep beveiligingsexperts om een kleine set van beveiligingsmechanismen te bepalen die te gebruiken zijn als begrijpelijke richtlijnen voor computerbeveiliging. De groep stelde twintig mechanismen vast die volgens hen de basis zijn voor een effectieve beveiliging, de SANS top-20
Naast het beschrijven van deze twintig meest kritische beveiligingsmechanismen gaf de groep ook effectiviteitskenmerken aan de mechanismen. De eerste vijf mechanismen kregen daarbij het kenmerk ‘zeer effectief’. Dat zijn
- het creëren van een voorraadoverzicht van alle hardware, zodat het aantal gebruikte systemen bekend is;
- het vaststellen van alle software zodat er inzicht is in alle besturingssystemen en applicaties;
- het bepalen van een veilige configuratiestandaard als basis voor systemen;
- het uitvoeren van een continu proces van kwetsbaarheidsanalyses en herstelacties voor gecatalogiseerde software;
- het implementeren van bescherming tegen malware.
VGZ beveiligt webapplicaties met QualysGuard
Zorgverzekeraar VGZ speelt een actieve rol in de Nederlandse zorgsector. De organisatie telt ruim 4,2 miljoen klanten en circa 2.500 medewerkers. VGZ ging ongeveer een jaar geleden op zoek naar een manier om de beveiliging te controleren van alle websites. Deze zijn grotendeels gebouwd op basis van Microsoft .NET en Sharepoint. Via deze sites stellen klanten vragen, sturen ze informatie in en bekijken of wijzigen ze hun polis.
VGZ wilde er zeker van zijn dat zijn websites en applicaties veilig en beschikbaar zijn. De organisatie koos met het oog hierop voor QualysGuard Web Application Scanning van Qualys. Die keus volgde op een jarenlang succesvol gebruik van QualysGuard Vulnerability Management. “Een van de doorslaggevende factoren voor ons was – naast het feit dat QualysGuard Web Application Scanning fouten vond die we niet eerder hadden geconstateerd – dat veel van onze klanten ook gebruikmaken van QualysGuard. De scans van deze oplossing zijn zo accuraat en compleet, dat je niet meer hoeft te gissen. Dat maakt de keus voor ons heel eenvoudig”, zegt Arthur Visser, senior infrastructure engineer bij VGZ.
QualysGuard Web Application Scanning stelt kwetsbaarheden in webapplicaties vast, waaronder SQL-injectie, cross-site scripting en URL redirection. Dankzij de dynamische interface ervaren gebruikers een intuïtieve en gebruiksvriendelijke geautomatiseerde workflow met een zeer gering aantal false positives.
Als onderdeel van de evaluatie voerde VGZ een aantal testscans uit op verschillende webapplicaties. “Wij waren zeer tevreden met het resultaat, QualysGuard Web Application Scanning automatiseert alles, komt met heel weinig false positives en vindt de echte kwetsbaarheden. Dit bespaart ons veel tijd en inspanning”, zegt Visser.
QualysGuard Web Application Scanning zorgde vooral voor veel tijdbesparing bij het testen van ongeveer zeventig aan VGZ gerelateerde websites. Volgens Visser was QualysGuard Web Application Scanning in staat om verschillende ernstige kwetsbaarheden op te sporen waaronder cross-side scripting en SQL-injectie.
Het bedrijf gebruikt nu QualysGuard Web Application Scanning voor het scannen van de volledige webinfrastructuur. Deze beslaat circa 25 webservers, waarop verschillende sites gehost worden. “Aantrekkelijk aan QualysGuard Web Application Scanning is dat de oplossing na een scan meteen acties voorstelt. Dat bespaart ons veel tijd die we anders kwijt zouden zijn aan het zoeken naar oplossingen”, zegt Visser.
QualysGuard Web Application Scanning, in combinatie met QualysGuard Vulnerability Management, stelt VGZ in staat om de beveiliging en compliance beter af te stemmen. “De testresultaten van Qualys zijn zeer effectief. Wanneer het verificatierapport van Qualys geen fouten laat zien, weten we dat alle patches doorgevoerd zijn en we klaar zijn voor onze audit”, besluit Visser.
Auteur: Wolfgang Kandek is CTO van Qualys