Terug naar overzicht

Aantal kwetsbaarheden neemt toe!

Leon Gubbels
11 maart 2019

Onbekend met de termen kwetsbaarheid of vulnerability? Dan even een korte achtergrond. Wel al bekend met deze termen? Dan kunt u door naar Toename.

Achtergrond

Kwetsbaarheden, of in het Engels vulnerabilities, zijn zwakke punten in software of hardware die misbruikt kunnen worden om ongeautoriseerde acties op een systeem uit te voeren. Deze kwetsbaarheden worden bijvoorbeeld door hackers gebruikt om toegang tot een computer of telefoon te krijgen. Eenmaal binnen heeft een hacker vaak vrij spel en hangt het van zijn of haar doel af wat er verder gebeurd: het stelen van data, het versleutelen van data zoals bij een cryptolocker, of zoeken naar een volgend doelwit, ook wel lateral movement genoemd.

Om misbruik te kunnen maken van een kwetsbaarheid moet de aanvaller een middel hebben om bij de kwetsbaarheid uit te komen. Dat kan omdat een systeem direct benaderbaar is zoals bij een rechtstreekse koppeling met internet, een besmette internetpagina of via een software programma dat de aanvaller op het systeem heeft weten te krijgen via een phishing mail of download site. Hierin zijn aanvallers erg creatief en duiken er steeds nieuwe methodes op.

Software bedrijven zijn gebaat bij het snel oplossen van een kwetsbaarheid indien iemand deze gevonden heeft. Zij loven daarom prijzen uit voor degene die een nog onbekende kwetsbaarheid meldt aan het bedrijf: een 0-day kwetsbaarheid.

Toename

De laatste jaren neemt het aantal bekende kwetsbaarheden enorm toe. De National Vulnerability Database houdt statistieken bij en hierin is een duidelijke toename te zien met zelfs een verdubbeling in aantal tussen 2016 en 2017. Ook in 2018 is het aantal opnieuw gestegen naar 16.503 bekende kwetsbaarheden!

Die 16.503 geregistreerde kwetsbaarheden in 2018 zijn gelukkig niet allemaal even ernstig. 4.282 daarvan vallen in de categorie high, 10.463 in medium en 1.758 in low. Een voorbeeld van de categorie high is waarbij een aanvaller makkelijk toegang krijgt tot een systeem en alle aanwezige data. Bij low is dat veel moeilijker of met beperkte toegang tot data. Het vervelende is alleen dat een aanvaller maar één zwakke plek nodig heeft om binnen te komen en dan zijn slag kan slaan. Uiteraard heeft u allerhande maatregelen getroffen om dit te voorkomen, is detectie goed ingeregeld en is er een werkende backup voorhanden indien er toch een cryptolocker langs uw verdediging is gekomen. Is dat niet het geval dan kan Sec4.it u nog wel wat tips geven en verder op weg helpen.

  1. Eén van de meest belangrijkste maatregelen is het installeren van patches die leveranciers uitbrengen om kwetsbaarheden te verhelpen. En daar gaat het vaak mis.
  2. Het is niet bekend dat er een patch is voor een kwetsbaarheid.
  3. Het is niet bekend welke kwetsbaarheden allemaal op een systeem aanwezig zijn.
  4. Er is niet voldoende tijd om patches te installeren.
  5. De gedachte: "we hebben automatische updates van Microsoft toch aan staan? Dat is toch voldoende?" is niet correct.
  6. De gedachte: "hier valt niets te halen" is geen oplossing.

Tijd is schaars en kost ook geld. Daarmee is een goede ondersteunde dienst of oplossing een uitkomst! Wat zou het u waard zijn als iemand netjes in kaart bracht hoeveel kwetsbaarheden er zijn op al uw systemen, gerangschikt van high naar low?

De twee gedachtes die vaak hardop uitgesproken worden zijn gevaarlijk en ik zal u uitleggen waarom. Microsoft Update is een mechanisme om Microsoft patches op uw systeem te krijgen. Maar dan ook alleen (!) Microsoft patches. Daarmee krijgt u geen Java, Adobe of andere updates en patches. En juist Java en Flash brengen met enige regelmaat patches uit voor tientallen kwetsbaarheden per keer. Maar ook bij Microsoft kunt u op de website lezen dat naast de update die u wellicht automatisch gekregen heeft er soms nog handmatige acties noodzakelijk zijn zoals het aanpassen van een registry key of het aanmaken van een Group Policy.

En wellicht valt er bij u "niets" te halen maar de meeste slachtoffers zijn niet bewust gekozen. Voortdurende struinen geautomatiseerde scans en tools het internet af naar systemen met specifieke kwetsbaarheden om zo veel slachtoffers te kunnen maken. Niet iedereen betaald bij een infectie met gijzelsoftware om een computer weer "vrij" te krijgen. Zaak dus om veel slachtoffers te maken, liefst volledig geautomatiseerd.

Patch en Vulnerability Management

Het updaten en patchen van een systeem wordt ook wel Patch Management genoemd. Een goed Vulnerability Management proces kan dan ook niet zonder Patch Management. Want het alleen monitoren op nieuwe kwetsbaarheden en scannen hiervan op uw systemen is niet voldoende. Omgekeerd geldt dat u eerst moet weten wat te patchen voordat u daadwerkelijk aan de slag kunt om een effectieve beveiliging te hebben. De één kan niet zonder de ander.

Sec4.it gebruikt al geruime tijd de wereldwijde geroemde software van onze partner Qualys hiervoor. Deze kunt u zelf gebruiken om met uw security team aan de slag te gaan of hierbij de assistentie van Sec4.it inschakelen. En dat kan zelfs als dienst!

Mocht u willen weten hoe wij dit doen en wat we hierin voor u kunnen betekenen? Neem dan contact met ons op.

Reacties (0)

Er zijn nog geen reacties op dit blogartikel.

Laat een reactie achter

Naam*

E-mail*

Bericht*