Hackers en cybercriminelen maken steeds vaker misbruik van niet eerder ontdekte kwetsbaarheden in software om systemen aan te vallen. Iets aan deze toenemende dreiging doen en het algemeen belang beschermen, vraagt om een gezamenlijke inspanning. “Het is cruciaal dat organisaties hun basisbeveiliging versterken en periodiek screenen op kwetsbaarheden. Deze maatregelen beschermen niet alleen de organisatie zelf, maar hebben ook invloed op de binnenlandse en internationale veiligheid.”
Dat stelt het Nederlandse cybersecuritybureau Orange Cyberdefense.
‘Ondoordachte informatie-uitwisseling kan schade vergroten’
Als voorbeeld noemt het bedrijf de cyberaanval op twaalf Noorse ministeries. Hackers maakten misbruik van een zero-day exploit in Ivanti Endpoint Manager Mobile. Daardoor wisten de aanvallers het authenticatieproces te omzeilen om toegang te krijgen tot vertrouwelijke bedrijfsgegevens. “Het is niet de eerste en zeker niet de laatste keer dat een land doelwit zal zijn van zo’n gerichte zero-day aanval”, zo benadrukt Jort Kollerie, beveiligingsspecialist bij Orange Cyberdefense.
Een digitale aanval via een zero-day exploit is niet alleen gevaarlijk voor het bedrijf of de organisatie die hierdoor wordt getroffen. Volgens Kollerie kan het een grote groep slachtoffers creëren als er niet snel wordt ingegrepen. “Het risico bestaat dat bij ondoordachte informatie-uitwisseling de kwetsbaarheid ineens onder een grotere groep hackers bekend wordt en het dus nog veel meer schade kan aanrichten”, zegt hij.
De Noorse overheid heeft in zijn ogen goed gehandeld door direct contact op te nemen met de softwareleverancier. Zo kon het bedrijf snel een patch ontwikkelen en deze wereldwijd uitrollen om schade bij andere partijen te voorkomen.
Zero-days en kwetsbaarheden patchen neemt teveel tijd in beslag
Kollerie onderstreept het belang van het regelmatig testen van de eigen verdediging en infrastructuur. Met behulp van pentests kunnen ethische hackers kwetsbaarheden opsporen voordat kwaadwillenden de kans krijgen om er misbruik van te maken. Het werken met Red Teams en Blue Teams kan eveneens beveiligingsproblemen aan het licht brengen. Het Red Team is een groep medewerkers die een bedrijfsnetwerk probeert te infiltreren. Het Blue Team probeert er alles aan te doen om deze aanval af te slaan.
Volgens Kollerie is er nog veel ruimte voor verbetering. Softwarebedrijven nemen te veel tijd in beslag om een patch te ontwikkelen voor zero-day exploits en andere kwetsbaarheden. “Onze gegevens tonen aan dat bedrijven nog steeds gemiddeld 215 dagen nodig hebben om een gemelde kwetsbaarheid te repareren. Zelfs voor kritieke kwetsbaarheden is dat meer dan 6 maanden. Hierdoor lopen organisaties onnodig risico en biedt het aanvallers een aanzienlijk venster voor misbruik”, aldus de beveiligingsspecialist.
Internationale cybersecurity- en dataprivacystandaarden, zoals de Europese Netwerk en informatierichtlijn (NIS2), helpen volgens Kollerie om een gemeenschappelijk kader te creëren voor betere informatiebeveiliging. “NIS2 is in die zin goed nieuws. Een van de punten uit deze richtlijn is een solide patchbeleid. Het geeft organisaties een onomwonden argument om dat aspect op orde te brengen.”
Aantal slachtoffers verkleinen door kennisdeling en solide patchbeleid
Orange Cyberdefense pleit voor meer kennisdeling om de digitale weerbaarheid van bedrijven en organisaties te vergroten. “Niemand concurreert op security. Iedere organisatie is een bron van securitykennis en -inzichten en het delen van die kennis en inzichten is van onschatbare waarde voor ons allen.” Om het risico van onnodige slachtoffers te minimaliseren, is het verstandig om het patchbeleid onder de loep te nemen. “Door opgeloste kwetsbaarheden zo snel mogelijk te patchen, verklein je het risico onnodig slachtoffer te worden van wat eigenlijk geen zero-day kwetsbaarheid meer is”, zo zegt Kollerie.
“Cyberveiligheid is een gedeelde verantwoordelijkheid, waarbij iedere organisatie een verschil kan maken – niet alleen voor zichzelf, maar voor de gehele digitale gemeenschap”, zo eindigt de cybersecurityexpert zijn bijdrage.
