Per week worden er talloze pogingen ondernomen om websites te kraken, of voorbereidingen daartoe getroffen. De meeste bedrijven merken pas iets op als de onverlaat de firewall gepasseerd is, laat staan dat ze genoeg kennis en middelen hebben om deze agressie te pareren. Het uitbesteden van de controle en beveiliging van de website is dan ook geen overbodige luxe.
Een aantal maanden geleden kwam Microsoft er tot zijn grote schrik achter dat Russische hackers al maandenlang ongestoord hun gang konden gaan op hun netwerk. Dit voorbeeld illustreert volgens Chris de Jongh, directeur bij Ubizen Nederland, het gevaar dat op internet aangesloten bedrijven lopen. "Veel bedrijven hebben geen idee welk risico ze lopen als applicaties via internet ontsloten worden", zegt De Jongh. "Zo kan een eigen systeembeheerder per ongeluk een alleen voor medewerkers toegankelijke ftp-site door één foute handeling open zetten voor de hele wereld. Dergelijke ingangen via ftp-sites of mailservers bieden hackers volop kans het bedrijfsnetwerk te betreden."
Het van oorsprong Belgische Ubizen is begonnen als leverancier van software en hardware voor de beveiliging van websites. Ondernemingen kunnen bij het concern aankloppen voor de beveiliging en monitoring van hun website en bijbehorend bedrijfsnetwerk. Ubizen heeft een Security Operation Centrum (SOC) in Europa en de Verenigde Staten en later dit jaar ook in Australië. Vanuit deze controleposten bewaakt het concern non-stop aangesloten bedrijfsnetwerken. "De controle gaat met de zon mee", aldus De Jongh. Het bedrijf kan op vaste tijdstippen de poorten van een internet-gateway scannen om te kijken of het netwerk nog waterdicht is.
Vroegtijdig
Daarnaast houdt Ubizen met zijn Onlineguardian-product netwerken continu in de gaten. Door gebeurtenissen op onder andere de firewall en het indringersdetectiesysteem te verzamelen, te analyseren, en te correleren aan de regels en gebruiken van het netwerk in kwestie zijn aanvallen in een vroeg stadium op te sporen. Zo wordt er bijgehouden op welke tijdstippen en vanaf welk IP-adres een poortscan is uitgevoerd en welke netwerkprotocollen gebruikt zijn. Per dag ontwaart de software gemiddeld twee miljoen afwijkingen, die door filters gehaald worden. De software is uitgerust met informatie over de patronen die hackers gebruiken op zoek naar een manier om een aanval uit te voeren, zodat alleen van mogelijk relevante gebeurtenissen een melding verschijnt.
Als de software een opvallende afwijking constateert, krijgen dienstdoende beveiligingsexperts in het controlecentrum een melding voorgeschoteld. Op deze manier is een hacker al te ontwaren voordat deze binnen is. Ook een ddos-aanval (‘distributed denial of service’) is in een vroeg stadium waar te nemen. Al zal de internet-aanbieder de lijnen moeten afknijpen die de betrokken webserver over zijn toeren laten gaan. "In een tot een firewall beperkte beveiliging van het netwerk is deze finesse niet haalbaar", aldus De Jongh.
Weerwoord
Alvorens via internet op een bedrijfsnetwerk in te breken, scannen hackers met een toepassing de tcp-poorten af op zoek naar een applicatie die hen toegang kan verschaffen tot een bedrijfsnetwerk. Volgens Peter Sandkuijl, technical manager Benelux bij Checkpoint, zijn de meeste firewalls voorzien van software om dit ongeoorloofd onderzoek op te merken en te melden aan de systeembeheerder. Checkpoint verkoopt zijn Firewall-1 in ieder geval met deze functionaliteit aan boord.
Daarnaast ziet Sandkuijl indringersdetectie-software de laatste twee jaar sterk opkomen. Deze software controleert of het Http-verkeer richting webserver geen ongeoorloofde code bevat. Met deze code kan een hacker informatie inwinnen over de webserver en de software die erop draait. Op basis van deze informatie is later een aanval uit te voeren. De software scant de internet-pagina’s die vanaf een computer binnen of buiten het bedrijfsnetwerk verstuurd zijn, om dit snuffelen te herkennen en de verbinding tijdelijk te verbreken. Een firewall kan een Http-verzoek niet op inhoud controleren, laat staan zelfstandig actie ondernemen.
Sandkuijl ziet indringersdetectie-software als een aanvulling op de firewall die vooral zijn waarde kan bewijzen voor een website waarvan de naamsbekendheid een belangrijk goed is. "Bedrijven die beveiligingsoplossingen verkopen kunnen zich absoluut geen door een hacker veranderde beginpagina van hun website veroorloven", aldus Sandkuijl. Ook ziet hij bedrijven maatregelen nemen tegen interne cybercriminaliteit. Ondernemingen realiseren zich dat het eigen personeel een niet te onderschatten risico is. Volgens Sandkuijl vindt 70 procent van de cyberaanvallen van binnenuit plaats. Intrusion detection-software van Realsecure van producent ISS is aan de firewall van Checkpoint te koppelen.
