Dagelijks kan je lezen dat er nieuwe kwetsbaarheden worden ontdekt. Hoofdzakelijk ziet men dan kwetsbaarheden in applicaties en besturingssystemen. Nog niet zo lang geleden stonden ook het nieuwe Windows 7 en Adobe in de belangstelling gestaan. Maar hoe zit het nu eigenlijk met de kwetsbaarheden van de configuraties die je zelf op je systemen configureert? Wie waarschuwt je daarvoor als daar een kwetsbaarheid in zit?
Een kwetsbaarheid hoeft niet alleen in applicatiesoftware voor te komen of in besturingssystemen. Door verkeerd te configureren zonder de beveliging in acht te nemen kunnen er in je systemen ook zwakheden bevinden die uitgebuit kunnen worden. Bijvoorbeeld het afluisteren van gesprekken van je net geïnstalleerde IPT-systeem.
De volgende voorbeelden van verkeerde configuraties zijn vast wel bekend. Die nieuwe switch en het draadloze toegangspunt die zo uit de doos aangesloten wordt. De firewall waar in het verleden wat testen mee uitgevoerd moesten worden voor die nieuwe applicatie. Moest toen niet even snel alles van binnen naar buiten 'tijdelijk' opengezet worden of een kleine omweg om het toch maar te laten werken? Vooral niet aanpassen, want het werkte en niemand die het merkt en inmiddels was de applicatie al in productie genomen. VLAN's kun je toch gebruiken om securityzones van elkaar te scheiden? Je ziet ze nog steeds een grote switch met allemaal VLAN's voor het internet en het interne netwerk en de DMZ's en een firewall eraan vast gekoppeld. Is dit een veilige oplossing? Als er op het internet vele whitepapers over 'VLAN-beveliging' worden geschreven, dan mag je er toch vanuitgaan dat VLAN's toch niet zo veilig zijn als men vaak denkt?
Al met al wordt door tijdsdruk en het niet betrekken van securitykennis vanuit de interne organisatie of vanuit externe organisaties snel wat dingen geconfigureerd of uitbesteed totdat het werkt, zonder van te voren eens goed na te denken waarvoor het gebruikt gaat worden. Wat zijn de risico's en hoe kan het zo veilig mogelijk geïmplementeerd worden? Zelden zie je een degelijk ontwerpdocument waar men op terug kan vallen en beschrijvingen waarom bepaalde zaken geconfigureerd moeten worden. Als die er is, dan is deze vaak verouderd en niet meer bijgewerkt. Daarom is het niet alleen van belang om vulnerability- en patch management toe te passen op je applicaties en besturingssystemen, maar kijk ook eens naar de algehele netwerkomgeving of deze nog wel aan de beveiligingseisen voldoet die ooit opgesteld zijn. Als ze niet opgesteld zijn, laat je dan zo spoedig mogelijk adviseren door iemand die van buiten de organisatie naar binnen kijkt of het allemaal wel zo veilig is, want kwetsbaarheden komen meestal boven water als het te laat is.
De laatste zin lijkt me een beetje te veel geformuleerd als een soort reclame voor ’t inhuren van (dure) netwerkexperts.
Dit is preken voor de eigen parochie, jammer.
Kwetsbaarheden zijn ook terug te vinden in gedachtengangen, opvatingen en overtuigingen van mensen die over ict besluiten nemen.
Onder druk van externe kredietcrisis, kostenbesparingen, worden er allerhande stoelpoten onder eigen zitvlak weggezaagd, om maar te kunnen bezuiningen op de centen. Als men dan – later – geheel zonder stoelpoten op het kale beton zitten, is Leiden in Last.
Je bent net zo kwetsbaar als je eigen kennisnivo over het onderwerp in kwestie
Vanuit mijn dagelijkse werkzaamheden moest ik me bezighouden met de Uzi-pas. Ik bemerkte het volgende. Het systeem van aanvraag en technische inregeling zit solide in elkaar. Maar hoe zit het met de beveiliging van de persoongegevens van de uzi-pashouder? Via http://www.uzi-register.nl zijn persoonsgegevens van de pashouders op te vragen! Namen, werkplekken, pasnummers, AGB-codes enz. Hoezo phishing? Het wordt nu wel erg gemakkelijk gemaakt. Wonderlijk en tegelijk zorgwekkend.