Hoe ga je als systeembeheerder om met kritische beveiligingsproblemen binnen browsers? Het installeren van verschillende browsers op één gebruikersdesktop is geen optie. Dat is de overheersende mening van de beveiligingsexperts, die zijn aangesloten bij Computable's securitytopic.
'Je kunt niet van je gebruikers verwachten dat ze op jouw aanraden tijdelijk een andere browser gebruiken', zegt beveiligingsarchitect Marco Plas van ING. 'Vaak zijn dan net niet de juiste plug-ins voorhanden om intranetapplicaties goed te kunnen draaien.'
'De frequentie van het ontdekken van lekken in de browsers is dusdanig groot, dat men eigenlijk wel dagelijks zou moeten schakelen', vult Orange-adviseur Marco Mulder aan. Beveiligingsadviseur John Rudolph van Wipro: 'Het wisselen van browser is geen optie. De gebruiker weet dan niet meer waar hij/zij aan toe is: wanneer moet je IE gebruiken, wanneer Firefox of Opera of Google Chrome?'
Rust bewaren
'De allereerste taak van een systeembeheerder is om de rust bewaren', zegt ook global practice manager Maurice Remmé van Getronics. 'Want voor een systeembeheerder zijn dit soort meldingen aan de orde van de dag. Als de beveiligingsomgeving goed is opgebouwd (verschillende beveiligingslagen), biedt dit over het algemeen afdoende bescherming voor organisaties.' Dat vindt ook Jan van der Sluis van Unisys: 'Een goede systeembeheerder heeft een security-draaiboek waarmee kan worden gehandeld conform de bedrijfsrichtlijnen.'
Ook adviseur Lex Borger van Domus Technica houdt het hoofd koel: 'Browsers zijn wel gratis, het beheren daarvan is dat zeker niet. De oplossing moet veel meer worden gezocht in het veilig inrichten van je ict-infrastructuur: weet welke processen en informatie belangrijk zijn en bescherm deze goed. Scherm dit af van de algemene werkplek met browser en e-mail, waar de kansen van een kwetsbaarheid en een virusbesmetting groot zijn.'
Patch management
'Het is bijna onbegonnen werk en ook niet realistisch voor een systeembeheerder om meerdere browsers te ondersteunen, hoewel het soms wordt gedaan voor bepaalde toepassingen', vindt ook 'security evangelist' Eddy Willems van G Data Security Labs.
Ralph Moonen sluit zich hierbij aan: 'Elke keer een andere browser aanraden werkt erg verwarrend voor de meeste mensen. Beter is het om het eindpunt zelf beter te beveiligen. Denk aan personal firewalls, no-script plugins en het kweken van bewustzijn over hoe je kwaadaardige sites kunt herkennen.'
Plas: 'Goed patch management is eigenlijk de enige remedie. Softwareleveranciers zijn vaak snel op de hoogte van dit soort lekken en komen doorgaans snel met een patch op de proppen. Als je daarmee als bedrijf op een efficiënte wijze kunt omgaan, is het gevaar al geweken voor dat je ervan last hebt.'
Virtual patching
Netwerk- en beveiligingsmanager Sinclair Koelemij van Honeywell adviseert daarnaast om gebruik te maken van 'virtual patching en whitelisting. Met virtual patching leg je als het ware een scherm om je webapplicaties heen. Daardoor kun je op centraal niveau het lek proberen te dichten, voordat je decentraal gaat patchen. Dat beperkt de overlast van het patchen een beetje en stelt je in staat sneller te reageren. Een tweede manier zou whitelisting zijn geweest. Dat is een methodiek die het normaal functioneren als uitgangspunt neemt en afwijkingen daarvan blokkeert.'
Overheidsadviezen
Het computerincident-responsteam van de Duitse overheid adviseerde browsergebruikers eind maart 2010 om af te zien van het gebruik van Firefox, totdat leverancier Mozilla met een nieuwe versie kwam. In januari adviseerde de Duitse overheid ook al in verband met beveiligingsproblemen om tijdelijk af te zien van het gebruik van een bepaalde browser. Toen ging het om Internet Explorer. De Franse overheid bracht toen hetzelfde advies.
Ik zou toch wat uitspraken willen nuanceren:
– Grote organisaties met een eigen website-ontwikkelteam zullen standaard meerdere browsers ondersteunen, al is het maar om te testen of de websites in de verschillende browsers goed worden getoond
– het eindpunt beter beschermen is niet altijd afdoende. Een personal firewall helpt nauwelijks, noscript is te ingewikkeld voor de gemiddelde gebruiker.
– Bewustzijn klinkt mooi, maar hackers plaatsen hun exploits helaas ook op slecht beveiligde sites bij de lokale middenstand, waar je gebruikers een bos bloemen bestellen.
– meldingen zijn wellicht aan de orde van de dag, maar zodra zowel de dreiging als de kwetsbaarheid een grote impact hebben zijn onorthodoxe maatregelen soms de enige oplossing.
Dus als je interne webapplicaties alleen goed werken met een (vaak oude) minder goed beveiligde browser, dan moet je die maar als de enige browser inzetten? Alsof dat geen extra kosten zal opleveren.
Ik wil beheerders zo’n starre houding niet adviseren. Als één browser goed genoeg is, dan is dat prima, maar maak er geen dogma van. Denk vanuit de gebruiker en niet vanuit de leverancier / dozenschuiver. Die weet niet wat jouw gebruikers wensen en nodig hebben.
Je kan de gebruiker bijvoorbeeld ondersteunen door een algemene browserlink aan de op dat moment meest veilig geachte browser te koppelen. Die activiteit kan je parallel met het patch management uitvoeren. Daarnaast moet je natuurlijk doorgaan met gebruikers voor te lichten en kan je daarnaast blacklisting of whitelisting, enzovoorts toepassen om de kans op problemen te beperken.
1. Het risico dat je “digitaal ongedierte” via je browser op je pc oploopt tijdens het internetten, is simpel te ondervangen door gebruikers wapenen met voldoende KENNIS en BEWUSTZIJN op dit gebied.
Dan hoeft je ictpersoneel ook niet “te dweilen achteraf” met allerhande dure ‘antivirus, malware, spyware” oplossingen 😉
2. Mocht je – ondanks dat – toch nog “digitaal ongedierte” oplopen in je ict-infrastructuur, dan is het wellicht raadzaam om op een beter en stabieler OPERATING SYSTEM over te stappen.
Het “digitaal ongedierte” komt niet alleen binnen via de voordeur (de applicaties, eindgebruikers) maar ook – via nog steeds aanwezige – beveiligingsgaten in je eigen ictfundament / operating system (de achterdeur)
4. Met patchen alleen verander, verbeter je niet een fundamenteel rot ontwerp van applicaties of operating system.
Het is en blijft dan een leuke bezigheidstherapie voor het ict-personeel om de illusie van veiligheid op te houden binnen je bedrijf 😉
5. Als er toch “zo nodig geinternet” moet worden, kijk dan eens naar een BLIJVENDE OPLOSSING zoals een fysiek gescheiden infrastructuur. of losse “Internet only pc’s” met bootable cdroms zodat het operating system niet meer kan worden aangetast… simpel he?
De technology heb je al lang in huis, de mensen ook.
Je moet alleen ZELF dit probleem grondig en blijvend willen oplossen ;-).. maar ja dan heb je ook niets meer te klagen
Wellicht loont het ook de moeite om je webapplicaties zo te (laten) ontwikkelen dat je juist NIET afhankelijk bent van allerhande plugins, add-ons en browserspecifieke implementaties
Zo heb ik bij mijn huidige klant een applicatie waar o.a. MS-word documenten in staan. Wanneer ik deze wil bekijken, wordt er een een viewer gebaseerd op JAVA geopend. Waarom nu weer zo moeilijk, en niet gewoon rechtreeks met ms-word (standaard tekstverwerker binnen bedrijf)? Deze implementatie is trager, ik heb weer extra software nodig, en introduceer weer extra beveiligingsrisico’s.
En ja, het ziet er allemaal gelikt uit met silverlight, flash etcetera, maar het is vaak de vraag of het inhoudelijk iets toevoegt.
En als we het dan maar weer eens op open source en vendor locking gooien: ms sharepoint werkt helaas het beste met internet exploder. Firefox kan ook wel, maar dan moet je weer een ie-plugin gebruiken, en die is alleen voor windows beschikbaar
De browser is niet het probleem, het is het formaat waarin de data aangeboden wordt die de problemen veroorzaakt!