Vandaag de dag kijkt niemand er vreemd van op als er weer eens een cyberaanval in de pers wordt gemeld. Het is tegenwoordig dagelijkse kost en vaak lopen de aanvallen met een sisser af. Maar toch, het leed is geschied. Na een periode van regelmatige DDoS-aanvallen richten de cybercriminelen nu hun pijlen op de applicatielaag, een blinde vlek in de beveiliging.
Allereerst een vraag: welk type aanvallen zijn er in de afgelopen weken met succes gebruikt om netwerken binnen te dringen? Je kunt kiezen uit: Phishing, gerommel met parameters, SQL-Injectie, DDoS, Slowloris en Datalekken. Er zijn meerdere keuzes mogelijk, maar als je ze allemaal hebt aangevinkt, valt je in de prijzen. Want alle genoemde middelen zijn ingezet en hebben geleid tot inbreuken op de beveiliging bij organisaties als het Internationaal Monetaire Fonds, de Amerikaanse Senaat, de CIA, Citibank, de overheden van Maleisië en Brazilië, en Sony.
Dit is op zich niet heel opzienbarend. Cyberaanvallen zijn er immers elke dag. Veel van die aanvallen zijn niet erg doelgericht. Maar een aantal is dat wel en het lijkt erop dat het doel is om zoveel mogelijk schade aan te richten. Wie het slachtoffer ook is en wat het doel ook mag zijn, één ding staat vast: een aanval is af te weren.
Applicatielaag
Wat opvalt, is dat de aanvallers hun aandacht hebben verlegd naar een blinde vlek in de beveiliging: de applicatielaag. De traditionele aanvallen waarbij een hacker een site overspoelt met aanvragen (een DDoS-aanval), komen nog wel voor, maar zijn steeds minder interessant. De meeste organisaties zijn daarop voorbereid. Bovendien vereisen deze aanvallen veel middelen. Dit is niet van toepassing op de applicatielaag, waardoor die nu het doelwit is. Ook zijn de traditionele beveiligingsmiddelen nog niet ingespeeld op deze ontwikkeling. Die zien in een aanval op de applicatielaag (Layer 7) van het OSI-model geen aanval, maar een gewone gebruiker. Daardoor is de kans op ontdekking klein.
De recente aanval op www.cia.gov bijvoorbeeld oogt niet erg geavanceerd. Volgens de hackers van LulzSec ging het om een eenvoudige packet flood die een server overspoelt met volume. Maar volgens analisten van F5 ging het om een Slowloris-aanval. Daarbij stuurt een hacker deelaanvragen naar een server zonder de aanvragen te completeren. Hiervoor is maar weinig bandbreedte nodig. Het gevolg is dat de serverconnecties bezet raken. De aanval is moeilijk te detecteren, omdat het volume aan verkeer laag is en niet de netwerklaag (Layer 3), maar de applicatielaag (Layer 7) het doelwit is.
Blinde vlek
In veel gevallen is een applicatie zelf kwetsbaar voor aanvallen. Maar vaker zijn het de protocollen en het applicatieplatform die gevoelig zijn. Het is voor een applicatie zelf onmogelijk om aanvallen als Slowloris, DDoS of HTTP floods te detecteren en te voorkomen. De meeste infrastructuurcomponenten herkennen ze niet als aanval doordat ze er niet bedreigend uitzien. In het geval van protocol exploitation (HTTP) is het alleen mogelijk zo'n aanval te ontdekken als de juiste informatie op het juiste moment op de juiste plaats terechtkomt.
De juiste plaats is het strategische controlepunt van een organisatie. Dit is vóór de applicaties en tussen de clients en servers. De juiste tijd is het begin van de aanval. De juiste informatie is een combinatie van interne en externe variabelen en de context van elk request, die informatie over de client, het netwerk en de status van de server biedt. Wanneer een component kan zien dat een bepaalde gebruiker data veel langzamer verstuurt dan mogelijk is met zijn verbinding, duidt dat op een aanval op de applicatielaag. De component zal dan een policy moeten activeren, die bepaalt wat de reactie is: de verbinding weigeren, de applicatie afschermen of een beheerder waarschuwen.
Aanval voorkomen
Alleen wanneer zo'n component op de juiste plek in het datacenter is geïnstalleerd, kan hij alle variabelen volgen en beslissingen nemen, zodat er geen blinde vlek meer is. Ook moet een component ontworpen zijn om data netwerk- en applicatiebreed te onderscheppen en te inspecteren, zodat een aanval te voorkomen is.
Deze trend van Layer 7-aanvallen gaat naar verwachting nog wel even door. De kans is verder groot dat nieuwe blinde vlekken ontstaan door de snelle opkomst van tablets en mobiele apparatuur, die zorgen voor nieuwe protocollen in het datacenter. Optimale beveiliging vereist een totaalaanpak met een strategie die gericht is op meerlaagse beveiliging op basis van een complete beveiligingsarchitectuur. Zo'n aanpak biedt beheerders het complete overzicht en voorkomt blinde vlekken.
Lori MacVittie, senior technical marketingmanager bij F5 Networks
Slowloris is een aanval op de netwerklaag, waarbij gebruik gemaakt wordt van de webservice. De webservive draait wel in de applicatielaag, maar is dus een ander ding dan de web applicatie. Vandaar dat de web applicatie hier niet tegen kan beschermen. De web service, een firewall of reverse proxy server zouden de aanval wel kunnen detecteren, want er zijn veel connecties van hetzelfde IP adres. En de netwerklaag, daar vinden nu juist minder aanvallen plaats, zo schrijft de auteur.
De applicatie is tegenwoordig wel vaak de zwakste schakel. Als je kijkt naar de recente datalekken, bv. die gemeld zijn op de website van Bits Of Freedom, dan zie je dat die vooral het gevolg zijn van slechte applicatie ontwikkeling. Een ontwikkelaar die ook maar een beetje met de tijd mee gaat, levert zulke kwetsbare applicaties niet meer af. En zij die dat wel doen zullen er voor zorgen dat Bits Of Freedom nog lange tijd nieuwe datalekken kan melden.