Met het uitbuiten van beveiligingslekken in processoren van alle denkbare devices en servers is een nieuwe dimensie toegevoegd aan het fenomeen cyberbedreigingen. De kwetsbaarheden in kwestie, Meltdown en Spectre, zijn in potentie erg gevaarlijk omdat geïnfecteerde devices vaak in verbinding staan met de cloud.
Eenmaal binnen kunnen indringers allerlei waardevolle data ontvreemden, waarbij vele verschillende organisaties in dezelfde cloudomgeving slachtoffer kunnen worden. De it-sector raakt niet in paniek, maar er is wel degelijk reden tot bezorgdheid. Zowel Meltdown als Spectre maken gebruik van speculative execution, een optimalisatietechniek waarbij een computersysteem taken uitvoert en data oproept voordat het duidelijk is dat die data daadwerkelijk nodig zijn.
Zo kunnen data sneller geladen worden, op het moment dat inderdaad het verwachte verzoek komt. Mocht de data niet nodig zijn, dan verwijdert de cpu deze weer. Het gaat dus om speculatief geladen data en daar is niets mis mee. Behalve wanneer indringers op een of andere manier bij deze data kunnen komen en dat is exact wat er gebeurt bij Meltdown en Spectre.
Informatie onderscheppen
Meltdown is gericht op het uitlezen van kernelgeheugen en lijkt vooral kwetsbaar voor Intel-processors. Het is een gevaar voor de isolatie van segmenten binnen virtuele (cloud) systemen. Spectre heeft een breder toepassingsgebied en treft een groter aantal cpu-fabrikanten, zoals AMD, Intel en ARM. Met Spectre kunnen aanvallers informatie onderscheppen via een webbrowser, zoals cookies, tls-sleutels en wachtwoorden uit het cpu-geheugen.
In beide gevallen kunnen indringers feitelijk alles wat u doet opvangen, wachtend tot er bijvoorbeeld een wachtwoord voorbijkomt. En gezien het feit dat het mogelijk is de bestaande virtuele afbakening tussen verschillende gebruikers van een cloud-omgeving te omzeilen, kan een geïnfecteerd device bij bedrijf X gevolgen hebben voor alle andere partijen die gebruik maken van dezelfde cloudvoorziening. Daarmee komt het businessmodel van cloud serviceproviders toch danig onder druk te staan.
Bedrijfsrisico
Desalniettemin luiden er nog geen alarmbellen en dat lijkt vreemd wanneer u bedenkt wat de impact kan zijn. Anders dan bij de aanvallen met gijzelsoftware is op voorhand niet duidelijk wat de gevolgen van een infiltratie zijn. Op de achtergrond kunnen gegevens onderschept worden zonder dat u dat als organisatie in de gaten hebt. Ook de bedrijven die stellen de bedrijfskritische applicaties lokaal te hebben en dus weinig te vrezen hebben, moeten een goede analyse maken.
Want wie heeft er tegenwoordig niet één of meer kantoorapplicaties in de cloud staan? Een gekopieerd adresboek leidt al snel tot het ‘verlies’ van vele duizenden contacten. Men heeft het dan niet alleen over een overtreding in het kader van de AVG, maar ook over in potentie een enorm bedrijfsrisico. En dan gaat het alleen nog maar over contactgegevens. Ieder snippertje informatie kan van grote waarde blijken als het in vreemde handen komt.
Vele leveranciers hebben patches uitgebracht die de eerste nood lijken te lenigen. Cloud service providers als Amazon, Google en Microsoft zowel als chipfabrikanten reageerden tijdig. Patches kunnen infiltratie vooralsnog echter niet verhinderen, maar wel moeilijker maken. Het is dus verstandig om – naast het updaten van alle devices en cpu’s – met de cloud provider om de tafel te gaan. Deze levert namelijk niet alleen opslag en rekenkracht in de cloud, maar is ook verantwoordelijk voor de security in die omgeving.
Breng samen in kaart in hoeverre de updates en de patches afdoende maatregelen zijn om de gevaren van Meltdown en Spectre in te dammen. Vervolgens kijkt u ook samen naar aanvullende maatregelen. Hierbij kan gedacht worden aan intelligente oplossingen voor Identity & Access Management of Privileged Access Management. Maar ook verdergaande encryptie van informatie biedt uitkomst om het de binnendringers zo moeilijk mogelijk te maken.
Afweging tussen risico en investering
Analisten waarschuwen dat het implementeren van de bewuste patches en updates kan leiden tot performanceverlies. Ook deze gevolgen zul je als it-organisatie moeten meewegen in alle maatregelen die getroffen worden. Als de prestaties dusdanig achteruitgaan dat continuïteit in gevaar komt, dan zul je moeten investeren in meer capaciteit. Security kost altijd geld en er is altijd sprake van een afweging tussen risico en investering. En daarmee is de bedreiging van Meltdown en Spectre dan wel bijzonder van aard, maar in essentie toch een gewone security uitdaging.
