Een ernstige kwetsbaarheid in een veelgebruikte opensource library voor Java zet eind vorig jaar het wereldwijde it-landschap op scherp. De volgende drie oplossingen beschermen ondernemingen beter tegen gelijkaardige zero-day-kwetsbaarheden.
Log4Shell is een zero-day-kwetsbaarheid die het populaire Apache-pakket Log4j aantast (sinds 9 december 2021 gepubliceerd als CVE-2021-44228), waarbij aan de hand van speciale requests aanvallers controle krijgen over apparaten of computers waarop bepaalde versies van Log4j draaien. De Apache Software Foundation, die de Log4j 2-bibliotheek onderhoudt, gaf deze kwetsbaarheid een CVSS-score van 10 op 10, de hoogste score inzake de ernst van de kwetsbaarheid.
Ondertussen zijn er al diverse opeenvolgende patches uitgebracht en is het uiteraard aan te raden deze onmiddellijk te installeren. Maar dan bent u er nog niet. Want weet u wel of en waar Log4j gebruikt wordt in uw organisatie? Heeft u of de fabrikant wel alles met de aller-allerlaatste versie gepatched?
En de belangrijkste vraag: bent u al niet te laat? Hackers staan erom bekend hun tijd te nemen en doelwitten gedurende enkele weken stilletjes te monitoren en dieper in de organisatie te graven alvorens hun ransomware los te laten en het bedrijf te gijzelen.
Verstandig
Het is verstandig enkele andere oplossingen te implementeren die u betere beveiliging garanderen en minstens detecteren of er ongeoorloofde acties aan de gang zijn. Immers, als u gehackt bent en u weet het niet, dan zal u er ook niets aan kunnen doen.
De les is: door te denken in cybersecurity-lagen ben je als onderneming beter beschermd tegen gelijkaardige zero-day attacks. Elke laag maakt het moeilijker ongemerkt kwetsbaarheden te misbruiken en nieuwe technologieën met ai maken dat alsmaar moeilijker.
Communicatie
- SecureDNS
Alle communicatie, dus ook die van de aanvallers en van malware, gebruiken dns, een protocol waarmee computers kunnen achterhalen welk ip-adres bij een bepaalde host of domein hoort. Via een SecureDNS-service worden alle dns-verzoeken gecontroleerd aan de hand van speciale databases en worden verdachte en kwaadaardige domeinen onmiddellijk geïdentificeerd en geblokkeerd. Kwetsbaarheden als Log4Shell gedragen zich niet anders. Wanneer de Log4j-toepassing wordt aangevallen, zal het het doelwit gedwongen worden om ’terug te bellen’ naar een bepaalde url. Een aanvaller kan die url vervolgens misbruiken om bepaalde opdrachten door te geven die dan op de kwetsbare computer worden uitgevoerd. Omdat de domeinen en ip-adressen in deze callback-url’s kwaadaardig zijn, worden ze onmiddellijk herkend en geblokkeerd door SecureDNS, waardoor de aanval uiteindelijk mislukt.
- Ai en endpoint-security
Endpoint detection & response (edr) is een kleine applicatie, een zogenaamde agent, die geïnstalleerd wordt op elk apparaat in uw organisatie (zoals computer, laptop, server, mobiel) en via de centrale management interface een volledige zichtbaarheid biedt op uw it-infrastructuur.
Deze werkt in realtime en omvat een reeks geavanceerde technieken om alle abnormale activiteiten snel op te sporen én te stoppen. Dus ook de Log4Shell-kwetsbaarheid. Want deze maakt gebruik van de Log4j Java Naming and Directory Interface. Deze laat toe om requests te initiëren naar een kwaadaardige server die wordt beheerd door een aanvaller op internet.
Log4j is een wereldwijd gebruikte applicatie. Gezien de eenvoud van de exploit, maakt deze grootschalige aanvallen mogelijk. Hoewel de exploit op zichzelf eenvoudig is uit te voeren, zijn voor de aanvaller extra stappen nodig om voet aan de grond te krijgen.
Een door ai gedreven endpoint-security biedt inzicht in onverwacht gedrag van applicaties, zoals Log4j, en blokkeert automatisch elke ongebruikelijke activiteit die plaatsvindt tijdens een post-exploitatiefase van een cyberaanval.
- Intrusion Prevention System
Intrusion prevention system (ips) is een systeem dat de focus legt op preventie. Het systeem identificeert mogelijke kwetsbaarheden en treedt onmiddellijk in actie wanneer een aanval plaatsvindt.
Ips maakt gebruikt van bestaande preprocessoren en een reeks dynamische regels die automatisch worden bijgewerkt. Deze regels zijn verdeeld in klassen. Om uw netwerk te beschermen tegen Log4Shell op ips-niveau, volstaat het om deze specifieke regels in uw ips op uw firewall te activeren en vervolgens te monitoren via de reporting tool welke aanvallen afgeblocked worden.
Alert
De hacker gebruikt meer dan één systeem, waarmee diverse technologieën gecombineerd worden. Daarom is het nodig je verdediging in diverse lagen op te bouwen.
Naast het onmiddellijk installeren van alle door diverse fabrikanten aangeboden patches is het zaak alert te blijven en preventief te werk te gaan. Naast automatische monitoring van alle internetverkeer op dns-niveau met secure-dns is ook het bewaken van abnormaal gedrag op alle computers en servers via endpoint-security een must. Intrusion prevention ten slotte, gaat aanvallen tegenhouden en rapporteren wat er gebeurde.
Dat dit een complex verhaal is, is duidelijk. Grote bedrijven hebben de mensen en de middelen om zich te beveiligen. Voor kleine- en middelgrote bedrijven zijn systemen, waarbijdiverse technologieën zijn ingebouwd en samenwerken, een goede keuze. Je hebt dan ineens alle tools om een uniform, betaalbaar en beheersbaar beveiligingsbeleid, in lagen, toe te passen.
Never waste a good crisis want hoewel de klok wat betreft de impact van (zero-day)kwetsbaarheden niet onterecht geluid wordt blijft m.i. enigszins nog altijd onduidelijk wat nu eigenlijk het probleem is. Zo had een eerdere opinie het nog over een ‘supply chain’ probleem wat voor mij klinkt als een keten welke door de verschillende lagen heen gaat. Zoiets als het keukenraam open laten staan terwijl je de voordeur op slot doet. Hackers zijn tenslotte vervelende mensen want ze houden zich niet aan de regels dus als ze een shortcut vinden via de achterdeur dan zullen ze deze misbruiken.
En daarmee kom ik op de praktijk want de kleine organisatie die niet de resources heeft om te patchen zal niks hebben aan de oplossing van de dhr. Verbruggen, a fool with a tool is still a fool. Natuurlijk kun je het een aanvaller wel lastiger maken met zero trust maar het is niet alleen de TCP/IP kant welke uiteindelijk de data bedreigt. Want andere bel die afgaat is ransomware, een nieuwe list die hackers een extra troef in handen geeft.