Malware, zoals virussen, spyware en bots, is aan de winnende hand. Het blijkt in de praktijk dat beveiligingsmaatregelen zoals een firewall, een up-to-date virusscanner en de laatste patches steeds minder garantie bieden dat een organisatie vrij blijft van incidenten.
Als een beveiligingsincident kritieke informatiesystemen binnen een organisatie lamlegt, wordt dit al snel een bedrijfsprobleem. De gevolgen kunnen variëren van directe financiële schade door uitval van bedrijfsprocessen, zoals gemiste omzet en schadeclaims van contractpartijen, de kosten voor herstel, tot en met (indirecte) schade aan het imago van de organisatie. Dat ook mensenlevens in gevaar kunnen komen als gevolg van een beveiligingsincident, ondervond een ziekenhuis in Seattle eerder dit jaar. Een lopende malware-infectie op het netwerk van het ziekenhuis veroorzaakte zoveel netwerkverkeer dat allerlei medische systemen uitvielen: deuren naar operatiekamers gingen niet meer open, pagers stopten met werken en computers op de intensive care sloegen af.
Dit artikel bestaat uit twee delen; in dit eerste deel gaan we in op de toenemende dreiging van malware, ondanks de gebruikelijke beveiligingsmaatregelen. In het tweede deel schetsen we de contouren van een verdediging in de diepte door de inzet van Incident Response Teams (IRT’s). Het biedt de nodige handvatten om beveiligingsincidenten beter te kunnen verhelpen.
Wat is een beveiligingsincident?
In dit artikel wordt een beveiligingsincident gedefinieerd als verstoring van ict-diensten door compromittering van systemen, waarvoor gericht actie nodig is om deze te herstellen. Dit is specifieker dan bijvoorbeeld de ITIL-definitie, waarbij een eventueel kwaadwillende intentie achter systeemstoringen niet wordt onderkend.
Wanneer men spreekt over informatiebeveiliging, komen de termen beschikbaarheid, exclusiviteit en integriteit van bedrijfsgegevens al snel voorbij. In het onderstaande schema ziet u veelvoorkomende incidenten en hun gevolgen.
Om systemen te compromitteren wordt vaak malware ingezet die kwetsbaarheden in hard- en software misbruikt. Tegenwoordig wordt malware vaak verspreid via kwetsbaarheden in webbrowsers, omdat die een relatief open ingang op een computer vormen. Andere verspreidingsvormen (P2P, IM, e-mail) worden ook gebruikt, maar die zijn voornamelijk effectief bij thuisgebruikers. Binnen organisaties zijn deze toepassingen meestal geblokkeerd of streng gecontroleerd.
Om de impact van beveiligingsincidenten te kunnen verminderen, is een mix van beveiligingsmaatregelen nodig voor de detectie, preventie, repressie en correctie van deze incidenten. De maatregelen moeten zowel technisch als organisatorisch van aard zijn, zoals in de Code voor Informatiebeveiliging die als best practice door veel organisaties wordt geïmplementeerd.
Voorbeeld van een best practice
In een informatiebeveiligingsbeleid kunnen uitgangspunten en kaders worden vastgelegd, zoals het uitgangspunt ‘least privilege’, algemene kaders voor wachtwoorden en HRM-procedures bij personeelsmutaties. Dit informatiebeveiligingsbeleid wordt vervolgens uitgewerkt in concrete maatregelen. Het uitgangspunt van compartimentering kan bijvoorbeeld leiden tot sloten op deuren, firewalls, een black list van verboden websites, autorisaties, encryptie van gevoelige gegevens en automatische toegangsregels voor gekoppelde apparatuur of het starten van uitvoerbare bestanden. Ook het scheiden van de test-, ontwikkel- en productieomgevingen is een maatregel. Met audits is het vervolgens mogelijk om toezicht te houden op naleving van het beleid.
Binnen een organisatie dient gedurende de gehele levenscyclus van een systeem aandacht te zijn voor de beveiliging ervan. Deze cyclus begint bij het analyseren van de risico’s bij de invoering van nieuwe systemen, het selecteren van veilige systemen en het uitvoeren van maatregelen. Als maatregel kan hardening bijvoorbeeld de kwetsbaarheid van een systeem verminderen door onder andere het uitschakelen van onnodige services.
Ook tijdens de beheerfase moeten er voldoende voorzieningen beschikbaar zijn, bijvoorbeeld detectiesoftware zoals vulnerability scanners, anti-virus/spyware/spamsoftware en intrusion detection/prevention systems (IDS, IPS). Veel organisaties hebben verder redundante technische voorzieningen. Beheeractiviteiten worden vaak ingebed in ITIL-procedures, zoals het uitrollen van patches, in tijd en locatie gescheiden back-ups en het loggen van ict-wijzigingen. Denk ook aan het veilig afstoten van gebruikte gegevensdragers!
Als laatste moet regelmatig geïnvesteerd worden in opleidingen om kennis up-to-date te houden en in bewustwordingsacties, zodat gebruikers zelf incidenten signaleren en melden. Bij veel bedrijven is bekend dat de eigen gebruikers de grootste bron van incidenten vormt.
Al hebben organisaties de bovenstaande beveiligingsmaatregelen getroffen, het biedt geen garantie dat hen niets meer zal overkomen. Dat heeft de volgende redenen.
Beperkte effectiviteit maatregelen
We zien dat de effectiviteit van beveiligingsmaatregelen binnen een organisatie vaak beperkt is. Nederlandse organisaties dwingen het naleven van regels meestal niet of nauwelijks af. Soms kunnen gebruikers onveilige software starten en kunnen externe medewerkers met eigen hardware aanloggen op het bedrijfsnetwerk.
Verder werkt het overgrote deel van de privé en zakelijke computersystemen met hetzelfde besturingssysteem en software voor web, e-mail en officetoepassingen. Veel systemen hebben daarmee dezelfde kwetsbaarheden en dat is ideaal voor het verspreiden van veel soorten exploits (code om een kwetsbaarheid uit te buiten). Evolutionair gezien zijn monoculturen altijd kwetsbaar gebleken. Alternatieve software kent natuurlijk ook kwetsbaarheden, maar die zijn meestal anders van aard. In een gemengde omgeving stopt de verspreiding van malware eerder, omdat het waarschijnlijker is dat een ontvangend systeem daarvoor niet kwetsbaar is. Het aandeel van alternatieve software blijft in de praktijk echter beperkt.
Ook het aantal slimme apparaten en de functionaliteit van software daarop neemt steeds meer toe. Van de meeste apparaten verwacht de consument dat die met andere apparatuur kan samenwerken, het liefst direct operationeel uit de doos en draadloos. Hierdoor groeit het aantal kwetsbaarheden en door de hoge complexiteit van de ict-middelen is het voor een organisatie onmogelijk om vooraf alle risico’s goed in te schatten. Naarmate ict-middelen breder worden toegepast, neemt de kans dus toe dat een goed gelokaliseerde aanval de beveiliging kan doorbreken.
Daarnaast kunnen door de gebruiksvriendelijke grafische besturing steeds meer gebruikers met beperkte kennis computersystemen gebruiken. Ervaring veroudert snel bij de huidige snelle ontwikkeling van de techniek, en de ‘information overload’ bemoeilijkt het bijhouden of uitbreiden van gedetailleerde kennis.
Kwaliteit van software
Een tweede oorzaak dat organisaties niet gevrijwaard blijven van incidenten is de matige kwaliteit van de gebruikte software. De steeds kortere time-to-market laat een leverancier minder tijd voor kwaliteitscontroles om kwetsbaarheden tijdens de productontwikkeling te verhelpen. Vaak krijgen gebruikers patches om later geconstateerde fouten te herstellen. Er zijn echter gevallen bekend waarbij patches nieuwe kwetsbaarheden introduceren of leiden tot uitval van systeemfuncties. Bij gebruikers ontstaat dan een dilemma: repareer ik snel de kwetsbaarheden door de patches te installeren of wil ik zeker weten dat de opgelapte software blijft werken in de eigen omgeving? Er zijn al praktijkgevallen bekend waarbij malware zich kon verspreiden omdat de patches ervoor nog in de pijplijn zaten. Doordat patches afhankelijk van elkaar kunnen zijn, is het af te raden patches niet aan te brengen.
De mogelijkheden voor het zelf onderzoeken van kwetsbaarheden van aangeschafte ict-producten wordt steeds vaker beperkt door regelgeving. Bovendien vergt goed onderzoek speciale gereedschappen, bijvoorbeeld als er op het systeem een rootkit actief is. Zonder die tools is het zicht op een incident incompleet of soms zelfs tegenstrijdig. Dit bemoeilijkt de kennisontwikkeling bij gebruikende organisaties en individuele personen. De kennis over de sterkten en zwakten van ict-toepassingen is vooral aanwezig bij de leveranciers en bij criminelen die hiervoor de benodigde expertise en middelen inzetten.
Ontwikkelingen van malware
Verspreiding van malware via het internet gaat erg snel. Deden virussen op floppies er in het verleden maanden over om veel computers te besmetten, bij de laatste grote uitbraak van een worm had deze in minder dan vijftien minuten al miljoenen computers besmet. Vroeger hing de reputatie van een virusmaker af van het aantal systemen dat ‘zijn’ virus kon besmetten. Grote uitbraken zullen waarschijnlijk zeldzamer worden. Dat komt omdat het doel van malware meer opschuift naar ondersteuning van criminele activiteiten.
Criminele bendes zetten met behulp van technische expertise complexe praktijken op, om via gecompromitteerde systemen geld niet-traceerbaar weg te sluizen. Als middel voor identiteitsroof, spam en DDoS-aanvallen, vormt de ingezette malware daarvan slechts een onderdeel. Om hun winsten te maximaliseren, willen dergelijke criminelen hun activiteiten verborgen houden. Criminele malware bevat daarom steeds vaker technieken om detectie en analyse te bemoeilijken, zoals rootkit-achtige componenten. De modulaire opbouw van de huidige generatie malware vergemakkelijkt het produceren van blended threats. Deze vorm van malware compromitteert systemen op diverse manieren en dat maakt het isoleren en opruimen van zo’n besmetting erg lastig.
Een bijkomend probleem is dat malware alleen reactief gedetecteerd kan worden, bijvoorbeeld door bewaking van het internetverkeer en met zogenaamde honeypots. Pas als er een omvangrijke besmetting gaande is, kan daarvoor een signalement en een remedie worden ontwikkeld.
Steeds vaker verschijnt er specifieke malware die gericht systemen van organisatie X of Persoon Y besmetten. Dergelijke kleinschalige besmettingen verschijnen niet op de radar van antivirusleveranciers, zodat het vrijwel onmogelijk wordt om deze vorm van malware met een generiek detectiemiddel te bestrijden. Sommige experts schatten in dat anti-virussoftware hierdoor nog maar circa 70 procent van de bestaande malware kan detecteren. Meer en meer individuen en organisaties worden zo het slachtoffer van deze ‘persoonlijke’ malware.
De tijd tussen het bekend raken van een kwetsbaarheid en malware die deze kwetsbaarheid uitbuit wordt steeds korter. 0-day-exploits, het uitbuiten van een kwetsbaarheid op de dag van bekendmaking, zijn geen uitzondering meer. Zelfs als er al zo snel een patch beschikbaar is, is het in de praktijk onmogelijk om de patch binnen een dag te testen en de systemen aan te passen.
Noodzakelijke voorbereiding
Bij de meeste organisaties bestaat er een hiaat tussen standaard beheeracties en het calamiteitenplan. Het calamiteitenplan regelt de uitwijk van de ict-voorzieningen bij een brand of overstroming. Een malwarebesmetting vereist over het algemeen geen uitwijk en komt dus ook niet terug in het calamiteitenplan. Zonder een daarop gerichte voorbereiding is het dan de vraag of de standaardbeheerprocessen hierin effectief kunnen zijn. De verwachte toename van het aantal incidenten en de bijbehorende impact zal dan meer downtime opleveren.
Er is dus meer aandacht nodig voor incident management, zoals ook naar voren komt in de vernieuwde ISO 17799-norm. Dat gaat verder dan het installeren van antivirussoftware op alle computers of het aanscherpen van firewall-regels. Een hoge beschikbaarheid vergt een snelle en effectieve incidentrespons en dat stelt eisen aan de beheerorganisatie op het gebied van capaciteit, tools, kennis, plannen en procedures. Een organisatie kan de volgende maatregelen treffen om beveiligingsincidenten effectief en efficiënt te kunnen verhelpen.
– Een werkdefinitie van een beveiligingsincident opstellen. Dit is nodig om zo’n incident te kunnen signaleren en anders te behandelen dan een ITIL-storing als het aanvullen van printerpapier. Ook moet vooraf duidelijk zijn wie geautoriseerd is om noodprocedures op te starten.
– Een incident response team (IRT) samenstellen met de gewenste expertise, middelen, bevoegdheden en verantwoordelijkheden. Tools moeten bijvoorbeeld snel beschikbaar zijn en de omstandigheden waarin de IRT-manager de organisatieleiding moet inseinen dienen beschreven te zijn.
– Een piketdienst instellen, waarbij de samenwerking in de keten met gebruikers, helpdesk, ict-afdeling, IRT en bedrijfsleiding regelmatig getest moet worden.
– Kennis omtrent beveiligingsincidenten veiligstellen, bijvoorbeeld door vooraf een contract te sluiten met een deskundige dienstverlener. Organisaties kunnen zich daarmee beter voorbereiden op incidenten, zijn sneller op de hoogte van uitbraken elders en welke maatregelen dan effectief zijn.
– Vooraf draaiboeken opstellen om bij verschillende incidenten effectief te kunnen reageren. Als bijvoorbeeld het ‘wie, wat, waar, wanneer, hoe en waarom’ bij een virusuitbraak is vastgelegd, hoeft bij een soortgelijk incident onder tijdsdruk niet steeds opnieuw het wiel uitgevonden te worden. In het tweede deel van dit artikel volgt een voorbeeld van zo’n incident response plan. n
Henk-Jan van der Molen, adviseur informatiebeveiliging bij de Inspectie Verkeer en Waterstaat
Douwe Leguit, Erik de Jong en Christ Reniers, adviseurs bij GOVCERT.NL.
Deel 2 van dit artikel is te vinden op https://www.computable.nl/artikel/ict_topics/security/1681909/1276896/incident-response-broodnodig.html