De technische bedreigingen voor het bedrijfsleven zijn niet langer te vatten in een universele top tien. Verschillende sorteringen en lijsten zijn dan ook nodig. Dit stelt security-expert David Litchfield, die spreekt op de InfoSecurity-beurs.
Bedrijven specialiseren zich, en malware-makers dus ook. Bekende security-hulpmiddelen als een overzichtelijke top tien van technische bedreigingen (threats) zijn dan ook niet langer van toepassing. Dit zegt beveiligingsdeskundige David Litchfield die spreekt op aanstaande InfoSecurity 2008 die op 12 en 13 november plaatsvindt in Utrecht.
Anders indelen
Litchfield deelt dreigingen dan ook in naar bedrijfssector en maant organisaties dan ook zó naar hun security te kijken. "Voor de overheid zijn hele andere zaken belangrijk dan voor bijvoorbeeld banken. Spionage staat voor overheden hoog op de lijst van bedreigingen, terwijl dat voor bedrijven veel minder van belang is."
"Industriële spionage speelt bij beide een kleine rol, maar op een heel andere manier. Kwaadwillenden hacken bij banken op het niveau van de gebruikte software, terwijl tussen overheden het speelt op een lager, fundamenteel niveau." Litchfield noemt het ‘overheidsrisico' van in het buitenland geproduceerde netwerkapparatuur met ingebouwde achterdeurtjes. "Dergelijke Trojanized hardware is geen zorg voor bedrijven." Gaten en verkeerde instellingen in software zijn veel belangrijker.
"Ik kijk in mijn presentatie naar de overheidssector, de financiële wereld, handel (retail) en eventueel ook online social-networking. Die laatste haal ik er misschien uit, hoewel het wel een erg duidelijk ander geval is. Dus met hele andere bedreigingen."
Ook overeenkomsten
Naast verschillen zijn er natuurlijk nog altijd overeenkomsten. Het gaat er om wat de ernst is van elke bedreiging; die kunnen voor dezelfde bedreigingen juist verschillen naar gelang de organisatie en diens activiteit. "Zwakke plekken in applicaties zijn voor iedereen een probleem. Denk aan SQL-injecties, buffer overflows in serversoftware en cross-site scripting."
Daarnaast noemt Litchfield voor clientsoftware het risico van malware in documenten en het belang van security van het besturingssysteem (voor client én server). "Voor de zaken die ik aansnijdt, zit negentig procent van de bedreigingen aan de serverkant. Bij de overheid is de client echter ook van belang." Litchfield schat de threat-verhouding tussen server en client daar op zestig en veertig procent.
Security-factoren
De security van besturingssystemen bepaalt voor een groot deel je algehele beveiliging, maar is niet de voornaamste factor. "Het gaat om zaken als de toegang tot je netwerk, authenticatie voor je applicaties, hoe je de bedrijfscontinuïteit en -herstel hebt geregeld, en hoe je je data beschermt; de toegang daartoe en de encryptie ervan."
Litchfield noemt nog een opvallende risicofactor: beveiligingssoftware. "Van antivirus tot indringerspreventie (ips). McAfee, Symantec, alle grote leveranciers hebben de afgelopen jaren grote gaten in hun producten gehad." Daarmee is juist de beveiliging een algemeen aanwezig doelwit voor kwaadwillenden. "Ik gebruik zelf op mijn pc ook geen antivirus. Dat adviseer ik klanten overigens níet. Ik ben een security-professional,dus ik weet wat ik doe."
Infosecurity
Litchfield spreekt op de InfoSecurity-beurs die op 12 en 13 november plaatsvindt in de Jaarbeurs te Utrecht. Hij geeft daar op beide dagen een seminar over de top tien threats, die dus niet meer bestaat als universele lijst. De expert biedt organisaties ook tips welke maatregelen zij kunnen nemen om de steeds specifieker gerichte bedreigingen het hoofd te bieden. Daarmee kunnen bedrijven schade voorkomen, of in ieder geval beperken.
Database security
David Litchfield is expert op het gebied van database security. Hij heeft vierentwintig beveiligingsgaten gevonden in Microsofts database SQL Server, en geholpen die te dichten. Dat omvatte ook het gat waar de bekende Slammer-worm in 2003 misbruik van maakte. Litchfield heeft zeventien gaten ontdekt in IBM's database DB2, tweeëntintig in Informix (sinds 2001 van IBM) en meer dan honderd fouten in Oracle's databasesoftware.
Hij is auteur van handboeken als Oracle Forensics, het Oracle Hacker's Handbook, het Database Hacker's Handbook, SQL Server Security en mede-auteur van het Shellcoder's Handbook. Naast ict-schrijver is hij directeur en hoofdonderzoeker van het Britse beveiligingsbedrijf Next Generatio Security Software (NGSSoftware). Die leverancier biedt scantools om databases te controleren op kwetsbaarheden, zoals beveiligingsgaten en verkeerde configuraties.
