Voor de veiligheid van computers is het misschien een goed idee, maar werknemers zijn niet zo snel bereid om op de werkvloer afstand van plug-ins zoals Java, Adobe Flash Player en Adobe Reader te doen omdat security professionals dat zo graag willen. Dat zegt Darien Kindlund van beveiligingsbedrijf FireEye in een interview met Security.NL.
FireEye was het afgelopen jaar betrokken bij het vinden van verschillende zero-days. Dit jaar ontdekte het bedrijf de eerste zero-day exploit in het wild die in staat is om de sandbox-beveiliging van Adobe te omzeilen.
Bedrijven die zich tegen gerichte aanvallen, of malware in het algemeen willen beschermen, doen er verstandig aan om twee browsers te gebruiken, merkt Kindlund op. Het zou dan om een browser zonder plug-ins voor het internet gaan, en een browser met plug-ins voor intern gebruik, zoals intranetten en interne applicaties.
Kwetsbaar
Doordat besturingssystemen en browsers steeds veiliger worden en plug-ins een veel groter bereik hebben doordat ze op meerdere platformen en browsers werken, richten aanvallers zich steeds meer op browserplug-ins zoals Java en Flash Player. Vorig jaar werden er echter ook nog verschillende 'zero-days' in Internet Explorer gebruikt om bij organisaties in te breken.
"Het gebruik van twee browsers is een goed begin", zo stelt Kindlund. Hij erkent dat het ook een uitdaging is, aangezien systeembeheerders twee browsers moeten bijhouden en configureren. "Het is een afweging die je moet maken. Wil je vooraf wat moeite doen of betaal je liever de schoonmaakkosten in het geval een endpoint is gehackt."
Werkvloer
Veel van de klanten van FireEye en bedrijven waar Kindlund mee spreekt hanteren deze aanpak van een 'featurerijke' browser voor intern gebruik en een featureloze browser voor externe activiteiten. "Het is niet perfect maar het verkleint de kwetsbaarheid voor het dreigingslandschap, in wat voor manieren de endpoint gecompromitteerd kan worden.
Toch was dit niet de gewenste situatie voor veel security professionals. In eerste instantie waren het chief information security officers (CISO) bij deze organisaties die alle kwetsbare plug-ins 'uitroeiden', laat Kindlund weten. Werknemers mochten geen gebruik meer van browserplug-ins maken in naam van veiligheid.
Dit zorgde echter voor een tegenreactie bij gebruikers die deze plug-ins juist nodig hadden. Werknemers wilden dat er een manier kwam zodat ze deze plug-ins toch op een veilige manier konden gebruiken. "De dual browser is een compromis, maar het was niet per definitie de eerste strategie die deze security teams kozen", gaat Kindlund verder.
Dit betekent wel dat de browsers zo ingesteld moeten worden dat de featurerijke browser geen toegang tot het internet heeft. "Het maakt het een stuk makkelijker als de gebruiker geen beheerdersrechten op het endpoint heeft." Via de proxy kunnen bedrijven instellen welk verkeer wel of niet naar buiten mag.
Sandbox
Een andere oplossing die Kindlund adviseert is het gebruik van Virtual Machines (VM) om onbetrouwbare content te openen, en deze VM na een bepaalde periode weer weg te doen. Recentelijk slagen aanvallers er steeds beter in om sandbox-beveiliging te omzeilen. Zo sneuvelde gisteren de sandbox van Chrome en IE10 en lukte het aanvallers eerder om uit de sandbox van Adobe Reader te breken.
Volgens Kindlund is het nog te vroeg om te voorspellen of het hier om een trend gaat. "Het is waarschijnlijk dat aanvallers beter worden in het omzeilen van deze technologie, maar het is onduidelijk of de sandbox-technologie exponentieel of lineair zal afbrokkelen. Daarvoor hebben we gewoon meer data nodig."
Updates
Voorlopig doen bedrijven er dan ook verstandig aan om beschikbare beveiligingsupdates snel te installeren, want alle uitzonderingen daar gelaten beschikken de meeste aanvallers niet over een budget om eigen onderzoek uit te voeren en nieuwe beveiligingslekken te vinden.
"De meerderheid pakt dus wat ze gratis kunnen vinden en wat werkt", merkt Kindlund op. Hij voegt er snel aan toe dat dit niet geldt voor aanvallers die door landen gesponsord worden, hoewel die ook vaak genoeg bekende kwetsbaarheden misbruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.