Bedrijven die ervan uitgaan dat hun netwerk al geïnfecteerd en gehackt is, zouden beter in staat zijn om met echte aanvallen om te gaan. En dat is geen overbodige luxe, want het aantal hacks zal eerst nog toenemen voordat het minder wordt. Dat zegt Darien Kindlund van beveiligingsbedrijf FireEye in een interview met Security.NL.
De eerste weken van dit jaar werden opgeschrikt door verschillende zero-day-lekken in populaire programma's, inbraken en infecties bij gerenommeerde bedrijven en een rapport over Chinese staatshackers, toch is het niet zo erg als het allemaal lijkt. "Het klinkt misschien slecht, maar het is eigenlijk een goed iets. Het betekent dat we veel meer zichtbaarheid hebben over dit soort type aanvallen dan in het verleden het geval was."
De kwetsbaarheden die de aanvallers recent gebruikten, zoals in Adobe Reader, Java en Flash Player bestonden al voordat ze werden geopenbaard aan het grote publiek. "De realiteit is dat dit soort dingen zouden gebeuren. We kunnen kwetsbaarheden in de eerste plaats niet voorkomen."
Patchmanagement
Kindlund verwacht dan ook dat het nog erger zal worden voordat het beter wordt. "Het is een goed teken dat we nu meer zien, want op zo'n manier kunnen we voortgang boeken, zoals het oplossen van de problematiek op de lange termijn." Ondanks alle aandacht voor de 'zero-day-lekken', zijn het nog altijd de lekken waar al wel updates voor beschikbaar zijn waardoor bedrijven in de meeste gevallen worden gehackt.
Toch krijgt het installeren van patches nog niet de aandacht van bedrijven en organisaties die het verdient. "Patchmanagement wordt iets agressiever, er is een vernieuwde poging om het aanvalsoppervlak te verkleinen door oude en niet meer ondersteunde applicaties te verwijderen en tenminste de laatste updates te installeren." Toch zou het om een marginale toename gaan.
Pessimistisch
Veel van de organisaties waar FireEye mee te maken krijgt gaan ervan uit dat ze al gehackt zijn. Een negatieve aanname die positieve gevolgen voor de beveiliging kan hebben. De beveiligingsexpert benadrukt dat dit niet betekent dat bedrijven de handdoek in de ring moeten gooien. Het installeren van patches zodra ze uitkomen en het trainen van personeel dat ze niet zomaar links en bijlagen openen zijn nog steeds belangrijk laat hij weten.
"Als je een meer pessimistische invalshoek kiest kun je beter met een worst case scenario omgaan. Als dat scenario zich nooit voordoet, is het voordeel dat je positief verrast bent."
Bedrijven zouden steeds vaker de pessimistische kant kiezen, omdat ze dan over de procedures en processen beschikken in het geval een incident zich toch voordoet. "In plaats van een onverwachtse brandoefening die nooit gepland stond."
China
Wat betreft de 'actoren' achter deze aanvallen zijn er meer landen betrokken dan alleen China. "Het lijkt erop dat China de slechtste operationele veiligheid heeft als het offensieve operaties uitvoert." Daardoor wist het Amerikaans beveiligingsbedrijf Mandiant onlangs zowel de aanvalsmethoden als vermoedelijk de mensen achter de aanvallen te achterhalen.
Politici en beleidsmakers kunnen de recente aandacht voor hun eigen politieke agenda gebruiken, maar dat neemt niet weg dat dit soort aanvallen al jaren plaatsvinden en nog steeds doorgaan, merkt de expert op.
"Het feit dat er onlangs een rapport werd gepubliceerd wil niet zeggen dat deze aanvallen pas vorige week werden ontdekt." Kindlund hoopt wel dat alle aandacht tot acties leidt om de problematiek aan te pakken.
Politiek
De 'threat actor' die Mandiant in het rapport omschrijft was ook al jaren bij FireEye bekend. "De politiek kan deze problemen maar tot op zekere hoogte oplossen. Het moet uiteindelijk op internationaal niveau gebeuren." Het is volgens de beveiligingsexpert dan ook niet alleen een 'China-probleem'.
"Het is een fundamenteel probleem met elk groot land dat zich met dit soort operaties bezighoudt. In plaats van één land eruit te halen, China, is het verstandiger om het werkelijke probleem internationaal aan te pakken, namelijk offensieve operaties door meerdere landen."
Deze posting is gelocked. Reageren is niet meer mogelijk.