De meeste firewalls, vpn-servers en andere producten op de netwerkperimeter zijn niet veilig en aanvallers maken hier steeds vaker misbruik van, zo stelt het Britse National Cyber Security Centre (NCSC). Volgens het Britse cyberagentschap moeten organisaties bij hun leveranciers bewijs van de veiligheid van producten eisen en gaan we uiteindelijk naar een situatie waarbij er geen netwerkpoorten meer vanaf het internet toegankelijk zijn.
Het Britse NCSC stelt dat aanvallers hun aandacht aan het verleggen zijn van het aanvallen van clientsoftware naar het aanvallen van netwerkapparaten zoals firewalls en vpn's. "Aanvallers hebben ontdekt dat de meeste producten die vanaf de perimeter toegankelijk zijn, niet 'secure by design' zijn, en kwetsbaarheden dus eenvoudiger te vinden zijn dan in populaire clientsoftware."
Zodra een vpn of firewall is gecompromitteerd kan een aanvaller het netwerk verder binnendringen. Een bijkomend voordeel voor aanvallers is dat degelijke logging op dergelijke apparaten vaak ontbreekt. De afgelopen maanden hebben er meerdere zeroday-aanvallen plaatsgevonden waarbij aanvallers misbruik maakten van onbekende kwetsbaarheden in netwerkproducten van bijvoorbeeld Ivanti en NetScaler. Zodra een zerodaylek bekend wordt blijkt dat andere aanvallers er ook op grote schaal misbruik van maken.
"Het vinden van zerodaylekken klinkt misschien ingewikkeld, maar veel van deze algemeen bekende klasse van kwetsbaarheden zijn zeer eenvoudig te vinden en misbruiken", merkt het NCSC op. Daarbij wordt gewezen naar een keynote van beveiligingsonderzoeker Dave Aitel. Die stelde dat het vinden van kwetsbaarheden alleen lastig is als je naar lastige kwetsbaarheden zoekt. "Je moet de eenvoudige zoeken", merkte hij op.
Volgens het NCSC zijn de Britse overheid en partners bezig om ervoor te zorgen dat producten 'secure by design' worden. "Maar dit kost tijd. Ondertussen zullen aanvallers toegang tot netwerken blijven krijgen via producten die vanaf het internet toegankelijk zijn", zo stelt het cyberagentschap. Dat vindt dat er druk op leveranciers moet worden gezet. "We moeten allemaal eisen dat leveranciers kunnen bewijzen dat de software die ze verkopen secure by design is." Wanneer een leverancier dit bewijs niet kan geven, moeten producten van het bedrijf niet in het netwerk worden geplaatst.
"Helaas liggen de dagen dat je met een volledig gepatchte perimeter tegen nagenoeg alle aanvallers was beschermd lang achter ons", besluit het NCSC. "Alles op de perimeter, ook wanneer het volledig is gepatcht, bevindt zich steeds vaker in de vuurlinie, en tenzij je kunt bewijzen dat het aanvallen kan weerstaan, moet je overwegen om het product te verwijderen. We gaan naar een toekomst waar organisaties zich moeten richten op een netwerkscan waarbij er geen toegankelijke poorten zijn." Onlangs waarschuwde het Nederlandse Nationaal Cyber Security Centrum (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.