3.2.3.3. Interne controles op kwetsbaarheden als maatregel
Het bestaan van kwetsbaarheden in ICT-systemen is geen onbekende. Af en toe haalt dit fenomeen de kranten wanneer zo’n kwetsbaarheid misbruikt wordt om in te breken in deze ICT-systemen. Dit gebeurt niet alleen in de privésfeer maar ook in organisaties.
Om zich te wapenen tegen dit soort misbruik is het van belang om de kwetsbaarheden te kennen en potentieel misbruik te voorkomen. Organisaties zoals CERT.be publiceren informatie over nieuw ontdekte kwetsbaarheden en geven advies. Maar ook leveranciers van software en hardware informeren hierover. Het is dus zaak goed op de hoogte te blijven en bij elke relevante nieuwe kwetsbaarheid de risico’s voor de organisatie in te schatten en waar nodig te mitigeren door de aanbevelingen op te volgen.
Om vast te stellen of er nog bekende kwetsbaarheden in de eigen ICT-infrastructuur of applicaties aanwezig zijn, kan periodiek een vulnerability scan worden uitgevoerd. Om deze oefening te automatiseren, worden speciale tools gebruikt. Zo’n tool gaat op zoek naar ontbrekende patches, open en kwetsbare netwerkpoorten, standaard paswoorden, enz. Het resultaat is een rapport met kwetsbaarheden en aanbevelingen om deze aan te pakken. Met dit rapport kunnen gericht patches worden geïnstalleerd, hardening toegepast of systemen worden vervangen door nieuwere versies.
Een pen-test gaat nog een stap verder. Bij een pen-test, kort voor penetration-test, worden de gevonden kwetsbaarheden gebruikt om na te gaan of er kan worden ingebroken. Het doel van een pen-test is inzicht te verkrijgen in de moeilijkheidsgraad om in te breken op het netwerk van de organisatie. Het resultaat van zo’n pen-test is een rapport met bevindingen en aanbevelingen gerangschikt volgens prioriteit.
Zero-day kwetsbaarheden vormen een specifieke groep van kwetsbaarheden. Zero-day verwijst naar recent ontdekte kwetsbaarheden, waarvan de leverancier pas na de ontdekking op de hoogte wordt gesteld. Daardoor is er vooreerst geen patch beschikbaar, wat de kwetsbaarheid extra gevaarlijk maakt voor misbruik. Dit is het grote verschil met ‘gewone’ kwetsbaarheden: deze worden gecontroleerd bekend gemaakt op het moment dat de patch beschikbaar is, waardoor de kwetsbare omgeving onmiddellijk kan worden beveiligd. Een responsible disclosure beleid zorgt ervoor dat er op een ethische manier gezocht wordt naar kwetsbaarheden in een omgeving. Via zo’n programma worden leveranciers op de hoogte gesteld van zulke nieuwe kwetsbaarheden, waardoor alsnog een patch kan worden ontwikkeld vooraleer de kwetsbaarheid kan worden misbruikt. Hoe kan een organisatie zich dan beschermen tegen zero-day aanvallen? Aangezien patching hier niet effectief is, moet er gekeken worden naar bijkomende controlemaatregelen zoals:
Up-to-date besturingssystemen en toepassingen;
Anti-malware die kan omgaan met zero-day exploits;
Monitoring: abnormale activiteit detecteren.