Om bedrijven goed te beschermen tegen hackers is inzicht nodig in de eigen organisatie. De eerste en ook belangrijkste stap in de strijd tegen cybercriminaliteit is het maken van een grondige risicoanalyse. Kijk hoe de organisatie opereert. En vraag je af wat de kroonjuwelen zijn, de systemen die er ècht toe doen. En bepaal welk risico acceptabel is.
Dit is de voornaamste boodschap van Ed Nunes, ethische hacker bij KPN Security. De penetration tester sprak tijdens een webinar van KPN over de dagelijkse praktijk van hackers. Hij vertelde welke maatregelen nodig zijn om hackers buiten de deur te houden. ‘Belangrijk onderdeel is het organiseren van penetratietesten, kortweg pentesten genaamd. Daarbij wordt de kwetsbaarheid van een systeem getest. Aanvallen van kwaadwillende hackers worden ermee gesimuleerd en de mogelijke gevolgen van zo’n hack worden in beeld gebracht.’
Niet elke hacker is fout
Ed Nunes behoort tot de groep ethische hackers die KPN Security inzet om klanten te helpen zich beter te beschermen. Deze hackers gebruiken dezelfde methoden en technieken als kwaadwillende inbrekers, maar opereren binnen de kaders van de wet. Bovendien werken ze met toestemming van de opdrachtgever. Om meteen een misverstand weg te nemen: niet elke hacker is een cybercrimineel. Hackers hoeven niet per se een slechte agenda te hebben. ‘Hacking is van oorsprong een neutrale term zonder een negatieve connotatie’, stelt Nunes. Pas na 1975 werd hacking in verband met computers gebracht. Door de details van programmeerbare systemen te doorgronden slagen hackers erin de zwakheden bloot te leggen. Ze zoeken naar de gaten in de security.
Nunes: ‘Er bestaan pakweg vijf soorten hackers. Berucht zijn de ‘blackhats’, computercriminelen die schade aanrichten. Ze handelen uit financieel gewin. Dan is er een groep hackers die uit wraak handelt. Meestal gaat het om ontslagen werknemers die uit frustratie hun vorige werkgevers gaan dwarszitten. Daarnaast zijn er de hobbyïsten, meestal pubers die het als een soort sport beschouwen de beveiliging van een computernetwerk te omzeilen en binnen te dringen. Als vierde groep worden de ‘greyhats’ onderscheiden, ethische hackers die de juridische grenzen overschrijden. Deze categorie die zweeft tussen goed en slecht kent een activistisch doel. Door hacks te plegen proberen ze een bepaalde misstand bloot te leggen. Tenslotte zijn er de ethische hackers die na een gesprek met de klant de scope definiëren en vervolgens helpen de security te verbeteren.’ KPN Security biedt dit als dienstverlening aan.
Stroom van nieuwe kwetsbaarheden
Zoals gezegd gaan al deze uiteenlopende typen hackers op dezelfde manieren te werk. Ze voeren verschillende aanvallen op systemen uit op basis van bepaalde kwetsbaarheden. Nunes: “Vorig jaar werden 22.000 nieuwe kwetsbaarheden gerapporteerd. Van een derde werd het proof of concept gedeeld. Omdat openbaar wordt hoe de hack kan worden uitgevoerd, is het zaak zo snel mogelijk patches te installeren en andere tegenmaatregelen te nemen.”
Nunes noemt voorbeelden uit de praktijk van het hacken. “Een veelgebruikte manier om bedrijven weerbaarder te maken is echte aanvallen uit te voeren. Daartoe moet een Blue Team van de klant zich verdedigen tegen een Red Team dat de rol van boefje speelt. De verdedigers leren steeds beter aanvallen in een vroeg stadium te zien en die te stoppen.”
Meer voorbeelden van hacks
Een pentest werd gedaan bij een aanbieder van een vitale infrastructuur. “Getest werd of de kantoorautomatisering voldoende was gescheiden van de procesautomatisering, de kritieke systemen waar de aanvallers absoluut niet bij mogen komen. De ‘bad guys’ konden binnen drie uur binnenkomen. Vergeten was één systeem te updaten.” Kortom, een ongeluk schuilt in een klein hoekje. Een ander voorbeeld betrof een webshop die een implementatiefout had gemaakt in het systeem van retourmeldingen. Nunes: “Klanten konden hun geld terugkrijgen zonder dat spullen retour waren gestuurd.
Hackers kijken of ze functionaliteiten kunnen gebruiken op manieren zoals de maker die niet bedoeld heeft. Soms kunnen medewerkers anderen onbedoeld in de problemen brengen. Iemand stuurde een link naar een phishing mail naar al zijn collega’s door met de waarschuwing daar niet op te klikken. Gevolg was dat dit juist wel gebeurde. Nunes vertelt ook dat hackers het koffiezetapparaat hadden gehackt. Niet alleen de plaatjes waren veranderd, maar ook de samenstelling van de koffie. Het bewijst wel hoe gemakkelijk het soms is om de controle over systemen over te nemen.
Maatregelen ter bescherming
De ethische hacker van KPN raadt aan om regelmatig te checken of alle systemen van patches zijn voorzien, digitale pleisters om kwetsbaarheden te bedekken. Een ander advies is het netwerk actief te monitoren. Nunes: “En natuurlijk ook frequent pentesten te doen. Want je moet ervan uitgaan regelmatig te worden gehackt. Het komt ook voor dat dadergroepen in systemen rondneuzen en vervolgens de toegang aan andere dadergroepen doorverkopen.”
Pentesten kunnen allerlei problemen blootleggen. Volgens Sander Peters, head of security research team bij KPN Security, blijkt uit deze testen vaak dat netwerken onvoldoende van elkaar zijn gescheiden. Ten onrechte komen mensen met een beheerfunctie vaak op dezelfde netwerken als de rest van de organisatie. Het patchen van alle systemen moet vanuit een aparte omgeving worden gedaan. Ook is het volstrekt onnodig om beheerders alle rechten te geven. Verder wordt soms vergeten rechten van een administrator in te trekken als deze van functie verandert.
Agendapunt voor management
Peters raadt ook aan de resultaten van een pentest samen met het bestuur en het management te bespreken. Zeker als het beleid moet veranderen valt dit aan te bevelen. Een deelnemer aan het webinar vroeg ook hoe vaak je zo’n pentest moet laten doen. Ed Nunes noemt als stelregel minimaal één keer per jaar, of na een grote wijziging in de omgeving.
KPN Security telt 450 medewerkers waaronder een groot aantal ethische hackers. Tijdens de Cyberlympics, een internationale competitie voor hackers, eindigt het team van KPN Security steevast in de top drie.