Voordat we verder gaan met nummer 6 uit de OWASP top 10 wensen we u natuurlijk eerst een gelukkig 2021. We hopen dat u zowel op persoonlijk als ook zakelijk vlak mooie stappen zult zetten en hierbij cybersecurity niet uit het oog verliest. Deze week kijken we naar security misconfiguration. Een zeer veel voorkomend probleem bij nagenoeg elk bedrijf. Maar hoe komt dit? En belangrijker, hoe is dit te voorkomen?
Security misconfiguration, in het Nederlands betekent het zoveel als ‘verkeerde (standaard) configuraties’. Het zijn zeer gemakkelijke doelwitten voor aanvallers omdat ze simpel kunnen worden gedetecteerd. Zo komen ze bijvoorbeeld veel voor op webservers, cloudoplossingen en applicaties. Echter wordt er vaak onderschat hoeveel schade er kan worden aangericht omdat er ‘iets’ verkeerd staat ingesteld. Dit iets kan zeer vergaande gevolgen hebben. Kijk maar naar het enorme datalek bij het Engelse ‘Teletext Holidays‘ in 2019. Hierbij kwam naar voren dat er maar liefst 530.000 databestanden onveilig waren opgeslagen en daarmee in te zien voor iedereen. Hoe dit kwam? Een onveilig geconfigureerde Amazon Web Service (AWS) – webserver.
Deze vorm van misconfiguratie kan zich overal voordoen want in theorie dient alles dat wordt gebruikt correct te worden ingesteld. Zie het als een auto. Als je een nieuwe auto koopt, moet je deze vaak nog aanpassen en afstellen naar jouw wensen. Stoel een stukje naar voren, spiegels in een andere hoek en je hoeft ook Classic FM niet als vaste radiozender. Zo werkt dit ook bij security. Wanneer beveiligingsinstellingen niet zijn gedefinieerd en geïmplementeerd en slechts de standaardwaarden worden gehanteerd roep je de problemen over jezelf af. Dit betekent namelijk dat de configuratie-instellingen niet voldoen aan de industriële beveiligingsnormen (CIS-benchmarks, OWASP Top 10). Foute boel, want deze zijn cruciaal voor het handhaven van de beveiliging en het verminderen van bedrijfsrisico’s.
Er zijn veel oorzaken te benoemen voor deze kwetsbaarheid. Dat heeft te maken met het feit dat ze zich overal kunnen voordoen. Zo zagen we bijvoorbeeld in 2017 een toename van maar liefst 424% van data die werd vergaard door verkeerde configuraties. Durft u een gokje te wagen met de introductie van welk platform dit te maken had? Juist ja, de cloud. Veel bedrijven begonnen toen hun (gedeeltelijke) overstap naar de cloud en dit verliep niet vlekkeloos. Dit heeft niet enkel te maken met verkeerde configuraties, maar ook met de risicofactor ‘mens’. De naïeve mens gaat er toch wat gemakkelijk vanuit dat zo’n Cloud volledige veiligheid garandeert. Daarnaast wordt er ook vanuit gegaan dat een derde partij, die de overstap heeft geregeld, precies weet hoe uw securitybeleid in elkaar steekt en waar op gelet moet worden. Niet dus.
Er zijn dus diverse oorzaken te benoemen waarbij de mens een grote rol speelt. Daarnaast is ook beleid een factor die meespeelt. Een gebrek aan duidelijk beleid zorgt er voor dat men ook niet verder kijkt dan hun neus lang is. Best practices op het gebied van cyber hygiëne worden niet nageleefd en zolang er niks gebeurd zal het wel goed zitten toch? Verre van, deze aannames leiden namelijk tot de volgende problemen die voor hackers een makkelijke prooi zijn:
Omdat de mens hier een vitale rol in speelt is het wat lastiger om echt te zeggen hoe dit voorkomen kan worden. Er zijn echter wel stappen die genomen kunnen worden om de kans te verkleinen dat de problemen zoals hierboven uiteengezet onopgemerkt mogen blijven bestaan. Dit begint bij het opstellen van een duidelijk beleid en het in kaart brengen van je infrastructuur en processen. Welke informatie gaat via welk kanaal naar wie? Op die manier kan je als organisatie bepalen welke knooppunten direct extra aandacht vereisen. Stel nu een beleid op waarin duidelijk staat beschreven aan welke normen de beveiliging moet doen en wat er allemaal periodiek gecontroleerd moet worden. Dit proces herhaalt zich op het moment er een nieuw component wordt toegevoegd. Zoals bijvoorbeeld een cloudomgeving.
Zorg er daarnaast voor dat de rechten binnen de organisatie goed staan. Niet iedereen heeft alle rechten nodig. Hoe minder rechten, des te minder groot de kans dat Harry de stagiaire per ongeluk iets aan of uit zet. Voer ook een awareness campagne door binnen het bedrijf. Licht je werknemers in over de gevaren van zwakke wachtwoorden en het zomaar versturen van belangrijke data. Iedereen moet zijn of haar steentje bijdragen. Tot slot, wanneer er samen wordt gewerkt met derde partijen (hosting, cloud, applicaties), zorg er dan voor dat ook zij de boel op orde hebben. Want aanvallers kunnen ook via deze weg bij jou naar binnen wandelen als dit verkeerd staat geconfigureerd.
Bent u benieuwd hoe het staat met uw configuraties en implementaties? De experts van Rootsec zijn getraind om alle configuratiefouten in uw syste(e)m(en) te ontdekken, Zo heeft u snel inzichtelijk waar de problemen liggen en hoe deze moeten worden opgelost. Meer weten? Kijk op onze website of neem contact op via 036 760 0451.
Automated page speed optimizations for fast site performance