De afgelopen week is er veel in het nieuws over Log4J. De kwetsbaarheid in deze tool verdient het om uitgelegd te worden in gewonemensentaal. Dus, wat is er nu weer aan de hand in cybersecurityland?
Software wordt ontwikkeld in verschillende ‘talen’. Één daarvan is Java. Niet te verwarren met JavaScript, dat is net iets anders. Log4j is een tool die gebruikt wordt om meldingen vanuit software geprogrammeerd in Java vast te leggen.
Dat is handig omdat je dan problemen makkelijker kan detecteren en oplossen. Het probleem dat nu aan de hand is met deze tool is dat je deze heel makkelijk kan gebruiken om van buitenaf commando’s naar het systeem te sturen.
Omdat de tool op een server staat en daar toegang toe heeft kun je door middel van die commando’s de server eigenlijk alles laten doen wat de beheerder daarvan ook zou kunnen. Zo kun je bijvoorbeeld data stelen of gijzelsoftware op het systeem plaatsen.
Hier hebben criminelen bij het bekend worden van de kwetsbaarheid lucht van gekregen en die zijn, zoals dat altijd gebeurt, meteen aan de slag gegaan om kwetsbare systemen te zoeken op het internet om die aan te vallen. Een paar dingen die interessant zijn aan deze situatie;
Deze tool is ooit ontwikkeld door een paar slimme mensen die het sinds jaar en dag vrijwillig onderhouden, samen met een community die hierbij helpt. De code hiervan is publiek en iedereen mag eraan meewerken. ‘open source’ noemen we dat.
Doordat dit zo’n goede tool was is het gebruik ervan wijd verspreid, maar eigenlijk kun je het zien als een soort uit de hand gelopen hobbyproject. Veel software en tools en eigenlijk het hele internet zijn ooit zo ontstaan.
Software ontwikkelaars werken graag met dit soort handige tools want het maakt hun werk makkelijker. Probleem is alleen dat hier vrij weinig controle op plaatsvindt vanuit organisaties. Omdat het vaak gratis of goedkoop is weet men soms niet eens dat ze de tool in huis hebben.
En dat maakt deze situatie nu weer zo spannend. Kom er maar eens achter waar je organisatie of je leveranciers die tool gebruiken en dan moet je ook nog sneller dan het licht updaten omdat er al aangevallen wordt.
Als klap op de vuurpijl bleek de nieuwe versie wéér een kwetsbaarheid te bevatten waardoor de beheerders van systemen nog even niet naar bed konden maar nóg een rondje moesten updaten.
Het lijkt erop dat dit de grootste en meest wijd verspreide kwetsbaarheid ooit is. Er zullen waarschijnlijk nog jaren aanvallen worden uitgevoerd op kwetsbare systemen.
Het is ook waarschijnlijk dat dit niet de laatste keer is dat we dit gaan zeggen. Daarom is het zo belangrijk dat we hiervan leren. Wat ik in deze situatie mooi vond om te zien is de samenwerking van het NCSC met security bedrijven.
Hierdoor kon er super snel informatie gedeeld worden over geraakte software, manieren om te achterhalen of je kwetsbaar en/of aangevallen bent en hoe de kwetsbaarheid voorkomen kan worden. Dit heeft veel schade voorkomen bij organisaties.
Roos Dijkxhoorn
Risk assessmentHet is niet eenvoudig om te bepalen wat er nodig is om je organisatie te beschermen tegen diverse risico’s op het gebied van informatiebeveiliging zoals ransomware aanvallen, phishing of het stelen van data door criminelen. Inzicht in risico’s en de relatie met de doelstellingen van de organisatie zijn essentieel om de juiste acties te definiëren en prioriteiten te bepalen. Een risk assessment helpt met het verkrijgen van dit inzicht zodat gestart kan worden met het verbeteren van de informatiebeveiliging, op een manier die bij de organisatie past.
ISO 27001Een goed beleid is de basis voor het op orde krijgen van je cybersecurity. Het is belangrijk dat het beleid is afgestemd op de risico’s maar ook de werkwijze van je bedrijf. Zo zorg je dat processen en procedures daadwerkelijk hun doel dienen en ook worden toegepast.
Security officer as a serviceJe kunt veel expertise inhuren voor zowel de korte als de lange termijn, maar het belangrijkste is om ook binnen je eigen organisatie zoveel mogelijk kennis te borgen. Daarmee wordt de organisatie weerbaarder en kunnen onderbouwde keuzes worden gemaakt op het gebied van cybersecurity.
PentestenVeel problemen kunnen worden voorkomen door het goed inregelen van de technische beveiliging binnen een organisatie. Het is hierbij belangrijk om rekening te houden met de risico’s van de organisatie en na te denken over realistische aanvalsscenario’s. Vervolgens kan een goed plan worden gemaakt om hier maatregelen tegen te treffen en deze te testen.
