Cybercrime: tips voor tools om kwetsbaarheden in uw netwerk te ontdekken

Maersk en DLA Piper zijn twee van de vele slachtoffers van de wereldwijde Petya-cyberaanval. De ransomware-aanval had bij beide organisatie grote impact op de bedrijfsvoering. Hierbij gaat het niet alleen om de negatieve effecten op het imago en de business, maar ook hoge kosten voor IT gaan hiermee gepaard. Hoe kunt u dit soort risico’s binnen uw organisatie voorkomen?

Ken uw netwerkkwetsbaarheden

De exploitatie van bekende, maar nog niet gemitigeerde kwetsbaarheden, is de meest voorkomende methode die cybercriminelen gebruiken. Het is daarom hoog tijd om de prioriteiten van uw kwetsbaarheidsmanagement af te stemmen met de belangrijkste kwetsbaarheden. Het in kaart brengen van de kwetsbaarheden in uw netwerk is namelijk noodzakelijk om een goede verdedigingsaanpak te maken. IT-beveiligers moeten nadenken over vragen als: hoe worden de kwetsbaarheden beheerd? En worden deze goed in de gaten gehouden? De grootste risico’s in uw netwerk worden hierdoor verkleind.

Om kritische, hoge, gemiddelde en lage kwetsbaarheden in kaart te brengen, raad ik u aan om gebruik te maken van de traditionele beveiligingsschema’s voor kwetsbaarheden, zoals de Common Vulnerabilty Scoring (CVE) kaart. Wanneer u de kwetsbaarheden aan de hand van dit schema in kaart heeft gebracht, kunt u hierop vervolgens een security-aanpak baseren.

Tevens is het cruciaal om prioriteit te geven aan het patchen, zodat de kwetsbaarheden niet kunnen worden uitgebuit. Het komt vaak voor dat men niet kan patchen. Dit probleem wordt simpelweg veroorzaakt doordat de patch niet beschikbaar is vanwege het gebruik van een embedded systeem. Door dit systeem is er geen toegang tot het operating systeem.

Hoe weet u of u last heeft van kwetsbaarheden in het netwerk?

Het handmatig scannen van uw netwerk, operating systemen en applicaties is ondoenlijk. Vooral ook omdat al deze informatie geïnterpreteerd moet worden. Tevens vraagt dit om veel ervaring en kennis. Er is eigenlijk maar één methode die helpt om in kaart te brengen of er kwetsbaarheden in uw netwerk aanwezig zijn: het gebruik van geautomatiseerde tooling.

Rapid7 met Metasploit penetratietest
Rapid7 is een goed gerenommeerde tool. Het voordeel van en unieke aan deze tool is dat het is geïntegreerd met Metasploit. Het Metasploit Project is een open source informatiebeveiligingsproject dat informatie verstrekt over kwetsbaarheden in computersystemen die gebruikt kunnen worden door hackers en dat helpt bij het onderzoeken van systemen op dergelijke kwetsbaarheden.

Metasploit kan vervolgens weer aan Nexpose gekoppeld worden. Nexpose beoordeelt kwetsbaarheden en voorziet de  IT-afdeling van gevalideerde, eenvoudige en duidelijke saneringsrapporten. De koppeling van Metasploit en Nexpose resulteert in een automated vulnerability scanning-oplossing. De gevonden kwetsbaarheden door Nexpose worden automatisch met een penetratietest, uitgevoerd door Metasploit, geverifieerd. Zo heeft het securityteam direct de juiste informatie om de kwetsbaarheid van het juiste risiconiveau te voorzien en hier actie op te ondernemen.

Software as a Service penetratietest met Qualys
Een andere tool die ingezet kan worden is Qualys. Hiermee kunt u geautomatiseerd controleren of de op internet beschikbare patches en updates correct op uw systemen zijn geïnstalleerd. Doordat Qualys over één van de meest uitgebreide Vulnerability Knowledgebases ter wereld beschikt, heeft u continu inzicht in de belangrijkste risico’s in uw infrastructuur.

De Vulnerability Management tool van Qualys is een Software-as-a-Service (SaaS) oplossing. U hoeft hiervoor dus geen kostbare hardware aan te schaffen. Veel organisaties kiezen voor deze tool in plaats van het laten uitvoeren van een penetratietest. Een penetratietest heeft namelijk weinig waarde wanneer uw patchbeleid nog niet optimaal functioneert.

Testopstelling voor toegevoegde waarde meting

Een testopstelling geeft goed inzicht in de toegevoegde waarde van de tools. Ik heb zelf in het verleden gebruikgemaakt van Ixia als bron om DDoS-, DoS- en andere scans in het netwerk te lanceren. Deze tool werkt hetzelfde als een hacker, indien je netwerk, operating systemen en/of applicaties nog kwetsbaarheden bevatten.

Kortom, met een goed kwetsbaarheidsassessment heeft u duidelijk inzicht waar en hoe u uw netwerk moet beveiligen. Veelal kan dit in slechts drie stappen. Ten eerste door een deugdelijk Secure DNS in te richten. Ten tweede door een malware protectie op het netwerk, en idealiter op alle endpoints, in te zetten. En ten derde door het opzetten van een op Software Defined Role Based Access control gebaseerde segmentatie in uw totale infrastructuur. Ik ga ervan uit dat het patchen van systemen natuurlijk altijd  in uw to-do lijstje staat.