Het is gevaarlijk om alle schuld op IE te schuiven
Gepubliceerd: Dinsdag 19 januari 2010
Auteur: Tony Bradley
Ondertussen is het duidelijk dat er een zero-day in Internet Explorer is gebruikt voor aanvallen op allerlei netwerken. De Duitsers en Fransen stellen nu een makkelijke oplossing voor: Stop met het gebruik van IE. Maar dat is een simplistische en kortzichtige aanpak die wel eens een vals gevoel van veiligheid kan creëren.
Gevaarlijke evolutie
In plaats van dat ze hebben aangetoond waarom organisaties en gebruikers Internet Explorer in de ban moeten doen, laten de aanvallen in China een gevaarlijke evolutie zien van de aanvalsstrategieën.
Het hoofd van beveiligingsoperaties van nCircle vertelde me dat deze inbraak veel laat zien waar men in de beveilgingsgemeenschap de laatste 18 maanden over heeft gepraat. "We blijven er op hameren dat het hele bedrijf moet worden betrokken bij de beveiliging. Dat kan niet alleen de verantwoordelijkheid zijn van de IT-afdeling. Die beveiligingsmannen kunnen tegenwoordig niemand meer redden, zelfs niet met al het high tech beveiligingsgereedschap van de wereld."
"Wat deze aanvallen uniek maakt is de gerichtheid, en het feit dat Google openlijk over de inbreuk wil praten. Ik denk dat bedrijven zich realiseren dat Advanced Persistent Threads (APTs) die core intellectueel eigendom aanvallen niet meer uitsluitend worden gericht op regeringsnetwerken", zei Kurtz.
Nieuwe aanvallen en nieuwe verdediging
Andrew Storms van nCircle gelooft dat een les die we van deze inbreuk kunnen leren is "dat antivirus-software nu echt dood is. "Al sinds een tijdje is het de minst effectieve tool in de security gereedschapskist, omdat het alleen effectief is tegen bekende malware. Aanvallers hoeven zo'n stukje malware alleen een beetje aan te passen om op je netwerk te kunnen komen."
In mijn e-mails met Kurtz ging die niet zo ver om de antivirus-tools dood te verklaren, maar hij suggereerde wel dat er een nieuwe aanpak nodig is. "Er zijn technologieën, zoals whitelisting zonder signatures. Bedrijven moeten er nu echt mee beginnen om beveiliging door whitelisting toe te voegen aan hun technologieën, die nu nog gedomineerd worden door zwarte lijsten."
Kurtz raadt natuurlijk McAfee Application Control aan, dat de aanval had voorkomen. Organisaties die overgaan op Windows 7 en Windows Server 2008 kunnen bijvoorbeeld ook gebruik maken van AppLocker om bepaalde applicaties minder rechten te geven en andere helemaal te blokkeren.
Een andere mogelijkheid is om je data versleuteld op te slaan. In dat geval kan een aanvaller zich toegang verschaffen tot een server of pc, maar dat betekent dan nog niet dat hij toegang heeft tot de data. Microsoft levert BitLocker encriptie met de Ultimate en Enterprise edities van Windows Vista en 7. Voor andere platformen zijn er oplossingen voorhanden zoals Zecurion's Zserver Storage. Ook Google heeft na de aanvallen encryptie omarmd. Voorheen hadden gebruikers de optie om het veiliger https protocol te gebruiken. Maar nu heeft Google dat standaard aangezet, waarmee het encryptie opt-out heeft gemaakt in plaats van opt-in.
Het belangrijkste is dat je in gedachten houdt dat deze aanvallen meer omvatten dan alleen Internet Explorer, en dat alleen wisselen van browser geen goede verdediging is. Kurtz vat het duidelijk samen op zijn blog: "De wereld is veranderd. Iedereen zal zijn dreigingsmodel aan moeten passen aan de nieuwe realiteit van deze geavanceerde en aanhoudende dreigingen. Naast de zorg over Oost-Europese cybercriminelen die credit card databases proberen af te romen, moet je tegenwoordig ook bedacht zijn op het beveiligen van je intellectuele eigendom, privé-informatie van je klanten en alles wat ook maar enigszins van waarde is."
Bron: Techworld
