Ook jouw bedrijf is gehackt, maar je kunt iets doen
Gepubliceerd: Woensdag 10 maart 2010
Auteur: Roger A.Grimes
Misschien is het een beetje overdreven om te stellen dat elk bedrijf ter wereld gehackt is, maar het zit niet ver van de waarheid. Toch is het ook weer niet zo dat het opsporen van hackers en het voorkomen van aanvallen een verloren strijd is. Want niets is minder waar.
Anders dan je ziet in hollywoodfilms zijn hackers nooit dusdanig goed dat ze absoluut ongemerkt hun gang kunnen gaan. Zelfs professionele hackers, de jongens die miljoenen verdienen, doen niet erg hun best om zich te verstoppen. Waarom? Ze hoeven er geen moeite voor te doen omdat de meeste systeembeheerders niet uit hun doppen kijken.
Aanwijzingen
De beste omschrijving wordt gegeven door de Data Breach Investigations Report van Verizon uit 2008, een document dat steeds meer in aanzien komt als het gaat om statistieken rond computermisdaad. Daarin staat: "Er waren in 82 procent van de beveiligingsincidenten bij bedrijven aanwijzingen dat er iets stond te gebeuren voordat de aanval daadwerkelijk plaatsvond. Hoe het netwerk ook in de gaten werd gehouden, het resultaat was altijd hetzelfde: de aanwijzingen werden niet opgemerkt, of ze werden genegeerd."
Hét wapen om kwaadaardige activiteiten mee waar te nemen is je verzameling logbestanden. Alleen zetten de meeste beheerders deze niet aan, en als ze dat al doen, dan controleren ze de bestanden niet. Daarnaast kiezen veel bedrijven ervoor om het loggen alleen op de servers plaats te laten vinden, terwijl de meeste inbraken worden uitgevoerd op werkstations.
Ieder bedrijf zou dus breed logbeheer moeten plannen en toepassen. Kort gezegd moet je alle gebeurtenissen op een centrale locatie bewaren, en moet je automatische waarschuwingen instellen bij abnormale activiteit. Je moet als bedrijf niet overdrijven en het systeem enkele honderden 'waarschuwingen' laten afgeven, want dat is de beste garantie dat niemand op de waarschuwingen zal reageren. Een goed opgezet systeem roept alleen op tot actie als dat ook nut heeft.
Hacktools en honeypots
Een andere effectieve manier om hackers op te sporen is door te scannen op veelgebruikte hacktools: wachtwoordkrakers, man-in-the-middle-tools, sniffers en ga maar door. De meeste antimalware-software zal het gros opsporen. Niet alle hackers gebruiken dezelfde tools, maar in veel gevallen doen ze dat wel.
Ik ben ook een groot voorstander van het paal en perk stellen aan het netwerkverkeer, waarbij je vooral de richting van het verkeer in acht neemt. De meeste gegevens worden van server naar werkstation gepompt en andersom. Ongewoon server-naar-serververkeer moet je onderzoeken, net als ongewoon werkstation-naar-werkstationverkeer. Ook is het een teken aan de wand als een werkstation elke server in de omgeving tegelijk gaat aanspreken. Veel aanvallen van binnenuit zijn voorkomen doordat oplettende netwerkanalisten grote hoeveelheden data naar het systeem van een enkele gebruiker hebben opgemerkt.
Het is het ook zeker waard om een intrusion detection system (IDS) te implementeren, zowel op de host als op het netwerk. De een ondervangt wat de ander niet opmerkt. Ook geloof ik heilig in het instellen van een aantal sappige honeypots als waarschuwingssysteem. Je hoeft maar een paar oude pc's die rijp zijn voor de schroothoop in te stellen en deze op het netwerk aan te sluiten. Schakel het loggen aan of installeer wat speciale honeypot-software. Kfensor en Honeyd zijn mijn favorieten. Spendeer een paar uurtjes of een dag om het legitieme verkeer in kaart te brengen. Iedere inlogpoging op het nepsysteem verdient aandacht. Hackers kunnen nog zo goed zijn, ze moeten wel toegang krijgen tot een systeem. Als ze toegang tot een honeypot zoeken, heb je ze op heterdaad te pakken.
