Verizon Business heeft in de Verenigde Staten 90 verschillende misstappen geanalyseerd, die bij elkaar goed waren voor 285 miljoen gelekte bestanden. Bij de meeste van deze incidenten, die allen tot grote commotie hebben geleid, waren criminele bendes betrokken die via een gat in het netwerk creditcardgegevens, SOFI-nummers of andere persoonlijke informatie bemachtigden.

Het is verbazingwekkend hoe vaak deze gaten in de beveiliging het resultaat zijn van de nalatigheid van de netwerkbeheerder, en zeker bij niet-kritische servers worden de meest simpele basismaatregelen domweg vergeten.

"We vergeten domweg om de meest eenvoudige beveiligingsmaatregelen te nemen", zegt Peter Tippett, vice president van innovatie en technologie bij Verizon Business. Tippett heeft achttien jaar ervaring met het doorlichten van inbreuken op de beveiliging.

Samen met Tippett hebben we een lijstje opgesteld van de problemen die het eenvoudigst te voorkomen zijn. Voor het negeren van deze dingen bestaat maar één woord: dom.

1: Het ongewijzigd laten van de standaardwachtwoorden op alle netwerkapparatuur

Het is volgens Tippett 'ongelooflijk hoe vaak er nog een switch, router of appliance hebben staan waarvan het standaardwachtwoord (zoals 'password', of 'admin') nog steeds staat ingesteld. CIO's denken dat het hen toch niet overkomt, dus die zullen jou als netwerkbeheerder niet waarschuwen, maar Tippett komt het nog dagelijks tegen.

Om dit te voorkomen moet je volgens Tippett een kwetsbaarheidsscanner draaien tegen alle ip-adressen op je netwerk, en niet alleen op de kritische servers of servers die in direct verbinding met internet staan. Daarna moet je elk gevonden standaardwachtwoord veranderen. Meer dan de helft van alle gevallen van gegevensdiefstal zijn het resultaat van nog ingestelde standaardwachtwoorden op netwerkapparatuur, zo heeft Verizon Business becijferd.

2: Hetzelfde wachtwoord voor meerdere netwerkapparaten

Ict-afdelingen hebben de neiging om hetzelfde wachtwoord te gebruiken voor meerdere servers, waarbij meerdere mensen weten wat het wachtwoord is. Zelfs al is het nog zo'n sterk wachtwoord (met een ingewikkelde serie van cijfers en getallen), alle apparaten met dat wachtwoord zijn op zo'n moment kwetsbaar.

Het kan bijvoorbeeld gebeuren dat een werknemer die het wachtwoord kent van baan wisselt, en deze opnieuw gebruikt op zijn nieuwe plek. Of denk aan een uitzendkracht die hetzelfde wachwoord gebruikt voor de niet-kritische systemen van al zijn klanten. In beide gevallen hoeft een hacker maar achter het wachtwoord te komen, en zich onmiddellijk uitleven op een groot aantal systemen.

Tippett zegt dat ict-afdelingen een proces nodig hebben, geautomatiseerd of niet, dat ervoor zorgt dat wachtwoorden niet door meerdere systemen worden gebruikt. Ze moeten ook regelmatig vervangen worden en goed opgeborgen zijn. Je kunt dat zonder veel poespas regelen, bijvoorbeeld door de actuele wachtwoorden op papiertjes op te schrijven en deze in een kluisje te bewaren waarvan slechts een persoon (jij als netwerkbeheerder dus) de sleutel heeft.

3: Het niet opmerken van fouten in de SQL-code

De meest voorkomende aanvallen, in maar liefst 79 procent van de gevallen waarbij gegevens zijn gestolen, zijn gericht tegen SQL-databases die draaien op webservers. Hackers komen daarin door SQL-commando's in te voeren op webformulieren. Normaalgesproken zouden zulke formulieren geen SQL-code mogen draaien, maar ontwikkelaars willen deze SQL-injectie wel eens in hun bouwsels laten zitten.

Volgens Tippett is de eenvoudigste manier om hier iets aan te doen het instellen van de applicatie-firewall in 'learn'-modus. Hij houdt dan bij hoe gebruikers de formulieren invullen. Na een tijdje zet je hem om naar "operate"-modus, waarna SQL-commando's worden geblokkeerd. Het SQL-probleem komt heel veel voor. "Per honderd servers die binnen een bedrijf getest worden, zullen er waarschijnlijk bij negentig daarvan SQL-injectieproblemen opduiken", zegt Tippett.

Dikwijls worden alleen de SQL-injectielekken op kritieke servers aangepakt, en vergeten bedrijven dat de meeste hackers binnenkomen via de niet-kritieke systemen. Tippett raadt netwerkbeheerders aan hun netwerk verdelen en toegangscontrole toepassen om te voorkomen dat niet-kritische systemen in direct contact staan met kritische servers. Mocht een hacker een SQL-fout op het spoor komen, dan krijgt hij in ieder geval geen ongebreidelde toegang tot de gehele omgeving.

4: Slechte configuratie van de lijsten voor toegangscontrole

Nu we het er toch over hebben: de eenvoudigste manier om ervoor te zorgen dat systemen louter communiceren met de systemen waarmee ze dienen te communiceren is het gebruik van lijsten voor toegangscontrole (Access Control Lists in het vakjargon). Als je bijvoorbeeld twee van je klanten via de VPN toegang wil laten hebben tot twee servers, dan kun je de toegangscontrole zo instellen dat ze vanaf hun systeem alleen op die twee specifieke servers kunnen. Mocht een hacker inbreken bij die klant, dan kan hij alleen bij de data op die twee servers.

"Regelmatig krijgen boeven die via de VPN binnenkomen ook direct toegang tot alles", zegt Tippett. Volgens het Verizon-rapport had 66 procent van de gestolen documenten vorig jaar veilig kunnen zijn als de lijsten goed waren ingesteld. Om deze stap te zetten, moeten de routers wel worden ingesteld als firewall, en daar hebben veel netwerkbeheerders geen trek in.

5: Toelaten van onveilige software voor toegang en beheer op afstand

Pakketten voor het krijgen van toegang en beheer op afstand zijn onder hackers bijzonder populair. Applicaties als PCAnywhere, VNC of SSH ontberen dikwijls de nodige beveiliging, zoals sterke wachtwoorden.

De eenvoudigste manier om dit probleem op te duiken, is door het draaien van een externe scan over de gehele breedte van de gebruikte ip-adressen naar verkeer dat deze software genereert. Eenmaal gevonden is het zaak om meer beveiligingseisen aan dit verkeer te stellen, door bijvoorbeeld tokens en certificaten verplicht te stellen, en uiteraard door de wachwoorden aan te sterken. Een andere optie is het scannen van de Netflow-gegevens van je op internet aangesloten routers om te zien of er enig verkeer is voor beheer en controle op afstand.

Dit probleem komt vaak genoeg voor dat het in 27 procent van de gevallen van gegevensverlies een rol speelt.

6: Het niet testen van niet-kritische applicaties op eenvoudige kwetsbaarheden

Bijna 80 procent van alle hackaanvallen hebben te maken met beveiligingsgaten in webapplicaties, zo beweert Verizon. Dat weten netwerkbeheerders ook wel, en ze stoppen dan ook veel van hun energie in het testen van hun kritische servers en op internet aangesloten apparatuur.

Maar ook hier geldt: de meeste succesvolle aanvallen vinden juist plaats op niet-kritische systemen. "We zijn de webapplicaties als een bezetene aan het testen, maar de applicaties die niet-web zijn laten we links liggen", zegt Tippett. Hij raadt aan om basistests uit te voeren op alle applicaties.

"Mensen is vanaf het begin ingeprent om prioriteiten te stellen in de volgorde van hoe kritiek applicaties zijn, maar de boeven weten helemaal niet wat nou kritiek is en wat niet. Hun volgorde is gerangschikt naar gemak", zegt Tippett. "Als ze eenmaal in je netwerk zitten, kunnen ze zich rustig erin nestelen en het verkeer bekijken."

7: Servers niet voldoende beveiligen tegen malware

Malware op servers is in 38 procent van de gevallen in het spel, aldus Verizon Business. De meeste malware wordt geïnstalleerd door een indringer, die deze inzet om gegevens te verzamelen. De malware wordt normaal gesproken op maat geprogrammeerd, zodat antivirussoftware het niet kan detecteren. Netwerkbeheerders kunnen dingen als keyloggers of spyware vinden door host based intrusion detection in te zetten op alle servers, en wederom niet alleen de kritische servers.

Volgens Tippett is het kinderspel om veel van deze aanvallen tegen te gaan: zet de servers vast zodat er geen nieuwe applicaties op kunnen draaien. "Netwerkbeheerders hebben daar een hekel aan, omdat ze misschien later nieuwe applicaties willen toevoegen", zegt Tippett. "Maar dan zeg ik: maak het slot open, installeer de software en doe de deur weer achter je dicht."

8: Routers niet op slot gooien voor ongewild verkeer naar buiten toe

Veel malware werkt door een achterdeur of command shell op een server te installeren. Een manier om een hacker ervan te weerhouden zulke software te gebruiken, is wederom het verdelen van het netwerk en het instellen van de toegangscontrole. Zo kun je voorkomen dat servers verkeer uitzenden die ze helemaal niet moeten uitzenden. Een mailserver moet bijvoorbeeld helemaal niet SSH-verkeer in de weer gaan. Je kunt ook gewoon Egress filtering aanzetten, waarmee je eigenlijk alle naar buiten gaande verkeer blokkeert, behalve het verkeer dat je wilt.

"Slechts 2 procent van de bedrijven doet dat. Het verbaast me dat de andere 98 procent dat niet doet", zegt Tippett. "Het standaard aanzetten van egress filtering stelt niets voor."

9: Niet weten waar creditcard- of andere gegevens staan opgeslagen.

De meeste bedrijven denken wel te weten waar de creditcardnummers, SOFI-nummers of andere persoonsgegevens staan opgeslagen, en die servers worden zwaar beveiligd. Maar vaak staan de gegevens ook elders: op een backup bijvoorbeeld, of het slingert ergens rond op de ontwikkelafdeling.

Een eenvoudige manier om te zien waar zulke gegens staan, is door een network-discovery uit te voeren. "Meestal houden we het op een sniffer op het netwerk, waarmee we in de smiezen houden waar kritische gegevens horen te staan, en waar het zoal naartoe wordt gekopieerd", zegt Tippett.

10: Je niet houden aan beveiligingsstandaarden

De laatste tien jaar of zo zijn ze een beetje in zwang geraakt: beveiligingsstandaarden. Een voorbeeld is van een standaardenset is de Payment Card Industry Data Security Standards (PCI DDS), die bestaat uit twaalf richtlijnen voor het veilig houden van gegevens van klanten. "De meeste bedrijven proberen zich niet eens aan de PCI te houden", zegt Tippett. Of het gebeurt dat de PCI DDS wordt toegepast op de systemen waarvan het bedrijf direct weet dat de gegevens staan, maar niet op de andere servers waar kritische gegevens worden opgeslagen.

Hoewel in 98 procent van de gevallen het de hackers ging om de kaartgegevens, pasten slechts 19 procent van de getroffen bedrijven de PCI-standaarden toe. Tippett: "Het lijkt me duidelijk: pas in ieder geval de PCI-regels toe. Ze werken ten minste een klein beetje."

Bron: Network World Bron: Techworld