6min Security

Kan Ivanti zijn imago als brokkenpiloot nog van zich afzetten?

Transformatie begonnen, maar nog lang niet voltooid

Kan Ivanti zijn imago als brokkenpiloot nog van zich afzetten?

Ivanti heeft het laatste jaar het imago van een brokkenpiloot gekregen doordat de software steeds opnieuw vol kwetsbaarheden zit. De Ivanti-CEO, Jeff Abbott, erkent de problemen en stelt dat een transformatie in gang is gezet om de veiligheid te verbeteren. De vraag is of deze transformatie op tijd komt om het vertrouwen van klanten en partners te herwinnen, of dat het bedrijf zichzelf inmiddels al op een onherstelbaar breekpunt heeft geplaatst.

Het aantal Ivanti-kwetsbaarheden vliegen je in 2024 om de oren. Alleen in augustus 2024 schreven IT-teams alweer drie Ivanti-patches bij op hun takenlijst. Het bedrijf maakte een slechte naam in juli 2023 door een zero-day in de Endpoint Manager Mobile (EPMM)-dienst van het bedrijf. De kwetsbaarheid trof overheden en organisaties wereldwijd en werd ontdekt door de getroffen Noorse ministeries.

Sindsdien ligt het bedrijf onder een vergrootglas. Toch valt het ook zonder vergrootglas op dat er iets aan schort, dit jaar zijn er al minstens veertien kwetsbaarheden gemeld. In het voorjaar heeft Ivanti-CEO Jeff Abbott de verschrikkelijk ogende staat van security in het bedrijf verdedigd in een video. Abbott lijkt echter wel degelijk in te zien dat het aantal kwetsbaarheden de spuigaten uitloopt. De video is daarom voornamelijk een vooruitblik op hoe Ivanti zal transformeren – en hopelijk verbeteren.

‘Secure-by-design de standaard maken’

Abbott erkent dat de huidige situatie omtrent de beveiliging bij Ivanti niet acceptabel is. Het bedrijf zal aanzienlijke financiële middelen vrijmaken om de situatie te verbeteren. Hij stelt: “Dit plan wordt ondersteund door een aanzienlijke investering en heeft de volledige steun van onze raad van bestuur en iedereen bij Ivanti.”

De oplossing zoekt Ivanti gedeeltelijk bij het secure-by-design-principe. Dit houdt in dat beveiliging vanaf het begin van de productontwikkeling centraal staat en wordt geïntegreerd in alle aspecten van hun technologieën. Abbott legt uit: “Deze proactieve houding zal de basis vormen van onze inzet, waardoor we de bescherming van onze klanten kunnen verbeteren en opkomende bedreigingen een stap voor kunnen blijven.” Een sterkere nadruk op beveiliging is één onderdeel van het vierstappenplan dat werd uitgezet. Om de productbeveiliging ook na de ontwikkeling te monitoren, komen er extra middelen vrij voor onderzoek.

Uit de doelstellingen komt ook onherroepelijk de vraag voort hoe het de afgelopen jaren dan zat met de toewijding aan security? Het uitbrengen van software die out-of-the-box veilig is, is namelijk geen bijzaak waar een organisatie pas aan kan denken als het misgaat. Dat organisaties op de hoogte zijn van de noodzakelijkheid van security, tonen ze door het secure-by-design-principe al heel vroeg in te bakken in de bedrijfsstructuur. Aangezien de middelen voor onderzoek naar kwetsbaarheden en het dreigingslandschap ook nu pas vrijkomen, middelen die nodig zijn om een proactieve houding aan te meten, lijken de prioriteiten de voorbije jaren ergens anders te hebben gelegen.

Vertrouwen herwinnen

Bij de eerste twee investeringen blijft Ivanti nog steeds aan zet voor de daadwerkelijke uitvoer ervan. Deze verbeteringen blijven voornamelijk achter de schermen. Waar klanten directe resultaten kunnen waarnemen, is bij de ondersteuning voor het wegwerken van kwetsbaarheden. Zo zet het bedrijf het doel voorop alle klanten op de nieuwste versie van het platform te krijgen, waar extra features zullen worden toegevoegd zoals een AI-zoekfunctie om meer gerichte resultaten te krijgen bij het zoeken naar informatie over een kwetsbaarheid.

Volgens Abbott is deze transformatie cruciaal voor het herwinnen van vertrouwen bij klanten en partners. Uit de vierde stap blijkt tot slot duidelijk dat er aandacht wordt geschonken aan het opnieuw opbouwen van relaties. Zo zet het bedrijf zich in om meer informatie en kennis te delen met klanten vanuit het idee dat een aanpak van transparantie en eerlijkheid het meest gewaardeerd worden bij klanten. Hij benadrukt dat de transformatie tijd zal kosten, maar dat het absoluut noodzakelijk is om verdere schade te voorkomen.

Tijdrovend en gevaarlijk

Een transformatie vraagt tijd. Tijd die er niet is, als de veiligheid van interne data en beveiligde digitale omgevingen van bedrijven en overheden op het spel staan. Dat het bekend is dat Ivanti-diensten regelmatig zero-days en eenvoudig uit te buiten kwetsbaarheden bevatten, lokt natuurlijk nog eens extra aandacht van hackers.

Bovendien is het patchen van de lange lijst kwetsbaarheden een tijdrovende klus. Voor de kwetsbaarheid die de Noorse overheid trof, raadde de Cybersecurity and Infrastructure Security Agency (CISA) aan alle VPN-diensten van het bedrijf volledig af te scheiden van het internet. Dit om eventueel geïnstalleerde backdoors van hackers uit de systemen te halen. Anders zouden de hackers na het doorvoeren van de patch opnieuw toegang kunnen krijgen tot systemen waar eerder op werd ingebroken. Die angst ontstond niet zomaar, maar is een reactie op de aanbevelingen die Ivanti deed om de online omgevingen weer veilig te krijgen.

Security-teams hebben een hele boterham aan het oplossen van deze specifieke kwetsbaarheden. Naast het beheerderswachtwoord, moeten ook de bewaarde API-sleutels en de wachtwoorden van iedere lokale gebruiker die op de dienst is aangesloten, opnieuw worden ingesteld.

Uitgebreid portfolio

De software die Ivanti aanbiedt, is daarnaast sterk verbonden met de digitale omgevingen van bedrijven. Het uitvoeren van een update kan daardoor de continuïteit van een organisatie onder druk zetten, waardoor updates in een proces van uitstel terechtkomen. Voor hackers een aantrekkelijk scenario. De software geeft namelijk toegang tot belangrijke online ruimtes van organisaties waar veel mogelijkheden zijn voor spionage, datadiefstal of het invoeren van schadelijke malware. Ivanti heeft hackers de afgelopen maanden bovendien nóg een interessante kaart toegestoken. Enkele keren werden kwetsbaarheden openbaar bekendgemaakt, zonder dat hiervoor een patch klaarlag. Zo kregen hackers dus een vrij speelveld.

De woorden van de Ivanti-CEO hebben zich nog niet kunnen bewijzen. Tijd en geduld worden gevraagd en tegelijk op de proef gesteld bij klanten. Het lijkt in ieder geval zo dat Ivanti achterloopt met het implementeren van belangrijke security-principes. Ivanti bevindt zich daardoor nu op een breekpunt. Enerzijds moeten er middelen vrij zijn om te repareren wat kapot is, anderzijds moeten er middelen zijn om te zorgen dat wat nog wordt uitgebracht niet kapot is. Die middelen moeten komen van klanten waar het bedrijf een vertrouwensbreuk mee heeft opgelopen. Is dat alles wel op te lossen met het beperkte crisismanagement dat tot nu toe is getoond?

Lees ook: Zeroday in Ivanti-software treft voornamelijk Westerse landen