In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE) lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.
Zodra een vulnerability via de CVE lijst is gepubliceerd wordt het een ‘known threat’. Zodra een CVE is gepubliceerd bieden security onderzoekers of leveranciers, die van deze lijst gebruikmaken, vrijwel onmiddellijk risico beperkende maatregelen. Deze richtlijnen omvatten software patches, software-instellingen, detectie van verdachte traffic of andere preventieve maatregelen die specifiek in te zetten zijn voor dreigingen. Hoewel de term ‘known vulnerability’ suggereert dat de zaken onder controle zijn, is het in de praktijk nog steeds een ‘unknown threat’ totdat de patches zijn toegepast en/of alle geadviseerde tegenmaatregelen zijn genomen om de threat tegen te gaan. Zelfs wanneer er direct na het publiceren van de CVE actie is ondernomen, is het niet altijd zeker dat de vulnerability in de betreffende omgeving niet is misbruikt. In veel gevallen merkten onderzoekers in de weken of zelfs maanden vóór de CVE-publicatie actief misbruik van een vulnerability op.
Unknown threats stoppen
Daarnaast zijn er ook nog de ‘unknown threats’. Bij deze dreigingen tasten we in het duister als het gaat om het aantal en de impact van ‘unknown threats’. Voor natiestaten en georganiseerde internationale criminele organisaties zijn ‘unknown vulnerabilities’ en effectieve exploits een zeer waardevolle aanwinst. Ze kunnen deze voor hun eigen doeleinden gebruiken of de technieken verkopen op het dark web. Gezien het enorme aantal gepubliceerde CVE’s en de potentieel verwoestende gevolgen, van gerichte aanvallen die nieuwe en ‘unknown threats’ gebruiken, lijkt het niet meer dan logisch dat je een bijgewerkte strategie voor cybersecurity nodig hebt. Dit is vele malen effectiever dan het individueel najagen van een niet aflatende stroom van bugs, vulnerabilities en exploits.
Maar hoe stop je nu ‘unknown threats’? Veel leveranciers beweren preventie te bieden, maar als je dieper in de technologie graaft is veel van die preventie gebaseerd op het najagen van een bekende Indicator of Compromise. Denk hierbij aan hashes, domeinnamen of IP-adressen die specifiek bedoeld zijn voor een gepubliceerde CVE of andere kwetsbaarheid. Op AI gebaseerde tools die zoeken naar zogenaamde behavioral indicators of een compromise hanteren een meer algemene benadering maar volgen hetzelfde conceptuele model. Ze jagen op de inbrekers die al in je huis zijn, dus veel van deze technologische hoogstandjes stoppen geen ‘unknown threats’.
Een andere manier om ‘unknown threats’ tegen te gaan is Zero Trust. Het Zero Trust model zorgt ervoor dat alle aannames van vertrouwen bij iedere toegangspoging ter discussie worden gesteld. Toch is er ook veel onbegrip over Zero Trust. Dat geldt vooral voor de vraag hoe een Zero Trust aanpak misbruik van ‘unknown threat’ kan voorkomen. Want waarom is de Zero Trust aanpak dan wél aantoonbaar beter in het stoppen van ‘unknown threats’?
Unknown threats vinden
Zero Trust draait het probleem om. Het is zinloos om in de wapenwedloop met cybercriminelen de aandacht te blijven richten op het immense en per definitie onbekende ‘attack surface’ dat dagelijks groeit. In plaats daarvan plaatst Zero Trust de meest kostbare applicaties, data, apparatuur en diensten in een overzichtelijk aantal zogeheten ‘protect surfaces’ die wel zijn te overzien. Per ‘protect surface’ kun je heel precies bepalen welk verkeer en welke gebruikers met welke apparatuur en met welke authenticatie toegang hebben. Door deze zogeheten ‘least privilege policies’ (beter bekend als Kipling policies) consequent door te voeren met passende technologie, gooi je in de praktijk de deur dicht voor de meest gebruikte exploitatie technieken van cybercriminelen.
Kortom, betere cybersecurity draait om het voorkomen van de ‘unknowns’. In een wereld die steeds meer wordt gedreven door snelle Cloud technologieën wordt het steeds belangrijker om gebruik te maken van de dynamische toegangscontroles die het mogelijk maken om ook de ‘unknown threats’ te elimineren. Het Zero Trust concept met de ‘protect surface’ deelt een monolithische infrastructuur, van data, applicaties en apparaten, op in kleinere ‘protect surfaces’. Hierdoor kunnen de meest waardevolle kroonjuwelen van organisaties worden beschermd door technologie en een beleid die precies is afgestemd op een veiligere omgeving.
Door Lieuwe Jan Koning, Founding Partner & CTO bij ON2IT en Rob Maas, Lead Architect bij ON2IT. Via deze link vind je meer informatie over de mogelijkheden van ON2IT.
1 uur geleden
