De FBI en het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) stellen dat SQL injections verleden tijd moeten zijn. Ondanks dat ontwikkelaars al twee decennia weten hoe men deze soort aanval kan voorkomen, blijft het op grote schaal voor exploitaties zorgen.
SQL injections plaatsen kwaadaardige code in SQL-statements, die normaliter een database kunnen inzien of aanpassen. Het fundamentele probleem is volgens de Amerikaanse instanties dat ontwikkelaars gebruikersinvoer standaard niet moeten vertrouwen. Een SQL injection-aanval kan verschillende effecten hebben, waaronder laterale bewegingen in een bedrijfsnetwerk of de vernietiging van data.
Secure by Design
De overheidsinstanties halen aan dat er al in 2004 een oplossing bestaat voor SQL injections. MySQL introduceerde destijds ‘prepared statements’, die SQL-statements vooraf compileren en injections voorkomen. Het inzetten van die best practice was volgens de MITRE Corporation dermate vanzelfsprekend dat het een SQL injection al sinds 2007 als ‘onvergeeflijk‘ omschreef.
Aangezien exploitaties van deze kwetsbaarheid nog altijd op grote schaal plaatsvinden, dienen ontwikkelaars zich volgens de FBI en CISA beter voor te bereiden. Met een ‘Secure by Design’-aanpak houden developers zich al in de ontwerpfase bezig met een implementatie tegen SQL injections en andere veel voorkomende kwetsbaarheden.
Rekenschap en transparantie
Voor een succesvolle implementatie van Secure by Design raadt men verschillende principes aan. Allereerst moeten ontwikkelaars zichzelf verantwoordelijk stellen voor ‘customer security outcomes’, oftewel elk cybergevaar dat voortkomt uit gebruikersgedrag. Naast dit advies geldt overigens dat wetgeving dit van softwareteams zal vereisen, onder meer met de Cyber Resilience Act.
Lees verder: EU Cyber Resilience Act: fabrikanten van slimme producten moeten consumenten beter beschermen
Daarnaast stellen de instanties dat ‘radicale’ transparantie en rekenschap vereist is. Ontwikkelaars moeten sneller een kwetsbaarheid naar buiten brengen en mitigaties bieden. De precieze oorzaken van een cybergevaar dienen helder verwoord te worden, zodat uiteindelijk volledige soorten kwetsbaarheden geëlimineerd kunnen worden.
Voor het naleven van deze twee aandachtspunten is een ander principe nodig: het nastreven van een organisatiestructuur die rekenschap en transparantie toeëigent.
Lees ook: Fortinet meldt actief misbruik van kwetsbaarheid in FortiClientEMS
2 dagen geleden
