Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen steeds belangrijker. Diederik Klijn, sales manager Northern Europe bij Venafi, legt uit waarom het nodig en verstandig is alle gebruikte digitale certificaten en encryptiesleutels geautomatiseerd te gaan beheren.

Stock unsplash shamin

Bedrijven migreren in toenemende mate naar de cloud om flexibeler en sneller nieuwe IT-toepassingen en services te kunnen implementeren. Of om deel uit te maken van de platformeconomie waarin vraag en aanbod tegenwoordig 24/7 online worden gematched. Hoewel de toenemende cloudmigraties en platformen grote voordelen met zich meebrengen, zit er ook een groot nadeel aan, namelijk alle mogelijke beveiligingsrisico’s. Steeds meer apparaten en softwaretoepassingen communiceren tegenwoordig volledig autonoom met elkaar, dus zonder enige menselijke controle. Heeft u als IT- of securityverantwoordelijke nog wel voldoende grip en inzicht in het digitaal vertrouwen waarop al die automatische communicatie is gebaseerd?

Slow versus Fast IT

Behalve geplande migraties naar de cloud en implementaties van IoT, moeten IT-ers ook nog een toenemend aantal zogeheten ‘Fast-Track IT’-initiatieven in goede banen leiden. “Wij zien bij veel bedrijven dat de ‘Chief Marketing Officer’ (CMO) parallelle IT-projecten initieert, om leads te genereren of zich van concurrenten te onderscheiden”, zegt Klijn. CMO’s besteden de laatste jaren een groter deel van hun budget aan marketing gerelateerde IT-technologieën, vaak buiten de controle en gezichtsveld van traditionele IT-teams. “Daarnaast worden door DevOps-teams nieuwe ontwikkeltools ingezet, tijdelijke domeinnamen geregi­streerd en API’s met elkaar verbonden. Deze ‘Fast-Track IT’-ontwikkelingen zijn door traditionele ‘Slow IT’-afdelingen amper bij te houden, laat staan gestructureerd te managen. Ook die trend zorgt soms voor ongecontroleerde IT-projecten.”

Digitaal vertrouwen ondermijnen

Vergelijkbaar met de toename aan nepnieuws en misleidende campagnes om opinies te beïnvloeden, worden cybercriminelen slimmer in het misbruik maken van het digitaal vertrouwen tussen apparaten en software. Dat IT-security­verantwoordelijken daarop moeten letten, blijkt onder andere uit de onlangs ontdekte backdoor in de Asus Live Update-software en de mogelijke ZombieLoad aanvallen op Intel-chips.

Via dit soort zwakheden is onopgemerkt informatie te stelen, malware te installeren, of de controle van apparatuur of software over te nemen. Backdoors en bugs in software die toegang geven tot apparatuur ondermijnen in toenemende mate het digitaal vertrouwen, waarop zowel onze hele digitale infrastructuur als economie zijn gebaseerd.

Aandacht voor code signing certificaten

Een categorie die speciale aandacht verdient, is die van de ‘code-signing certificaten’. Dat zijn namelijk digitale handtekeningen voor het ondertekenen van vertrouwde software en andere programmacode. Dankzij dit type certificaten was de bekende Stuxnet-hack zo succesvol. Uit recent onderzoek van Venafi blijkt dat maar 28% van de 320 ondervraagde securityverantwoordelijken in Canada, Europa en de Verenigde Staten een procedure heeft voor het consistent beveiligen door middel van code signing certificaten. Toch maakt 50% van de respondenten zich zorgen dat cybercriminelen gestolen of op het darkweb verkochte nagemaakte code signing certificaten gaan misbruiken voor cyberaanvallen op hun organisatie.

Open Source Libraries

Een ander belangrijk aandachtspunt is het toenemend gebruik van open source libraries (OSL’s), voor het ontwikkelen van apps, programma’s en websites. Cyber­criminelen spelen in op het vertrouwen dat mensen in OSL’s hebben, door er malafide code aan toe te voegen. Met als mogelijk gevolg een sneeuwbaleffect voor de hele keten van softwareontwikkelingen. Onderzoek van Sonatype heeft al een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het securityrisico gerelateerd aan OSL’s is aanzienlijk te verkleinen door code signing certificaten te gebruiken voor het authenticeren, alleen moeten die certificaten dan natuurlijk wel betrouwbaar zijn.

Beter beveiligen en monitoren

Venafi pleit al jaren voor het beter beveiligen en monitoren van alle machine-identiteiten, als oplossing tegen het toenemend aantal cyberaanvallen en security-incidenten. “Alle digitale communicatie tussen hardware, sensoren, API’s, Containers, Micro-Services, et cetera, is gebaseerd op certificaten en encryptiesleutels”, legt Klijn uit. “Toch weten maar weinig IT-ers en security­verantwoordelijken hoe een ‘Public Key Infrastructure’ (PKI) werkt en wie daarin welke rollen heeft. Met als gevolg onterechte schijnveiligheid. Net zoals er tijdelijke domeinen niet worden opgezegd na gebruik voor een marketingcampagne, worden er ook uitgegeven digitale certificaten en sleutels niet ingetrokken als medewerkers de organisatie verlaten.”

Lifecyclemanagement

Behalve continu monitoren tegen misbruik, is het tevens belangrijk te letten op het verlopen van certificaten. LinkedIn en Mozilla kwamen daarmee namelijk vorige maand nog negatief in het nieuws. Verder heeft nota bene de CEO van Ericsson eind vorig jaar zijn excuses aangeboden voor een verlopen certificaat, waardoor miljoenen mensen wereldwijd niet meer mobiel konden bellen. “Momenteel worden het gebruik en de verloopdata van certificaten bij veel organisaties nog in spreadsheets beheerd”, vervolgt Klijn. “Omdat het aantal al snel enkele (tien)duizenden betreft, is het verstandig een geautomatiseerde oplossing voor lifecyclemanagement van alle gebruikte certificaten en encryptiesleutels te implementeren.”

Lees ook
Dyflexis behaalt opnieuw ISO 9001- en ISO 27001-certificeringen

Dyflexis behaalt opnieuw ISO 9001- en ISO 27001-certificeringen

Dyflexis, een leider in Workforce Management-software, heeft opnieuw de ISO 9001- en ISO 27001-certificeringen behaald. Deze hercertificeringen zijn een erkenning van de voortdurende kwaliteit en de beveiliging van de producten en diensten van Dyflexis. Auditbureau DEKRA voerde het certificeringstraject uit.

Provincie Gelderland heeft informatiebeveiliging op orde.

Provincie Gelderland heeft informatiebeveiliging op orde.

Provincie Gelderland heeft de belangrijkste internationale standaard voor informatiebeveiliging gehaald: het ISO 27001 certificaat. Gedeputeerde Jan Markink nam het certificaat vandaag in ontvangst. “We beheren veel informatie van inwoners en bedrijven. Hiermee tonen we dat we daar goed mee omgaan. Dat geeft vertrouwen.”

DigiCert introduceert Verified Mark Certificates voor Nederlandse handelsmerken

DigiCert introduceert Verified Mark Certificates voor Nederlandse handelsmerken

DigiCert, leverancier van digitaal vertrouwen, introduceert Verified Mark Certificates (VMC’s) voor bedrijven met in Nederland geregistreerde handelsmerken. Deze zijn compliant met de Brand Indicators for Message Identification (BIMI)-standaard van de AuthIndicators Working Group, waarvan ook Google deel uitmaakt.