In eigen beheer ontwikkelde applicaties zijn kwetsbaarder voor hacks

2016-09-14 Zeekhoe - Fortinet - profielfoto-15

Volgens een recente enquête door IDG is 83 procent van alle CIO’s van mening dat applicatiebeveiliging een onmisbaar onderdeel is van hun ICT-strategie. Dat is goed nieuws. Veel professionals die zich bezighouden met informatiebeveiliging beseffen dat internetapplicaties een aantrekkelijk doelwit vormen voor cybercriminelen.

Ondanks dit besef blijkt dat een flink aantal  bedrijven nog steeds niet optimaal bestand is tegen aanvallen op applicatie-niveau.

Veel voorkomende aanvallen op internetapplicaties

Er zijn verontrustend veel naar buiten gerichte internetapplicaties die niet goed beveiligd zijn. Mozilla voerde in juni 2017 een onderzoek uit van de beveiliging van de miljoen best bezochte websites. 93,45 procent hiervan kreeg de score ‘F’ (fail) toegekend. De beheerders van deze websites hadden verzuimd om basismaatregelen te treffen die bescherming boden tegen scross-scripting, ‘man in the middle’-aanvallen en cookie hijacking. ICT-afdelingen kunnen hier lering uit trekken en moeten beducht zijn voor de volgende typen aanvallen:

  • Cross-site scripting (XSS): Bij dit type aanval injecteren cybercriminelen kwaadaardige scripts in kwetsbare websites. Daarmee kunnen ze netwerken binnendringen om gevoelige financiële informatie buit te maken of de controle over te nemen van apparaten met bekende kwetsbaarheden. Deze aanvallen zijn zo succesvol omdat er tal van programmeerfouten in applicaties aanwezig zijn, en evenzoveel weeffouten in de apparaten waarop die applicaties worden ingezet. Dat geldt voor elke internetapplicatie die de input van gebruikers omzet in output zonder die eerst te controleren of versleutelen.
  • SQL-injectie: Deze aanvalstechniek wordt gebruikt om authenticatiemechanismen te omzeilen en informatie uit databases op te vragen. In 2015 werd een bende cybercriminelen opgerold die ervan werd verdacht om met SQL-injectieaanvallen 30 miljoen dollar buit te hebben gemaakt met behulp van buitgemaakte financiële gegevens.
  • Layer 7 Denial of Service: DDos-aanvallen op deze applicatielaag worden voor diverse criminele doeleinden ingezet. Voorbeelden zijn het overbelasten van bedrijfsprocessen tot het platleggen van nutsvoorzieningen, het kapen van diensten totdat er losgeld wordt betaald en het afleiden van de aandacht van beveiligingsteams van een ernstiger beveiligingsincident dat elders binnen het netwerk plaatsvindt.

Naast kwetsbaarheden in de code van internetapplicaties kan de beveiliging ook te lijden hebben onder gebrekkige beveiligingspraktijken. Zo kan personeelsgebrek de ICT-afdelingen ervan weerhouden om patches te installeren zodra die beschikbaar zijn.

Naar buiten gerichte internetapplicaties vormen echter slechts een deel van het probleem. Interne internetapplicaties, zeker als die in eigen beheer zijn ontwikkeld, kunnen vaak makkelijker worden gehackt dan externe applicaties als aanvallers eenmaal toegang tot het bedrijfsnetwerk hebben gekregen. Dit soort maatwerk vormt vanouds een van de zwakste schakels in de beveiliging van organisaties. De reden hiervoor is dat interne programmeurs vaak geen tijd hebben om op de hoogte te blijven van alle nieuwe soorten aanvallen of om applicaties uitvoerig te inspecteren op kwetsbaarheden zoals grote softwareleveranciers dat doen.

Zo kan één applicatie voor online winkelen tientallen interne applicaties activeren voor onder meer voorraadcontroles, herbevoorrading, het regelen van transport, het maken van pakbonnen, het verwerken van betalingen, het toevoegen van de aankoop de winkelgeschiedenis van de klant enzovoort. Van al deze applicaties kan misbruik worden gemaakt. Soms kunnen cybercriminelen volstaan met het wijzigen van een shared library of het veranderen van de volgorde waarin de opeenvolgende applicaties worden uitgevoerd.

Beveiligingsoplossingen die wel uitkomst bieden

Geavanceerde beveiligingsoplossingen voor internetapplicaties maken gebruik van real-time bedreigingsinformatie om alle programmatuur veilig te houden voor cyberaanvallen. Een goed uitgangspunt is om de top 10 van de meest voorkomende aanvallen op applicaties te raadplegen die door OWASP is samengesteld. Aanvallen op applicaties nemen voortdurend nieuwe vormen aan. Het is daarom zaak om een WAF-oplossing te gebruiken die niet alleen bescherming biedt tegen de meest voorkomende bedreigingen, maar ook gebruikmaakt van diensten voor het vaststellen van de reputatie van IP-adressen en regelmatige bijgewerkte feeds met wereldwijd verzamelde bedreigingsinformatie.

Veel oplossingen voor het beveiligen van internetapplicaties bieden daarnaast een ‘correlation engine’ die informatie over diverse gebeurtenissen ophaalt uit alle beveiligingsmechanismen. Op deze manier krijgt u een beter overzicht van uw gehele ICT-omgeving en kunt u aan de hand van wereldwijd verzamelde bedreigingsinformatie nauwkeuriger beslissingen nemen om uw organisatie effectiever te beschermen.

Het scannen op kwetsbaarheden is eveneens van cruciaal belang om beschermd te blijven. U moet in kaart brengen welke apparaten binnen uw netwerk worden gebruikt, welke besturingssystemen, applicaties en patches daarop zijn geïnstalleerd en welk applicatieverkeer daarlangs verloopt. De meeste aanvallen maken met succes misbruik van kwetsbaarheden die reeds lang bekend zijn en waarvoor al wekenlang, maandenlang of zelfs jarenlang een patch beschikbaar is.

Uw applicaties beschermen

Nu bedreigingen die het op applicaties hebben voorzien in aantal en vernuft toenemen, is één apparaat voor de beveiliging van internetapplicaties niet voldoende om het netwerk met al zijn vertakkingen te beschermen. In plaats daarvan zou u verschillende beveiligings- en netwerkapparaten met elkaar moeten verbinden, zodat ze bedreigingsinformatie met elkaar kunnen uitwisselen. Verder is het belangrijk om gebruik te maken van een centrale, geïntegreerde console zoals een FortiWeb Web Application Firewall. Op deze manier kunt u verschillende gateway-apparaten tegelijk configureren en beheren, bedreigingsinformatie uit diverse bronnen met elkaar in verband brengen en gecoördineerde tegenmaatregelen treffen zodra u een beveiligingsincident detecteert.

Vincent Zeebregts, Country Manager Nederland bij Fortinet