X

Actueel

Het is natuurlijk een beetje raar: ik kom je beveiliging testen, en ik vraag je eerst om je firewall uit te zetten.
Eens in de zoveel tijd krijgen we de vraag van een klant: "Waarom zou ik mijn beveiligingsmaatregelen uitschakelen voordat jullie beginnen met de security test?" Ons korte antwoord is dan altijd: "Om zo veel mogelijk kwetsbaarheden te vinden."

En wat is het lange antwoord?
Tijdens een security test werken we deels handmatig en deels geautomatiseerd. Met ons handmatige werk zoeken we zo veel mogelijk naar die kwetsbaarheden waar creativiteit voor nodig is om ze te vinden en uit te buiten. Het geautomatiseerde deel van ons werk is echter ook belangrijk: daarmee vinden we het soort kwetsbaarheden wat al eerder bekend is gemaakt. Die kwetsbaarheden zijn al op een concrete manier omschreven, en zijn steeds op een zelfde manier te testen. Het is fijn dat dat allemaal door onze tools wordt gedaan, want tienduizenden aanvallen uitproberen op honderden aanvalspunten binnen een doelwit van onze tests zou simpelweg veel teveel tijd kosten als we dat handmatig zouden doen.
Het uitvoeren van al die tests is een minimum wat wij als kwaliteit willen leveren, en het automatiseren van die tests is dus noodzakelijk. Het grootste voordeel daarvan is snelheidswinst. Dat betekent echter wel dat onze doelwitten tijdens een test een hoop verdacht verkeer te verwerken krijgen. Dat verdachte verkeer wordt al snel gedetecteerd door firewalls en intrusion prevention systems (IPS). Zulk soort systemen zijn vaak ingesteld om op verdacht verkeer te reageren met een blokkade die geldt voor het IP adres van de afzender. Dat is wanneer onze test stopt. En dan zijn we vaak nog niet eens begonnen met onze eigen creativiteit los te laten op de systemen van de klant. Het mag duidelijk zijn dat dit op zijn best wat extra afstemming tussen ons en de klant vergt, tijdens de test, en in het ergste geval een vals gevoel van veiligheid geeft door missende testresultaten.

Kom op, je bent toch een hacker?
Dat klopt, en ik weet altijd wel een manier om mijn doel te bereiken. Er zijn echter een paar nadelen aan de inzet van onze creativiteit voor het omzeilen van firewall- en IPS regels:

  • Het kost ons tijd - tijd die we hadden kunnen besteden aan het vinden van de negatieve punten aan je beveiliging die je nog niet wist, in plaats van de positieve punten waar je al wel van op de hoogte was.
  • Het is niet vriendelijk tegenover anderen. Als ik bijvoorbeeld een anonimiseringsnetwerk zoals Tor gebruik om via steeds wisselende IP adressen verbinding te maken met mijn doelwitten, dan omzeil ik met gemak IP blokkades. Ik misbruik daarvoor echter wel grote hoeveelheden bandbreedte van het anonimiseringsnetwerk.
  • Het kan zijn dat je een tijdje moet wachten op je rapport. Ik kan als een echte hacker mijn werk zo langzaam verrichten dat je er niets van merkt. Dat duurt wel maanden.

Kortom, we kiezen ervoor om tijdens onze security tests open kaart te spelen. Verkeer wat deel uitmaakt van onze tests, zal altijd vanaf onze IP adressen worden verstuurd. Op die manier is alles duidelijker, en zelfs veiliger.

En wat nou als ik een realistisch beeld wil hebben van hoe een aanvaller mijn systemen ziet?
Dat is prima. Besef je echter wel dat er verschillende typen aanvallers bestaan:

  • De "script kiddies": mensen die niet weten wat ze aan het doen zijn, zich niet speciaal richten op een bepaald systeem, en meestal maar een of enkele aanvallen in hun arsenaal hebben.
  • De concurrent of de pas ontslagen medewerker: mensen die vastberaden zijn om een specifiek systeem te misbruiken, maar daar niet voor zijn opgeleid.
  • De spionnen: mensen die als enige taak hebben om tactisch handige systemen binnen te dringen, en veel middelen tot hun beschikking hebben.

Deze mensen kijken geen van allen naar je systemen zoals wij dat doen tijdens een test. Script kiddies halen bijvoorbeeld hun snelheid door het hele internet te bestoken met één aanval. Het werk van echte spionnen zul je waarschijnlijk nooit opmerken. De scans die we uitvoeren tijdens ons werk zijn dan ook niet bedoeld om een realistisch beeld te krijgen van hoe een aanvaller tegen je systemen aankijkt. Eerder geven ze een realistisch beeld van alle verschillende kwetsbaarheden die elk afzonderlijk kunnen worden misbruikt door een aanvaller. Het blijven blokkeren van onze werkzaamheden geeft dus meer een beeld van de mate waarin een systeem bestendig is tegen security tests dan tegen echte aanvallen.

Toch kan/wil ik jullie niet toevoegen aan mijn whitelists.
In dat geval raad ik je een speciaal type test aan: de penetratietest. In de meeste gevallen zijn onze klanten erin geïnteresseerd om zo veel mogelijk verschillende kwetsbaarheden in hun systemen boven water te krijgen. Dat is wanneer we brede en uitgebreide kwetsbaarhedenscans toepassen. Bij een penetratietest is de volledigheid van het overzicht van kwetsbaarheden vaak niet het hoofddoel. Een penetratietest voeren we meer uit op de manier waarop kwaadwillenden je systemen zouden aanvallen. We besteden daarbij meer tijd aan het omzeilen van beveiligingsmaatregelen, en we verzamelen bewijs dat dat mogelijk is.

Zo klinkt het bijna alsof firewalls niets waard zijn.
Traditionele firewalls hebben vaak de mogelijkheid om een IP adres te blokkeren nadat er vanaf dat adres teveel verkeer tegelijk is verstuurd, of wanneer dat verkeer van een verkeerd type was. Dit is de reactie waar we het meest direct merkbaar last van hebben, en zoals ik hierboven schreef, hebben veel real life aanvallers er minder last van. Desalniettemin is het goed om deze eerste laag van beveiliging te handhaven in normale situaties. Je voorkomt er soms specifieke aanvallen mee, zoals brute forcing.

Maar ik heb een Smart Next Gen Firewall® met ingebouwd koffiezetapparaat. Die snapt er meer van. Kan ik die niet beter toch aan laten staan?
Firewalls, Web Application Firewalls en Intrusion Prevention Systems gaan gelukkig met hun tijd mee. Steeds meer zijn ze in staat om subtiele, onopvallende aanvallen tegen te houden. Die blokkades zijn echter nog steeds vaak gebaseerd op blacklisting: de detectie van activiteiten waarvan de negatieve effecten bekend zijn. Zo worden onze tests al snel tegengehouden door dit soort beveiligingsmaatregelen, terwijl (en omdat) de gedetecteerde aanvallen van onze tools vaak de meest simpele recht-toe-recht-aan variant van die aanvallen zijn. Juist met blokkades van slimme firewalls ontstaan false negatives: de standaardvariant van een aanval wordt gedetecteerd en gestopt, maar de achterliggende systemen kunnen ook kwetsbaar zijn voor varianten op die aanval.

De bottom line: door beveiligingsmaatregelen volledig te laten blijven werken zoals gewoonlijk, kan een vals gevoel van veiligheid ontstaan. Door de IP adressen waarvandaan getest wordt op een whitelist te plaatsen, is het mogelijk om de kwetsbaarheden van een systeem te zien, zonder dat het beeld vertroebeld wordt.

Related

De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
Overzicht AVG-klachten 2018

Overzicht AVG-klachten 2018

Nu 2018 achter ons ligt, kunnen we terugblikken op het jaar waarin de AVG van kracht werd. In dit ar...

Read More >
Data opslaan? Doe het safe!

Data opslaan? Doe het safe!

Consultant Marcel van der Wal zet 7 tips op een rijtje die bijdragen aan betere informatiebeveiligin...

Read More >
Senior Security Consultant gezocht!

Senior Security Consultant gezocht!

Wil jij graag verschil maken en je passie voor security in je dagelijks werk uitvoeren? Wil jij same...

Read More >
Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Read More >
OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.