Managed security platform tilt beveiliging naar hoger niveau
Veel bedrijven vertrouwen voor hun dagelijkse bedrijfsvoering op websites, webapplicaties en databases. Een cyberaanval kan de beschikbaarheid echter in gevaar brengen en de continuïteit van de bedrijfsvoering verstoren. Senior Security Engineer bij managed hosting provider True Eddie Bijnen zet de belangrijkste trends op een rijtje. Ook legt hij uit hoe bedrijven zich tegen dergelijke aanvallen kunnen wapenen.
Het soort aanvallen waarmee organisaties geconfronteerd worden is divers. "We zien veel geautomatiseerde aanvallen. Het gaat hierbij om geautomatiseerde scanners die het internet afzoeken naar systemen met bekende kwetsbaarheden. Denk hierbij aan een verouderde versie van bijvoorbeeld een WordPress-plugin of andere software”, zegt Bijnen. "Daarnaast zien we veel pogingen tot afpersing. Zo maken aanvallers misbruik van bekende kwetsbaarheden om bijvoorbeeld een database aan te vallen. Deze database versleutelen zij, zodat het slachtoffer niet meer bij zijn data kan. Wie de encryptiesleutel in handen wilt krijgen, moet eerst een geldbedrag overmaken."
Websites onbereikbaar maken
Afpersing komt ook voor in combinatie met onder meer Distributed Denial of Service-aanvallen (DDoS-aanvallen). Bij een dergelijke aanval overspoelt een aanvaller een server met malafide verzoeken. De server kan verzoeken van legitieme gebruikers hierdoor niet meer verwerken, waardoor deze onbereikbaar is. "Vaak maken aanvallers een website eerst korte tijd onbereikbaar. Vervolgens nemen zij contact op met de beheerder en dreigen de website langere tijd plat te leggen indien de partij niet tot betaling overgaat."
True ziet in de praktijk dat iedere organisatie doelwit kan zijn van criminelen. Zo zijn zorgorganisaties en goede doelen, maar ook onderwijsorganisaties regelmatig doelwit. “Als we in onze eigen cijfers naar de top 5 meest aangevallen organisaties kijken, gaan scholen aan kop. Vaak zien we dat scholieren hun eigen school bestoken met een DDoS-aanval. Bijvoorbeeld omdat zij een tentamen niet willen maken", zegt Bijnen. "Ook klantenservices zijn echter regelmatig doelwit. Vooral van boze klanten, die bijvoorbeeld ontevreden zijn over een product of de ondersteuning die zij ontvangen."
Allerlei beveiligingsoplossingen helpen bedrijven zich te wapenen tegen dergelijke cyberaanvallen. De implementatie, het gebruik en het beheer van deze oplossing vereist doorgaans specialistische kennis. Door de schaarste op de IT-arbeidsmarkt kampen veel bedrijven echter met een tekort aan deze IT-specialisten, wat het gebruik van deze oplossingen in de weg staat.
Advanced Security Platform
Het Advanced Security Platform van True biedt uitkomst. "Met dit platform houden klanten hun servers, websites en databases veilig. Het platform staat volledig onder beheer van True, waardoor klanten hiernaar geen omkijken hebben", zegt Bijnen.
Wie met een cyberaanval geconfronteerd wordt, wil snel kunnen schakelen. "Niets is dan vervelender dan door een hostingprovider en een beveiligingsbedrijf van het kastje naar de muur te worden gestuurd. Dit levert onnodige vertraging op, die je juist op dat moment niet kan gebruiken. Door zowel hosting als security bij één partij onder te brengen voorkom je dit en heb je altijd één aanspreekpunt."
Van cross-site scripting tot SQL-injecties
Het platform helpt uiteenlopende cyberaanvallen af te slaan. Zo gaat een web application firewall (WAF) aanvallen op applicatieniveau tegen. Denk hierbij aan cross-site scripting, waarbij aanvallers via de invoervelden kwaadaardige code aan de site toevoegen. Deze code wordt vervolgens getoond aan andere gebruikers. Dit maakt het onder meer mogelijk om cookies te stelen en zo de gehele sessie van een gebruiker over te nemen. "Denk echter ook aan SQL-injecties, waarmee aanvallers proberen een database in handen te krijgen. Deze database kan waardevolle informatie bevatten, waardoor een datalek veel schade kan veroorzaken."
Daarnaast blokkeert het platform verdachte IP-adressen. “We werken met IP-reputaties, waarbij we aan de hand van allerlei informatiebronnen een reputatie toekennen aan specifieke IP-adressen. Blijkt bijvoorbeeld dat een IP-adres betrokken is geweest bij andere cyberaanvallen? Dan krijgt dit adres een slechte reputatie en kan op basis hiervan preventief geblokkeerd worden."
Een Intrustion Detection System (IDS) inspecteert en controleert het netwerkverkeer, waarbij het systeem naar abnormaliteiten zoekt. "Netwerkverkeer dat afwijkt van de normaal kan wijzen op een cyberaanval. Een IDS helpt hiermee onder meer aanvallen op te sporen die niet door de WAF zijn herkend.”
De wereld is niet zwart wit
Het blokkeren van verkeer of gebruikers kan bij True meerdere dingen inhouden. “Zoals het tegenhouden van verzoeken, het vragen van de browser van bezoekers om eerst een stuk JavaScript op te lossen of te eisen dat een bezoeker eerst een captcha oplost. Op deze manier is het mogelijk om eerder blokkades te plaatsen, die vervolgens via een browser of de gebruiker weer ongedaan gemaakt kan worden.”
Bijnen: “Dit is erg nuttig wanneer het aankomt op aanvallers die zich verschuilen tussen legitiem verkeer. Dit geeft ons de mogelijkheid al bij enige verdenking direct te controleren of het een legitieme browser of persoon is.”
Uitleg, advies en ondersteuning
Ook denken experts van True mee en zijn beschikbaar voor uitleg, advies en ondersteuning. "Een DDoS-aanval voor honderd procent afslaan is niet altijd mogelijk. Je kunt immers niet alle verzoeken aan een server blokkeren zonder daarmee een website of applicatie ook voor legitieme gebruikers onbereikbaar te maken. Onze engineers kunnen helpen de impact van een DDoS-aanval te minimaliseren. Hierin kunnen wij binnen het platform gebruik maken van connection-limiting, rate-limiting, geo-limiting, reputatie-informatie en intelligent blokkeren. Omdat de hosting eveneens bij True ligt, is het ook mogelijk om extra capaciteit aan de achterliggende servers te geven. Iets wat uitermate goed uit komt indien legitiem en niet-legitiem verkeer sterk toenemen, bijvoorbeeld nadat een website in het nieuws is geweest.“
Een belangrijk voordeel hierbij is dat deze experts dagelijks te maken hebben met cyberaanvallen. "Doordat wij voor een groot aantal klanten de beveiliging verzorgen, zien wij allerlei trends en technieken. Dit helpt bij het snel herkennen en mitigeren van aanvallen. We kunnen de kennis die we bij klant A opdoen inzetten om klant B nog beter te helpen."
Capaciteit delen
Klanten van True delen de capaciteit die nodig is voor het mitigeren van cyberaanvallen. Dit biedt grote kostenvoordelen. "Bereikbaar blijven tijdens een DDoS-aanval vraagt om veel capaciteit. Het continu beschikbaar hebben van deze capaciteit is duur, waardoor het voor bedrijven het geen optie is deze achter de hand te houden. True beschikt wel over deze capaciteit en maakt deze beschikbaar voor haar klanten. Dit maakt het mogelijk tijdelijk meer capaciteit beschikbaar te maken, zodat een website ondanks een DDoS-aanval bereikbaar blijft."
Beveiligingsproblemen bij de bron aanpakken
True helpt klanten ook beveiligingsproblemen bij de bron aan te pakken. "We bieden onder meer een security audit aan, waarbij onze ethische hackers proberen in te breken op jouw applicatie of website. Zij zoeken naar beveiligingsproblemen zoals programmeer- en autorisatiefouten. Is het bijvoorbeeld mogelijk gegevens van een andere gebruiker op te roepen? Of in een webshop -1 producten te bestellen waardoor het totaalbedrag van de bestelling beduidend lager wordt? Denk ook aan het gebruik van verouderde software."
Op basis van de security audit krijgen klanten een adviesrapport aangeleverd dat hen helpt hun beveiliging te verbeteren. "Na verloop van tijd voeren we een tweede scan uit. Deze scan maakt inzichtelijk in hoeverre de adviezen zijn opgevolgd en de beveiliging is verbeterd. Zo tillen we de beveiliging naar een steeds hoger niveau."