Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen steeds belangrijker. Diederik Klijn, sales manager Northern Europe bij Venafi, legt uit waarom het nodig en verstandig is alle gebruikte digitale certificaten en encryptiesleutels geautomatiseerd te gaan beheren.

Bedrijven migreren in toenemende mate naar de cloud om flexibeler en sneller nieuwe IT-toepassingen en services te kunnen implementeren. Of om deel uit te maken van de platformeconomie waarin vraag en aanbod tegenwoordig 24/7 online worden gematched. Hoewel de toenemende cloudmigraties en platformen grote voordelen met zich meebrengen, zit er ook een groot nadeel aan, namelijk alle mogelijke beveiligingsrisico’s. Steeds meer apparaten en softwaretoepassingen communiceren tegenwoordig volledig autonoom met elkaar, dus zonder enige menselijke controle. Heeft u als IT- of securityverantwoordelijke nog wel voldoende grip en inzicht in het digitaal vertrouwen waarop al die automatische communicatie is gebaseerd?

Slow versus Fast IT

Behalve geplande migraties naar de cloud en implementaties van IoT, moeten IT-ers ook nog een toenemend aantal zogeheten ‘Fast-Track IT’-initiatieven in goede banen leiden. “Wij zien bij veel bedrijven dat de ‘Chief Marketing Officer’ (CMO) parallelle IT-projecten initieert, om leads te genereren of zich van concurrenten te onderscheiden”, zegt Klijn. CMO’s besteden de laatste jaren een groter deel van hun budget aan marketing gerelateerde IT-technologieën, vaak buiten de controle en gezichtsveld van traditionele IT-teams. “Daarnaast worden door DevOps-teams nieuwe ontwikkeltools ingezet, tijdelijke domeinnamen geregi­streerd en API’s met elkaar verbonden. Deze ‘Fast-Track IT’-ontwikkelingen zijn door traditionele ‘Slow IT’-afdelingen amper bij te houden, laat staan gestructureerd te managen. Ook die trend zorgt soms voor ongecontroleerde IT-projecten.”

Digitaal vertrouwen ondermijnen

Vergelijkbaar met de toename aan nepnieuws en misleidende campagnes om opinies te beïnvloeden, worden cybercriminelen slimmer in het misbruik maken van het digitaal vertrouwen tussen apparaten en software. Dat IT-security­verantwoordelijken daarop moeten letten, blijkt onder andere uit de onlangs ontdekte backdoor in de Asus Live Update-software en de mogelijke ZombieLoad aanvallen op Intel-chips.

Via dit soort zwakheden is onopgemerkt informatie te stelen, malware te installeren, of de controle van apparatuur of software over te nemen. Backdoors en bugs in software die toegang geven tot apparatuur ondermijnen in toenemende mate het digitaal vertrouwen, waarop zowel onze hele digitale infrastructuur als economie zijn gebaseerd.

Aandacht voor code signing certificaten

Een categorie die speciale aandacht verdient, is die van de ‘code-signing certificaten’. Dat zijn namelijk digitale handtekeningen voor het ondertekenen van vertrouwde software en andere programmacode. Dankzij dit type certificaten was de bekende Stuxnet-hack zo succesvol. Uit recent onderzoek van Venafi blijkt dat maar 28% van de 320 ondervraagde securityverantwoordelijken in Canada, Europa en de Verenigde Staten een procedure heeft voor het consistent beveiligen door middel van code signing certificaten. Toch maakt 50% van de respondenten zich zorgen dat cybercriminelen gestolen of op het darkweb verkochte nagemaakte code signing certificaten gaan misbruiken voor cyberaanvallen op hun organisatie.

Open Source Libraries

Een ander belangrijk aandachtspunt is het toenemend gebruik van open source libraries (OSL’s), voor het ontwikkelen van apps, programma’s en websites. Cyber­criminelen spelen in op het vertrouwen dat mensen in OSL’s hebben, door er malafide code aan toe te voegen. Met als mogelijk gevolg een sneeuwbaleffect voor de hele keten van softwareontwikkelingen. Onderzoek van Sonatype heeft al een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het securityrisico gerelateerd aan OSL’s is aanzienlijk te verkleinen door code signing certificaten te gebruiken voor het authenticeren, alleen moeten die certificaten dan natuurlijk wel betrouwbaar zijn.

Beter beveiligen en monitoren

Venafi pleit al jaren voor het beter beveiligen en monitoren van alle machine-identiteiten, als oplossing tegen het toenemend aantal cyberaanvallen en security-incidenten. “Alle digitale communicatie tussen hardware, sensoren, API’s, Containers, Micro-Services, et cetera, is gebaseerd op certificaten en encryptiesleutels”, legt Klijn uit. “Toch weten maar weinig IT-ers en security­verantwoordelijken hoe een ‘Public Key Infrastructure’ (PKI) werkt en wie daarin welke rollen heeft. Met als gevolg onterechte schijnveiligheid. Net zoals er tijdelijke domeinen niet worden opgezegd na gebruik voor een marketingcampagne, worden er ook uitgegeven digitale certificaten en sleutels niet ingetrokken als medewerkers de organisatie verlaten.”

Lifecyclemanagement

Behalve continu monitoren tegen misbruik, is het tevens belangrijk te letten op het verlopen van certificaten. LinkedIn en Mozilla kwamen daarmee namelijk vorige maand nog negatief in het nieuws. Verder heeft nota bene de CEO van Ericsson eind vorig jaar zijn excuses aangeboden voor een verlopen certificaat, waardoor miljoenen mensen wereldwijd niet meer mobiel konden bellen. “Momenteel worden het gebruik en de verloopdata van certificaten bij veel organisaties nog in spreadsheets beheerd”, vervolgt Klijn. “Omdat het aantal al snel enkele (tien)duizenden betreft, is het verstandig een geautomatiseerde oplossing voor lifecyclemanagement van alle gebruikte certificaten en encryptiesleutels te implementeren.”