Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen steeds belangrijker. Diederik Klijn, sales manager Northern Europe bij Venafi, legt uit waarom het nodig en verstandig is alle gebruikte digitale certificaten en encryptiesleutels geautomatiseerd te gaan beheren.

Stock unsplash shamin

Bedrijven migreren in toenemende mate naar de cloud om flexibeler en sneller nieuwe IT-toepassingen en services te kunnen implementeren. Of om deel uit te maken van de platformeconomie waarin vraag en aanbod tegenwoordig 24/7 online worden gematched. Hoewel de toenemende cloudmigraties en platformen grote voordelen met zich meebrengen, zit er ook een groot nadeel aan, namelijk alle mogelijke beveiligingsrisico’s. Steeds meer apparaten en softwaretoepassingen communiceren tegenwoordig volledig autonoom met elkaar, dus zonder enige menselijke controle. Heeft u als IT- of securityverantwoordelijke nog wel voldoende grip en inzicht in het digitaal vertrouwen waarop al die automatische communicatie is gebaseerd?

Slow versus Fast IT

Behalve geplande migraties naar de cloud en implementaties van IoT, moeten IT-ers ook nog een toenemend aantal zogeheten ‘Fast-Track IT’-initiatieven in goede banen leiden. “Wij zien bij veel bedrijven dat de ‘Chief Marketing Officer’ (CMO) parallelle IT-projecten initieert, om leads te genereren of zich van concurrenten te onderscheiden”, zegt Klijn. CMO’s besteden de laatste jaren een groter deel van hun budget aan marketing gerelateerde IT-technologieën, vaak buiten de controle en gezichtsveld van traditionele IT-teams. “Daarnaast worden door DevOps-teams nieuwe ontwikkeltools ingezet, tijdelijke domeinnamen geregi­streerd en API’s met elkaar verbonden. Deze ‘Fast-Track IT’-ontwikkelingen zijn door traditionele ‘Slow IT’-afdelingen amper bij te houden, laat staan gestructureerd te managen. Ook die trend zorgt soms voor ongecontroleerde IT-projecten.”

Digitaal vertrouwen ondermijnen

Vergelijkbaar met de toename aan nepnieuws en misleidende campagnes om opinies te beïnvloeden, worden cybercriminelen slimmer in het misbruik maken van het digitaal vertrouwen tussen apparaten en software. Dat IT-security­verantwoordelijken daarop moeten letten, blijkt onder andere uit de onlangs ontdekte backdoor in de Asus Live Update-software en de mogelijke ZombieLoad aanvallen op Intel-chips.

Via dit soort zwakheden is onopgemerkt informatie te stelen, malware te installeren, of de controle van apparatuur of software over te nemen. Backdoors en bugs in software die toegang geven tot apparatuur ondermijnen in toenemende mate het digitaal vertrouwen, waarop zowel onze hele digitale infrastructuur als economie zijn gebaseerd.

Aandacht voor code signing certificaten

Een categorie die speciale aandacht verdient, is die van de ‘code-signing certificaten’. Dat zijn namelijk digitale handtekeningen voor het ondertekenen van vertrouwde software en andere programmacode. Dankzij dit type certificaten was de bekende Stuxnet-hack zo succesvol. Uit recent onderzoek van Venafi blijkt dat maar 28% van de 320 ondervraagde securityverantwoordelijken in Canada, Europa en de Verenigde Staten een procedure heeft voor het consistent beveiligen door middel van code signing certificaten. Toch maakt 50% van de respondenten zich zorgen dat cybercriminelen gestolen of op het darkweb verkochte nagemaakte code signing certificaten gaan misbruiken voor cyberaanvallen op hun organisatie.

Open Source Libraries

Een ander belangrijk aandachtspunt is het toenemend gebruik van open source libraries (OSL’s), voor het ontwikkelen van apps, programma’s en websites. Cyber­criminelen spelen in op het vertrouwen dat mensen in OSL’s hebben, door er malafide code aan toe te voegen. Met als mogelijk gevolg een sneeuwbaleffect voor de hele keten van softwareontwikkelingen. Onderzoek van Sonatype heeft al een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het securityrisico gerelateerd aan OSL’s is aanzienlijk te verkleinen door code signing certificaten te gebruiken voor het authenticeren, alleen moeten die certificaten dan natuurlijk wel betrouwbaar zijn.

Beter beveiligen en monitoren

Venafi pleit al jaren voor het beter beveiligen en monitoren van alle machine-identiteiten, als oplossing tegen het toenemend aantal cyberaanvallen en security-incidenten. “Alle digitale communicatie tussen hardware, sensoren, API’s, Containers, Micro-Services, et cetera, is gebaseerd op certificaten en encryptiesleutels”, legt Klijn uit. “Toch weten maar weinig IT-ers en security­verantwoordelijken hoe een ‘Public Key Infrastructure’ (PKI) werkt en wie daarin welke rollen heeft. Met als gevolg onterechte schijnveiligheid. Net zoals er tijdelijke domeinen niet worden opgezegd na gebruik voor een marketingcampagne, worden er ook uitgegeven digitale certificaten en sleutels niet ingetrokken als medewerkers de organisatie verlaten.”

Lifecyclemanagement

Behalve continu monitoren tegen misbruik, is het tevens belangrijk te letten op het verlopen van certificaten. LinkedIn en Mozilla kwamen daarmee namelijk vorige maand nog negatief in het nieuws. Verder heeft nota bene de CEO van Ericsson eind vorig jaar zijn excuses aangeboden voor een verlopen certificaat, waardoor miljoenen mensen wereldwijd niet meer mobiel konden bellen. “Momenteel worden het gebruik en de verloopdata van certificaten bij veel organisaties nog in spreadsheets beheerd”, vervolgt Klijn. “Omdat het aantal al snel enkele (tien)duizenden betreft, is het verstandig een geautomatiseerde oplossing voor lifecyclemanagement van alle gebruikte certificaten en encryptiesleutels te implementeren.”

Lees ook
Integrated Works behaalt Cisco Advanced Internet of Things - Industry Expert certificering

Integrated Works behaalt Cisco Advanced Internet of Things - Industry Expert certificering

Integrated Works heeft de Cisco Advanced Internet of Things - Industry Expert certificering behaald. Het verkrijgen van deze specialisatie is een voorwaarde die Cisco aan partners stelt om geavanceerde IoT-oplossingen voor de industrie te ontwerpen en te bouwen. Integrated Works is de enige Cisco-partner in Nederland die deze certificering bezit.1

AWS introduceert nieuwe beveiligings- en encryptiefuncties in S3

AWS introduceert nieuwe beveiligings- en encryptiefuncties in S3

Amazon Web Services maakt nieuwe beveiligings- en encryptiefunctionaliteiten beschikbaar voor zijn S3 cloud storage dienst. De features zijn gratis beschikbaar voor gebruikers. In totaal voegt AWS vijf nieuwe beveiligings- en encryptiefunctionaliteiten toe aan S3: Standaard encryptie - Gebruikers kunnen voortaan een bucket encryptieconfiguratie1

TDCG aangesloten op carriernetwerk van AFIBER

TDCG aangesloten op carriernetwerk van AFIBER

The Datacenter Group (TDCG) in Amsterdam is onlangs aangesloten op het carriernetwerk van AFIBER. Het hart van dit backbone-netwerk ligt in de regio Amsterdam en biedt toegang tot belangrijke data-knooppunten, kantoorlocaties en ICT-dienstverleners. TDCG wil met deze samenwerking niet alleen haar portfolio uitbreiden met netwerkdiensten, maar wil1