Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen steeds belangrijker. Diederik Klijn, sales manager Northern Europe bij Venafi, legt uit waarom het nodig en verstandig is alle gebruikte digitale certificaten en encryptiesleutels geautomatiseerd te gaan beheren.

Stock unsplash shamin

Bedrijven migreren in toenemende mate naar de cloud om flexibeler en sneller nieuwe IT-toepassingen en services te kunnen implementeren. Of om deel uit te maken van de platformeconomie waarin vraag en aanbod tegenwoordig 24/7 online worden gematched. Hoewel de toenemende cloudmigraties en platformen grote voordelen met zich meebrengen, zit er ook een groot nadeel aan, namelijk alle mogelijke beveiligingsrisico’s. Steeds meer apparaten en softwaretoepassingen communiceren tegenwoordig volledig autonoom met elkaar, dus zonder enige menselijke controle. Heeft u als IT- of securityverantwoordelijke nog wel voldoende grip en inzicht in het digitaal vertrouwen waarop al die automatische communicatie is gebaseerd?

Slow versus Fast IT

Behalve geplande migraties naar de cloud en implementaties van IoT, moeten IT-ers ook nog een toenemend aantal zogeheten ‘Fast-Track IT’-initiatieven in goede banen leiden. “Wij zien bij veel bedrijven dat de ‘Chief Marketing Officer’ (CMO) parallelle IT-projecten initieert, om leads te genereren of zich van concurrenten te onderscheiden”, zegt Klijn. CMO’s besteden de laatste jaren een groter deel van hun budget aan marketing gerelateerde IT-technologieën, vaak buiten de controle en gezichtsveld van traditionele IT-teams. “Daarnaast worden door DevOps-teams nieuwe ontwikkeltools ingezet, tijdelijke domeinnamen geregi­streerd en API’s met elkaar verbonden. Deze ‘Fast-Track IT’-ontwikkelingen zijn door traditionele ‘Slow IT’-afdelingen amper bij te houden, laat staan gestructureerd te managen. Ook die trend zorgt soms voor ongecontroleerde IT-projecten.”

Digitaal vertrouwen ondermijnen

Vergelijkbaar met de toename aan nepnieuws en misleidende campagnes om opinies te beïnvloeden, worden cybercriminelen slimmer in het misbruik maken van het digitaal vertrouwen tussen apparaten en software. Dat IT-security­verantwoordelijken daarop moeten letten, blijkt onder andere uit de onlangs ontdekte backdoor in de Asus Live Update-software en de mogelijke ZombieLoad aanvallen op Intel-chips.

Via dit soort zwakheden is onopgemerkt informatie te stelen, malware te installeren, of de controle van apparatuur of software over te nemen. Backdoors en bugs in software die toegang geven tot apparatuur ondermijnen in toenemende mate het digitaal vertrouwen, waarop zowel onze hele digitale infrastructuur als economie zijn gebaseerd.

Aandacht voor code signing certificaten

Een categorie die speciale aandacht verdient, is die van de ‘code-signing certificaten’. Dat zijn namelijk digitale handtekeningen voor het ondertekenen van vertrouwde software en andere programmacode. Dankzij dit type certificaten was de bekende Stuxnet-hack zo succesvol. Uit recent onderzoek van Venafi blijkt dat maar 28% van de 320 ondervraagde securityverantwoordelijken in Canada, Europa en de Verenigde Staten een procedure heeft voor het consistent beveiligen door middel van code signing certificaten. Toch maakt 50% van de respondenten zich zorgen dat cybercriminelen gestolen of op het darkweb verkochte nagemaakte code signing certificaten gaan misbruiken voor cyberaanvallen op hun organisatie.

Open Source Libraries

Een ander belangrijk aandachtspunt is het toenemend gebruik van open source libraries (OSL’s), voor het ontwikkelen van apps, programma’s en websites. Cyber­criminelen spelen in op het vertrouwen dat mensen in OSL’s hebben, door er malafide code aan toe te voegen. Met als mogelijk gevolg een sneeuwbaleffect voor de hele keten van softwareontwikkelingen. Onderzoek van Sonatype heeft al een toename van 55% aan OSL-aanvallen in 2018 onthuld. Het securityrisico gerelateerd aan OSL’s is aanzienlijk te verkleinen door code signing certificaten te gebruiken voor het authenticeren, alleen moeten die certificaten dan natuurlijk wel betrouwbaar zijn.

Beter beveiligen en monitoren

Venafi pleit al jaren voor het beter beveiligen en monitoren van alle machine-identiteiten, als oplossing tegen het toenemend aantal cyberaanvallen en security-incidenten. “Alle digitale communicatie tussen hardware, sensoren, API’s, Containers, Micro-Services, et cetera, is gebaseerd op certificaten en encryptiesleutels”, legt Klijn uit. “Toch weten maar weinig IT-ers en security­verantwoordelijken hoe een ‘Public Key Infrastructure’ (PKI) werkt en wie daarin welke rollen heeft. Met als gevolg onterechte schijnveiligheid. Net zoals er tijdelijke domeinen niet worden opgezegd na gebruik voor een marketingcampagne, worden er ook uitgegeven digitale certificaten en sleutels niet ingetrokken als medewerkers de organisatie verlaten.”

Lifecyclemanagement

Behalve continu monitoren tegen misbruik, is het tevens belangrijk te letten op het verlopen van certificaten. LinkedIn en Mozilla kwamen daarmee namelijk vorige maand nog negatief in het nieuws. Verder heeft nota bene de CEO van Ericsson eind vorig jaar zijn excuses aangeboden voor een verlopen certificaat, waardoor miljoenen mensen wereldwijd niet meer mobiel konden bellen. “Momenteel worden het gebruik en de verloopdata van certificaten bij veel organisaties nog in spreadsheets beheerd”, vervolgt Klijn. “Omdat het aantal al snel enkele (tien)duizenden betreft, is het verstandig een geautomatiseerde oplossing voor lifecyclemanagement van alle gebruikte certificaten en encryptiesleutels te implementeren.”

Lees ook
ENERGY STAR specificatie nu ook beschikbaar voor grote netwerkapparatuur

ENERGY STAR specificatie nu ook beschikbaar voor grote netwerkapparatuur

Het Amerikaanse Environmental Protection Agency (EPA) heeft de eerste ENERGY STAR specificatie voor grote netwerkapparatuur afgerond. De specificatie helpt datacenterbeheerders de meest energie-efficiënte apparatuur te selecteren, waardoor zij het energieverbruik en de impact op het milieu van hun datacenter kunnen terugdringen. Datacenters en bijbehorende...

The Datacenter Group behaalt veiligheidscertificaat PCI-DSS

The Datacenter Group behaalt veiligheidscertificaat PCI-DSS

The Datacenter Group heeft haar beide datacenters PCI-DSS gecertificeerd. De afkorting PCI-DSS staat voor Payment Card Industry Data Security Standard. De certificering garandeert klanten van het datacenter dat financiële transacties veilig worden uitgevoerd. Bedrijven die creditcards opslaan, verwerken en/of verzenden zijn verplicht om dit certificaat...

Gevoelige data in de cloud wordt lang niet altijd versleuteld

Gevoelige data in de cloud wordt lang niet altijd versleuteld

Het overgrote merendeel van de bedrijven verwacht in 2018 gevoelige of vertrouwelijke informatie op te slaan in de cloud. Tegelijkertijd besteden te weinig bedrijven voldoende aandacht aan het versleutelen van data in de cloud. Dit blijkt uit de 2016 Global Encryption and Key Management Trends Study van beveiligingsbedrijf Thales e-Security. In het...