19 juli 2023
Hackers benutten steeds vaker onondekte kwetsbaarheden in software en systemen, waardoor zogenaamde ‘zero day-aanvallen’ steeds prominenter worden. Deze toenemende dreiging vraagt om gezamenlijke inspanning om zowel eigen security als het algemene belang te beschermen. “Het is cruciaal dat organisaties hun basisbeveiliging versterken en periodiek screenen op kwetsbaarheden. Deze maatregelen beschermen niet alleen de organisatie zelf, maar hebben ook invloed op de binnenlandse en internationale veiligheid”, stelt Orange Cyberdefense.
Noorwegen werd onlangs opgeschrikt door een zero day-cyberaanval op twaalf ministeries. Aanvallers maakten hierbij misbruik van een toen nog onbekende kwetsbaarheid in Ivanti Endpoint Manager Mobile. “Het is niet de eerste en zeker niet de laatste keer dat een land doelwit zal zijn van zo'n gerichte zero day-aanval”, benadrukt Jort Kollerie, securityspecialist bij Orange Cyberdefense.
Zero day-aanvallen zijn succesvolle pogingen van cybercriminelen om nog onbekende softwarekwetsbaarheden te ontdekken en ze uit te buiten. Aangezien niemand de zero-day kwetsbaarheden nog kent, zijn ze erg aantrekkelijk voor aanvallers. Aanvallers kunnen zo ongemerkt in systemen van organisaties rondkijken en mogelijk aanzienlijke schade aanrichten. Het onvoorspelbare karakter van deze aanvallen maakt ze zo gevaarlijk.
Een zero day-aanval heeft niet alleen impact op de getroffen organisatie, maar kan ook een veel grotere groep slachtoffers creëren als er niet snel en accuraat wordt gehandeld. “Het risico bestaat dat bij ondoordachte informatie-uitwisseling de kwetsbaarheid ineens onder een grotere groep hackers bekend wordt en het dus nog veel meer schade kan aanrichten. De Noorse overheid heeft in deze zaak goed gehandeld door direct met de leverancier te schakelen. Zo konden zij snel een patch wereldwijd beschikbaar maken en risico’s op herhaling bij andere organisaties inperken. Dit benadrukt het belang van verantwoorde informatie-uitwisseling en samenwerking”, aldus Kollerie.
Kollerie onderstreept ook het belang van het regelmatig doorlichten van de eigen security en infrastructuur. Ethische hackers kunnen door middel van pentests of red teaming kwetbaarheden opsporen, waaronder zero day-kwetsbaarheden, voordat kwaadwillenden dit doen. Wordt zo’n kwetsbaarheid gevonden, kunnen leveranciers die vervolgens tijdig patchen voordat er misbruik van kan worden gemaakt en wordt de kwetsbaarheid gemeld bij de CVE (Common Vulnerabilities and Exposures). Deze proactieve aanpak beschermt niet alleen de eigen organisatie, maar draagt ook bij aan de veiligheid van de bredere samenleving.
Wel is het essentieel dat die opgedane inzichten en patches vervolgens zo snel mogelijk ‘landen’ bij andere organisaties en wordt opgepakt. Daar ligt volgens het rapport Cy-Xplorer 2023 van Orange Cyberdefense nog veel ruimte voor verbetering. “Onze gegevens tonen aan dat bedrijven nog steeds gemiddeld 215 dagen nodig hebben om een gemelde kwetsbaarheid te repareren. Voor kritieke kwetsbaarheden is dat zelfs meer dan 6 maanden. Hierdoor lopen organisaties onnodig risico en biedt het aanvallers een aanzienlijk venster voor misbruik”, aldus Kollerie
Internationale cybersecurity- en dataprivacystandaarden helpen om een gemeenschappelijk kader te creëren voor betere beveiliging en bescherming van informatie. “NIS2 is in die zin goed nieuws. Een van de punten uit deze richtlijn is een solide patchbeleid. Het geeft organisaties een onomwonden argument om dat aspect op orde te brengen.” Aan de andere kant blijft volgens hem ook met NIS2 waakzaamheid geboden. “Wanneer organisaties hun basisbeveiliging versterken, wordt het opsporen van zero-day kwetsbaarheden voor cybercriminelen aantrekkelijker om alsnog binnen te komen.”