9 populaire beveiligingsmethodes die niet werken

Verschillende oplossingen die je bedrijfsnetwerk veilig moeten maken, bieden meer problemen dan je zou verwachten. Deze 9 'oplossingen' geven een vals gevoel van veiligheid.

Niet alleen antivirusbedrijven FUD'en er flink op los om ict-beveiliging te hypen. Beveiligingsexperts leven maar in een lastige wereld vol met ontoereikende manieren om systemen en data te beschermen. De trieste waarheid is dat de meest gebruikte producten en technieken hun beloften niet nakomen, zodat we veel vaker worden blootgesteld aan kwaadaardige software dan we denken.

Traditionele beveiliging loopt altijd achter de zaken aan. Steeds worden afzonderlijke problemen van elke nieuwe generatie malware aangepakt. Totdat we het eeuwige blussen van kleine brandjes aanpakken - wat pas gebeurt als genoeg mensen een betere oplossing eisen - zetten we methodes in die ons niet zo goed beveiligen als we willen. Een gewaarschuwd mens telt voor twee, dus hier zijn 9 bekende methoden en software die hun werk toch niet zo goed doen als je verwacht.

Probleem 1: Antivirus ontdekt geen echte aanvallen
Voordat de antivirusscanners die we nu gebruiken eind jaren 80 verschenen, moesten we op ieder virus een aparte detectietool afschieten. En als er dan iets op de pc stond, konden we op zoek naar een verwijderingsprogrammaatje. John McAfee's ViruScan en VirexPC behoorden tot de eerste generatie volledige virusscanners waardoor we dit tijdperk van zelf speuren achter ons konden laten.

In het begin van de jaren 90 hadden we malwarescanners die betrouwbaar virussen, wormen en trojans detecteerden, waarvan er toen tientallen in omloop waren.We dachten toen allemaal dat computervirussen binnen een paar jaar tot het verleden zouden behoren dankzij nauwkeurige antivirussoftware.

Maar dat hadden we goed mis. Cybercriminelen gooien nu maandelijks honderdduizenden - zo niet miljoenen - slechte programmaatjes de wereld in. Dat zijn er zoveel dat antivirussoftware ze niet allemaal kan tegenhouden, ook al beweren de grootste producenten dat ze honderd procent van de meest voorkomende malware detecteren. Ze hebben vaak allerlei onderscheidingen en goede recencies om hun beweringen te staven, maar de werkelijkheid is anders.

Constant verschijnt er nieuwe malware die je virusscanner niet kan detecteren. En dat zijn echt geen zeldzame uitzonderingen. Als je ooit malwarecode aan een controlesite als VirusTotal hebt laten zien, dan weet je dat het vrij gebruikelijk is dat antivirus engines soms zelfs dagenlang uitbraken van nieuwe virussen missen. Zelfs weken later kunnen bepaalde wormen zich nog steeds langs een antiviruslaag wurmen.

Dat is niet zozeer de schuld van de producenten. Nu er letterlijk meer schadelijke bestanden zijn dan legitieme, hebben antivriusscanners het zwaar en dit schreeuwt om het whitelisten van applicaties. Antivirussoftware moet niet alleen de vingerafdrukken van honderden miljoenen geniepige programma's opslaan, maar ook nieuwe dreigingen die nog geen signatuur hebben ontdekken en ondertussen de snelheid van de pc niet vertragen.

Hoewel internet een te gevaarlijke omgeving is om zonder bescherming in rond te lopen, zijn antivirusprogramma's al lang niet meer zo betrouwbaar als producenten beweren.

Probleem 2: Firewalls bieden weinig bescherming
Firewalls zijn zelfs nog zinlozer aan het worden dan virusscanners. Waarom? Omdat de meeste malware gebruikers fopt zodat ze slechte programma's uitvoeren, waardoor de firewall omzeild wordt. Erger nog, de schadelijke software gebruikt poorten als 80 of 443 die altijd naar buiten toe openstaan op de firewall. De meeste mensen zijn beschermd door meerdere firewalls: op de router, op het systeem en via filterende applicaties. Maar dat isoleren van poorten werkt niet, want we struikelen evenzogoed over malware.

Probleem 3: Patchen is niet beter dan genezen
Het goed bijgewerkt houden van software was jarenlang het beste beveiligingsadvies. Alle software heeft kwetsbaarheden die gepatcht moeten worden zodra ze bekend worden. Er bestaan diverse patchbeheersystemen die perfecte updates beloven, maar in de praktijk kunnen ze deze belofte niet waarmaken.

Dat is vaak niet de schuld van deze programma's, maar van de systeembeheerders. Ze dichten bijvoorbeeld één lek, maar laten ondertussen dezelfde kwetsbaarheden in andere populaire doelwitten als Java, Adobe Reader en Flash openstaan. Of ze patchen niet op tijd. Of ze kijken niet waarom een bepaald percentage de laatste patch niet toepast zodat er altijd een groep kwetsbare gebruikers blijft. Zelfs in het gunstigste geval duurt het dagen tot weken voor een patch wordt uitgerold, terwijl de nieuwste malware in luttele minuten het internet opdendert.

Denk hier eens over na: als alle software geen kwetsbaarheden zou bevatten (en je dus nooit hoefde te patchen) zou dat volgens onderzoekers exploits met 10 tot 20 procent terugbrengen. Maar als je het aantal zwakke plekken verkleint waar ongepatchte gaten nodig voor zijn, gebruiken hackers andere manieren om trojans te verspreiden. Social engineering zou daarop verder toenemen en de totale vermindering van cybercrime zou een stuk lager zijn.

Probleem 4: Eindgebruikers worden niet goed geïnformeerd
Sinds de komst van computers op kantoor waarschuwen we gebruikers om niet op te starten met een diskette in de drive. En om onbekende macro's te weigeren. En om vooral toch niet te klikken op onbekende bijlages. Of tegenwoordig meestal om niet dat onbekende antivirusprogramma te starten. Toch werkt dat nog steeds niet.

Als onze waarschuwingen effect zouden hebben, maakten hackers nog maar weinig kans. Als je kijkt naar actuele ontwikkelingen, lijkt het erop dat beveilingskennis bij gebruikers lager is dan ooit. Social engineering, waarbij mensen ertoe worden verleid om schadelijke software te starten, is het grootste gevaar. De meeste gebruikers geven zomaar allerlei toestemmingen voor elke applicatie of social media-portal zonder na te denken over de gevolgen. De kans dat ze een doelwit worden voor hackers of via social engineering gemanipuleerd worden is daarom erg groot.

Dat is niet zozeer hun fout, maar van de mensen die opleidingstrajecten instellen. Onder hun leiding wordt voorlichting een geforceerde, vervelende taak. Het onderwijs over ict-beveiliging wordt lukraak bij elkaar gesmeten met een lesprogramma dat geen rekening houdt met recente ontwikkelingen en nieuwe aanvalsmethodes. Vraag je maar eens het volgende af: als nepantivirus dé manier is om gebruikers een trojan te laten installeren, vertelt jouw bedrijf dan zijn werknemers hoe het echte antivirusprogramma eruit ziet? En waarom niet?

Dit soort slechte toepassingen van onderwijstrajecten stelt ons ict-systeem bloot aan gevaar. Het duurt gemiddeld twee jaar voor de nieuwste bedreigingen verwerkt worden in het lesprogramma. Het kost cybercriminelen echter een minuut om een nieuwe aanvalsstrategie te gebruiken. Dus we lopen twee jaar achter op de slechteriken.

Weet je wat veel beter werkt? Veiligere software en betere standaardopties. Verwacht niet van gebruikers dat ze de juiste beslissingen nemen, maar bepaal van tevoren wat ze wel en niet kunnen. Macrovirussen vierden hoogtij totdat het automatisch draaien van macro's standaard werd geblokkeerd. Virussen in bijlages verminderden pas toen bijlages standaard werden uitgeschakeld en je stappen moest ondernemen om ze wel te draaien. Autorun usb-wormen namen pas af toen Microsoft een patch uitbracht waarmee autorun van usb-sticks standaard werd uitgezet.

Het voorlichten van eindgebruikers heeft nooit goed gewerkt omdat er maar één persoon nodig is die één foutje maakt om zo het hele bedrijf te infecteren. Al kun je de risico's wel verminderen met betere, doelgerichtere voorlichting.

Probleem 5: Sterke wachtwoorden beschermen je niet
Een vaak gehoord beveiligingsmantra is dat je sterke wachtwoorden moet gebruiken. Ze moeten veel tekens bevatten, complex zijn en vaak worden vervangen. Ondertussen maken mensen massaal klassieke wachtwoordfouten, zoals hetzelfde wachtwoord gebruiken bij verschillende toepassingen en websites, wachtwoorden in malafide 'authenticatieschermen' tikken en wachtwoorden via e-mails versturen. Sterker nog, een groot deel van de bevolking geeft het wachtwoord aan vreemde mensen op straat in ruil voor een euro. En ja, dit is vele malen getest door verschillende onderzoekers en het resultaat is verbazingwekkend genoeg steeds hetzelfde. Veel eindgebruikers malen nu eenmaal niet zoveel om hun wachtwoord.

Een groter probleem is dat het hackers ook niet veel uitmaakt of er een sterk of zwak wachtwoord wordt gebruikt. Als wachtwoorden eenmaal zijn buitgemaakt, kunnen hackers de wachtwoordenhash hergebruiken. Een hash is een hash en eentje van een sterk wachtwoord is niet minder bruikbaar dan die van een zwakker wachtwoord.

Probleem 6: Intrusion Detection legt de vinger niet op de zere plek
Intrusion Detection is de soort beveiliging waar je graag in wilt geloven. Je definieert een aantal aanvalspatronen en als het systeem deze gedragingen in het netwerkverkeer ziet, waarschuwt hij je direct of stopt hij de aanval. Maar zoals zoveel beveiligingsmethoden werkt dit niet zo mooi als beloofd.

Ten eerste is het onmogelijk om de patronen van alle aanvallen die worden uitgevoerd te verwerken in het systeem. De beste Intrusion Detection bevat honderden van deze vingerafdrukken, maar ondertussen worden er tienduizenden aanvallen uitgevoerd. Je zou tienduizenden patronen kunnen toevoegen, maar daar wordt het netwerkverkeer zo traag van dat het de moeite niet loont. Daarbij word je vervolgens zo overspoeld met false positives dat Intrusion Detection net zo wordt behandeld als de logfiles van firewalls: genegeerd en ongelezen.

Maar de grootste zwakte van deze beschermingsmethode ligt in het feit dat de meeste cybercriminelen gebruik maken van legitieme toegang. Hoe kan het systeem het verschil zien tussen een manager die een financiële database bekijkt en een aanvaller die via de computer van de manager hetzelfde doet? Dat kan simpelweg niet, want een systeem kan niet inschatten wat het doel van de gebruiker is. En dat is nou juist nodig wil Intrusion Detection alarm slaan over verdachte activiteiten in plaats van normaal zakelijk gebruik.

Probleem 7: PKI wordt verkeerd gebruikt
Public Key Infrastructure is wiskundig gezien prachtig. Maar het probleem is dat veel PKI's verkeerd worden geconfigureerd, onveilig zijn en genegeerd worden zelfs als ze prima werken.

In de afgelopen jaren zijn een aantal CA's gruwelijk gehackt. Cybercriminelen bemachtigden de beveilingskeurmerken die nog veel steviger beveiligd zouden moeten zijn dan andere informatie die deze bedrijven beschermd houden. Met deze sleutels konden ze rootcertificaten toekennen aan wat en wie ze maar wilden: hackers, malware en mogelijk zelfs overheden.

Maar zelfs als PKI prima functioneert, houden mensen zich er niet mee bezig. De meeste gebruikers die geconfronteerd worden met de waarschuwing dat iets niet te vertrouwen is, klikken doodleuk op 'Negeren'. Ze vinden het geen probleem om de waarschuwingen in de wind te slaan als dat inhoudt dat ze lekker door kunnen computeren.

Een deel van de oorzaak is dat websites en programma's PKI's brak hebben geïmplementeerd, waardoor deze meldingen dagelijks opduiken. Gebruikers die de waarschuwingen zouden opvolgen, sluiten een groot deel van legitieme online bezigheden uit, soms zelfs inclusief de remote toegang op de eigen werkplek. Browsermakers kunnen certificaatwaarschuwingen zo invoeren dat elke waarschuwing, terecht of niet, betekent dat de site niet te bezoeken is. Maar klanten zouden in opstand komen en overstappen op een alternatieve browser. Daarom wordt het verkeerd gebruikte PKI-systeem maar genegeerd.

Verschillende oplossingen die je bedrijfsnetwerk veilig moeten maken, bieden meer problemen dan je zou verwachten. Deze 9 'oplossingen' geven een vals gevoel van veiligheid.


Probleem 8: Hardwarebeveiliging is de droom van elke hacker
Het grote voordeel van beveiligingsappliances, een veiliger systeem, is uitgebleven. Door bijvoorbeeld een fysieke firewalltoepassing te gebruiken wordt het gebruik van het OS minder breed en is het systeem minder gevoelig voor inbraken dan volledige computers die een traditioneel besturingssysteem draaien. Maar in de tien jaar dat ik zulke dozen test, heb ik maar één keer een apparaat aangetroffen die geen bekende exploit bevatte. Beveiligingshardware is niets meer dan een besturingssysteem op een gesloten harde schijf of firmware en dit soort machines zijn een stuk moeilijker te patchen.

Onlangs voerde ik een aanvalstest uit bij een groot bedrijf en ontdekte dat netwerkcontrollers ongepatchte Apache- en OpenSSH-services hadden draaien. Beide gaten laten hackers eenvoudig als admin binnen bij het bedrijfsnetwerk via het openbare netwerk. Hun Intrusion Detection en firewall bevatten beide scripts waarmee al lang geleden is aangetoond dat authenticatieprotocollen simpel omzeild kunnen worden. En hun e-mailserver draaide een onveilige FTP-service die anonieme uploads toestaat.

Dit zijn geen ongebruikelijke veiligheidsgaten. Deze hardwarematige toepassingen bevatten net zo veel kwetsbaarheden als hun softwarematige collega's. Een bijkomend probleem is dat deze dozen moeilijker zijn bij te werken met de laatste patches en veel bedrijven doen dat dan ook niet. In plaats van een robuuste beveiligingslaag is dit de natte droom van elke hacker. Penetratietesten op omgevingen met veel hardwarematige beveiligingstoepassingen maakt het leven van een tester er een stuk makkelijker op.

Probleem 9: Sandboxen zijn zo lek als een mandje
Elke keer dat er een nieuwe sandbox wordt aangekondigd, kan ik het niet laten diep te zuchten. Sandboxen zijn bedoeld om het moeilijker - zo niet onmogelijk - te maken om exploits uit te buiten. In de praktijk trekt elke beveiligende sandbox de aandacht van hackers.

De bekendste sandboxes zijn die van Java en Google's browser Chrome. Beide systemen bevatten meer dan 100 kwetsbaarheden die directe toegang bieden tot het onderliggende systeem. Toch blijven ontwikkelaars dromen van een sandbox die alle exploits buitensluit en cybercriminaliteit voor eeuwig een halt toeroept.

Helaas is de meeste computerbeveiliging inderdaad 'beveiliging' en geen 'bescherming'. Het is jouw niet te benijden taak om al deze oplossingen af te schuimen op zoek naar de methode die veiligheidsrisico's het meest verkleinen. Deze lijst van 9 oplossingen (of liever: problemen) worden erg gehypet. Hoe je dat kunt zien? Simpel: ict'ers implementeren deze methodes als nooit tevoren en toch is cybercriminaliteit populairder dan ooit.