Het internet wordt gescand!
Het internet bestaat uit verschillende apparaten die met elkaar in verbinding staan. Deze apparaten hebben elk een uniek nummer nodig om met elkaar kunnen communiceren; een IP-adres.
Bedrijven hebben vaak meerdere unieke IP-adressen in gebruik. Zo opereren verschillende bedrijfsapplicaties zoals een website, een VPN-oplossing of een mailserver van één of meerdere uniek IP-adressen. Er zijn verschillende partijen die continu alle IP-adressen van het internet scannen. Van gevonden apparaten wordt informatie verzameld waaruit blijkt wat voor apparaat het is, op welke softwareversie het draait en andere relevante informatie.
Wat is het risico van al dat scannen?
Het scannen van IP-adressen op het internet brengt in eerst instantie geen directe schade toe maar het feit dat partijen deze informatie opslaan en paraat hebben brengt een risico met zich mee. Zo vinden kwaadwillenden deze informatie erg interessant om snel te kunnen toe slaan wanneer er een beveiligingslek is ontdekt in een bepaald type apparaat of een specifieke softwareversie. Met een simpele zoekopdracht in de opgebouwde database kan een cybercrimineel heel gericht bepaalde IP-adressen aanvallen.
Wat kun je er aan doen?
Het puur en alleen scannen van IP-adressen is in de meeste gevallen niet strafbaar. Wees je bewust van het risico dat kwetsbaarheden in applicaties en software snel en geautomatiseerd misbruikt kunnen worden. Het argument “mijn bedrijf is geen aantrekkelijk doelwit voor hackers” gaat, zoals wel vaker, hier dus niet op. Daarom raden we aan om de berichten over ernstige beveiligingslekken van veel gebruikte zakelijke applicaties in de gaten te houden en snel te updaten wanneer je kwetsbare softwareversies gebruikt.
Zorg daarnaast dat je zo min mogelijk apparaten onnodig benaderbaar maakt via het internet. Denk hier bijvoorbeeld aan beheerinterfaces zoals die van een NAS of firewall. Er is meestal geen goede reden waarom deze voor iedereen benaderbaar moeten zijn op het internet. Beperk dit bijvoorbeeld alleen tot een aantal vertrouwde IP-adressen. Op deze manier komen ze ook niet naar voren in een scan.
Er zijn firewalls die scanactiviteiten kunnen herkennen en blokkeren. Dit biedt geen garantie dat je niet gescand kan worden, maar deze firewalls kunnen de scanactiviteiten wel verminderen.
Scannen niet altijd slecht
Het scannen van het internet en dan met name de IP-adressen van je organisatie, hoeft niet altijd slecht te zijn. We raden je aan om zelf ook periodiek de IP-adressen van je organisatie te scannen op bijvoorbeeld kwetsbaarheden of configuratiefouten zodat je hier tijdig op kunt acteren. Je kunt hier zelf iets voor inrichten maar je kunt ook de hulp inroepen van een IT-dienstverlener of een cybersecuritybedrijf
Daarnaast wordt het internet gelukkig ook gescand door cyberonderzoekers met goede intenties. Deze onderzoekers scannen zelf of kijken naar publiek beschikbare scaninformatie en proberen bedrijven te waarschuwen (‘notificeren’) over een gevonden kwetsbaarheid zodat bedrijven hier snel iets aan kunnen doen. Eén van de partijen die scant naar kwetsbaarheden is het Dutch Institute for Vulnerability Disclosure (DIVD). Het DIVD scant naar kwetsbaarheden die ze ofwel zelf hebben ontdekt, ofwel publiekelijk bekend zijn. Bij IP-adressen met kwetsbare apparaten proberen ze de eigenaar te achterhalen en deze te informeren. Of ze delen deze bevindingen met een organisatie waar de eigenaar van het IP-adres bij aangesloten is.
Omdat sommige firewalls scanactiviteiten herkennen en eventueel blokkeren, kan het nodig zijn om vertrouwde scanactiviteiten specifiek toe te staan. Dit geldt bijvoorbeeld voor periodieke scans die je zelf laat uitvoeren, maar het kan ook interessant zijn om IP-adressen van partijen met goede intenties zoals het DIVD toe te staan. DIVD heeft onderaan in de footer van haar website aangegeven met welke IP-adressen het scant.
DTC waarschuwt bedrijven bij ernstige cyberdreigingen
Het DTC ontvangt informatie vanuit samenwerkingen met schakelorganisaties en cyberonderzoekers en scant zelf niet. Als het DTC informatie ontvangt waaruit blijkt dat er ernstige cyberdreigingen zijn voor specifieke bedrijven, dan 'notificeert' het deze bedrijven. Telefonisch of per e-mail wordt er een waarschuwing gegeven over de kwetsbaarheid en een advies hoe het op te lossen is. Zo heeft het DTC in 2023 ruim 140.000 bedrijven gewaarschuwd. Aanleiding hiertoe waren 135 verschillende cyberincidenten. Deze cyberincidenten bestaan veelal uit kwetsbaarheden (bijvoorbeeld een beveiligingslek, configuratiefout of gestolen inloggegevens) die geconstateerd zijn bij met het internet verbonden apparaten of software. Lees over de DTC Notificatiedienst.
Security.txt voor het ontvangen van meldingen
Wanneer cyberonderzoekers met goede bedoelingen bij jouw onderneming een kwetsbaarheid ontdekken, dan is het belangrijk dat ze dit meteen kunnen melden bij de juiste persoon of afdeling. De voorgenomen internetstandaard security.txt kan daarbij helpen. Lees meer over het nut van deze internetstandaard en hoe je security.txt inricht.