Wat is een zero-day?
Je komt in de media en in cyber alerts regelmatig termen als ‘zero-day’, ‘kwetsbaarheid’. 'PoC' en ‘exploit’ tegen. Termen waarvan de betekenis mogelijk niet direct duidelijk zijn. Wat houden ze precies in? En nog belangrijker, wat kun je als organisatie voor maatregelen treffen? De termen zijn gerelateerd aan kwetsbaarheden. Graag lichten we de begrippen hieronder toe.
Enkele termen uitgelegd
-
Kwetsbaarheid
Een kwetsbaarheid is een foutje of afwijking (bug) in de programmeercode van een stuk software die misbruikt kan worden om de functionaliteit ervan aan te passen of te saboteren. Een kwetsbaarheid kan ook ontstaan door een configuratiefout van bestaande software.
-
Exploit en payload
Om de kwetsbaarheid te misbruiken en uit te buiten zal men eerst onderzoek moeten doen naar de werking van de software en de kwetsbaarheid. Vervolgens zal de kwaadwillende nieuwe programmeercode schrijven die de kwetsbaarheid uitbuit: 'exploit' wordt dit genoemd.
Tot slot zal de kwaadwillende software ontwikkelen die helpt om het uiteindelijke doel te bereiken. Dit kan bijvoorbeeld het stelen van data zijn, het versleutelen van bestanden of het spioneren van bedrijfsgeheimen. Dit laatste stuk software wordt de 'payload' genoemd. -
Proof of Concept-code
Proof-of-Concept (PoC) is een term die veelal wordt gebruikt om de praktische haalbaarheid en effect van een kwetsbaarheid, beveiligingsmaatregel of aanval aan te tonen. PoC-code wordt doorgaans geschreven door security-onderzoekers, ontwikkelaars of vendoren. Securityprofessionals gebruiken PoC-code bijvoorbeeld om aanvallen te simuleren, kwetsbaarheden te identificeren en deze te patchen.
-
Zero-day exploit
Wanneer PoC-code echter wordt gepubliceerd vóórdat een beveiligingslek is ontdekt, dan is er sprake van een 'zero-day exploit'. Het uitbrengen van een PoC vóórdat er een beveiligingsupdate is, maakt de betreffende software kwetsbaar en ook gewild doelwit voor kwaadwillenden. Het uitbrengen van een PoC verhoogt vaak het risico op mogelijk (grootschalig) misbruik.
Beveiligingslekken en kwetsbaarheden
Het Digital Trust Center (DTC) publiceert nieuwsberichten als er beveiligingslekken of kwetsbaarheden in software gevonden zijn die een ernstige bedreiging vormen voor ondernemend Nederland. Voorbeelden van dit soort cyber alerts vind je terug in dit nieuwsoverzicht. Securityprofessionals vullen deze lijst met cyber alerts aan op de DTC Community. Heb jij dit soort berichten nodig voor de cyberveiligheid van je bedrijf?
Een zero-day (0day) kwetsbaarheid
Een zero-day kwetsbaarheid is een zwakke plek in software of hardware die nog niet bij de ontwikkelaars ervan bekend is. Omdat de ontwikkelaars of fabrikant er nog geen weet van hebben, is er dus ook nog geen beveiligingsoplossing voor. De naam komt voort uit het feit dat het securityteam “nul-dagen” de tijd heeft gehad om te werken aan een beveiligingsupdate om de problemen te verhelpen.
Waar worden zero-day kwetsbaarheden voor gebruikt?
Een zero-day kwetsbaarheid kan worden gebruikt om ongezien binnen te dringen of systemen waar de betreffende software op is geïnstalleerd volledig over te nemen. Pas als de zero-day ontdekt wordt door de fabrikant, moet er een beveiligingsupdate voor worden gemaakt. Hier kan soms flink wat tijd overheen gaan. In de tussentijd kunnen kwaadwillenden die misbruik maken van deze kwetsbaarheid vrijuit hun gang gaan.
Zero-days zijn enorm gevaarlijk en voor professionele kwaadwillenden erg waardevol. Er is bekend dat de handel in zero-day kwetsbaarheden al jaren plaatsvindt en er geregeld grof geld neergelegd wordt voor nog niet ontdekte kwetsbaarheden in veelgebruikte software.
Welke maatregelen kun je treffen?
Gerichte aanvallen via zero-day kwetsbaarheden worden doorgaans alleen gebruikt tegen organisaties met zeer veel gevoelige data of specifiek intellectueel eigendom. Voor de gemiddelde ondernemer - en dus het grootste gedeelte van de bedrijven in Nederland - hebben zero-day kwetsbaarheden daarom een beperkt risico. Daarnaast is het daadwerkelijk onderzoeken en achterhalen van zero-day kwetsbaarheden een zeer specialistisch werk en kost veel inspanning, tijd en geld. Voor cybercriminelen, fabrikanten, inlichtingendiensten en vitale organisaties of bedrijven met zeer gevoelig data, zijn zero-day kwetsbaarheden echter wel een zeer belangrijk aandachtspunt. Ondanks dat ondernemingen zelf vrij weinig maatregelen kunnen treffen tegen zero-day kwetsbaarheden, hieronder enkele algemene adviezen die op dit gebied een preventieve bijdrage kunnen leveren:
-
Stel actieve monitoring in
Het daadwerkelijk afslaan van een aanval middels een zero-day is waarschijnlijk niet mogelijk maar zorg er in ieder geval voor dat je actief monitort op afwijkingen om eventueel misbruik tijdig te kunnen detecteren.
-
Houd loginformatie bij
Net als het monitoren van security events is ook het zeer belangrijk om na een incident te kunnen achterhalen wat er precies is gebeurd. Dit is mogelijk door gebeurtenissen en gebruikersacties gedetailleerd te analyseren aan de hand van loginformatie.
-
Installeer updates tegen beveiligingslekken
Fabrikanten brengen updates uit voor hun software om nieuwe functionaliteiten toe te voegen, maar ook om fouten op te lossen en beveiligingslekken te dichten. Door het installeren van deze updates worden ook eventuele nieuw ontdekte zero-day kwetsbaarheden opgelost.
-
Zet EOL-producten of -diensten uit
De term End-of-Life betekent het moment waarvan de fabrikant heeft aangegeven dat het product niet meer ondersteund en onderhouden wordt. Wanneer een product dit punt bereikt kan dit risico's met zich meebrengen, zeker in een tijd waarin steeds meer producten met het internet verbonden zijn. Voor deze producten worden geen beveiligingsupdates meer gemaakt en zijn daardoor gevoelig voor zero-day kwetsbaarheden.
-
Maak gebruik van een firewall
Een firewall kan een apparaat zijn, of een programma dat op je apparaat draait. Een firewall heeft als doel om binnenkomende en uitgaande communicatie tussen twee delen van een netwerk te controleren. Daarbij is het belangrijk om je firewall goed te (laten) onderhouden. De regels die je hebt ingesteld, moeten met regelmaat gecontroleerd worden op een goede werking. Ook de software van de firewall - de zogenaamde firmware - moet met regelmaat geüpdatet worden om de nieuwste aanvalsmethoden te kunnen herkennen.
-
Voer pentests uit
Bij een pentest probeert een geautoriseerde beveiligingsspecialist (de pentester) de digitale beveiliging van jouw onderneming te omzeilen of te doorbreken op dezelfde manier als een echte cybercrimineel dit zou doen. Dit geeft inzicht in de effectiviteit van je digitale beveiliging en kan mogelijke risico's en kwetsbaarheden aan het licht brengen.
Pentest bij DTC legt 'zero-day' kwetsbaarheid bloot
Het Digital Trust Center (DTC) liet onlangs een pentest uitvoeren op de IT-systemen die zij voor notificatiedienstverlening gebruikt. Tot ieders verrassing stuitte de pentester op een ‘zero-day’ (bij de fabrikant nog niet bekende) kwetsbaarheid in een ticketsysteem dat door veel securityteams gebruikt wordt. Het DTC doet verslag van deze ontdekking in een ‘ondernemersverhaal’.