InfoSec – Bedreigingen wisselen per sector

De cracker is tegenwoordig een professional, die mikt op specifieke markten.

De cracker is tegenwoordig een professional, die mikt op specifieke markten.

De technische bedreigingen voor het bedrijfsleven zijn niet langer te vatten in een universele top tien. Verschillende sorteringen en lijsten zijn dan ook nodig. Dit stelt security-expert David Litchfield, die spreekt op de InfoSecurity-beurs.

Bedrijven specialiseren zich, en malware-makers dus ook. Bekende security-hulpmiddelen als een overzichtelijke top tien van technische bedreigingen (threats) zijn dan ook niet langer van toepassing. Dit zegt beveiligingsdeskundige David Litchfield die spreekt op aanstaande InfoSecurity 2008 die op 12 en 13 november plaatsvindt in Utrecht.

Anders indelen

Litchfield deelt dreigingen dan ook in naar bedrijfssector en maant organisaties dan ook zó naar hun security te kijken. "Voor de overheid zijn hele andere zaken belangrijk dan voor bijvoorbeeld banken. Spionage staat voor overheden hoog op de lijst van bedreigingen, terwijl dat voor bedrijven veel minder van belang is."

"Industriële spionage speelt bij beide een kleine rol, maar op een heel andere manier. Kwaadwillenden hacken bij banken op het niveau van de gebruikte software, terwijl tussen overheden het speelt op een lager, fundamenteel niveau." Litchfield noemt het ‘overheidsrisico' van in het buitenland geproduceerde netwerkapparatuur met ingebouwde achterdeurtjes. "Dergelijke Trojanized hardware is geen zorg voor bedrijven." Gaten en verkeerde instellingen in software zijn veel belangrijker.

 "Ik kijk in mijn presentatie naar de overheidssector, de financiële wereld, handel (retail) en eventueel ook online social-networking. Die laatste haal ik er misschien uit, hoewel het wel een erg duidelijk ander geval is. Dus met hele andere bedreigingen."

Ook overeenkomsten

Tv-presentator David Letterman hoeft voor security niet aan te komen met een top tien-lijst.

Tv-presentator David Letterman hoeft voor security niet aan te komen met een top tien-lijst.

Naast verschillen zijn er natuurlijk nog altijd overeenkomsten. Het gaat er om wat de ernst is van elke bedreiging; die kunnen voor dezelfde bedreigingen juist verschillen naar gelang de organisatie en diens activiteit. "Zwakke plekken in applicaties zijn voor iedereen een probleem. Denk aan SQL-injecties, buffer overflows in serversoftware en cross-site scripting."

Daarnaast noemt Litchfield voor clientsoftware het risico van malware in documenten en het belang van security van het besturingssysteem (voor client én server). "Voor de zaken die ik aansnijdt, zit negentig procent van de bedreigingen aan de serverkant. Bij de overheid is de client echter ook van belang." Litchfield schat de threat-verhouding tussen server en client daar op zestig en veertig procent.

Security-factoren

De security van besturingssystemen bepaalt voor een groot deel je algehele beveiliging, maar is niet de voornaamste factor. "Het gaat om zaken als de toegang tot je netwerk, authenticatie voor je applicaties, hoe je de bedrijfscontinuïteit en -herstel hebt geregeld, en hoe je je data beschermt; de toegang daartoe en de encryptie ervan."

Litchfield noemt nog een opvallende risicofactor: beveiligingssoftware. "Van antivirus tot indringerspreventie (ips). McAfee, Symantec, alle grote leveranciers hebben de afgelopen jaren grote gaten in hun producten gehad." Daarmee is juist de beveiliging een algemeen aanwezig doelwit voor kwaadwillenden. "Ik gebruik zelf op mijn pc ook geen antivirus. Dat adviseer ik klanten overigens níet. Ik ben een security-professional,dus ik weet wat ik doe."