Hackers benutten steeds vaker onontdekte kwetsbaarheden in software en systemen, waardoor zogenaamde ‘zeroday-aanvallen’ steeds prominenter worden. Deze toenemende dreiging vraagt om gezamenlijke inspanning om zowel eigen security als het algemene belang te beschermen. “Het is cruciaal dat organisaties hun basisbeveiliging versterken en periodiek screenen op kwetsbaarheden. Deze maatregelen beschermen niet alleen de organisatie zelf, maar hebben ook invloed op de binnenlandse en internationale veiligheid”, stelt Orange Cyberdefense.
Noorwegen werd onlangs opgeschrikt door een zeroday-cyberaanval op twaalf ministeries. Aanvallers maakten hierbij misbruik van een toen nog onbekende kwetsbaarheid in Ivanti Endpoint Manager Mobile. “Het is niet de eerste en zeker niet de laatste keer dat een land doelwit zal zijn van zo’n gerichte zeroday-aanval”, benadrukt Jort Kollerie, securityspecialist bij Orange Cyberdefense.
Onvoorspelbaar karakter
Zeroday-aanvallen zijn succesvolle pogingen van cybercriminelen om nog onbekende softwarekwetsbaarheden te ontdekken en ze uit te buiten. Aangezien niemand de zeroday-kwetsbaarheden nog kent, zijn ze erg aantrekkelijk voor aanvallers. Zij kunnen zo ongemerkt in systemen van organisaties rondkijken en mogelijk aanzienlijke schade aanrichten. Het onvoorspelbare karakter van deze aanvallen maakt ze zo gevaarlijk.
Een zeroday-aanval heeft niet alleen impact op de getroffen organisatie, maar kan ook een veel grotere groep slachtoffers creëren als er niet snel en accuraat wordt gehandeld. Kollerie benadrukt het belang van verantwoorde informatie-uitwisseling en samenwerking. “Het risico bestaat dat bij ondoordachte informatie-uitwisseling de kwetsbaarheid ineens onder een grotere groep hackers bekend wordt en het dus nog veel meer schade kan aanrichten. De Noorse overheid heeft in deze zaak goed gehandeld door direct met de leverancier te schakelen. Zo konden zij snel een patch wereldwijd beschikbaar maken en risico’s op herhaling bij andere organisaties inperken.”
Pentesting en red teaming
Kollerie onderstreept ook het belang van het regelmatig doorlichten van de eigen security en infrastructuur. Ethische hackers kunnen door middel van pentests of red teaming kwetsbaarheden opsporen, waaronder zeroday-kwetsbaarheden, voordat kwaadwillenden dit doen. Wordt zo’n kwetsbaarheid gevonden, dan kunnen leveranciers die vervolgens tijdig patchen voordat hackers er misbruik van kunnen maken. Ook wordt de kwetsbaarheid gemeld bij de CVE (Common Vulnerabilities and Exposures). Deze proactieve aanpak beschermt niet alleen de eigen organisatie, maar draagt ook bij aan de veiligheid van de bredere samenleving.
Wel is het essentieel dat die opgedane inzichten en patches vervolgens zo snel mogelijk ‘landen’ bij andere organisaties en worden opgepakt. Daar ligt volgens het rapport Cy-Xplorer 2023 van Orange Cyberdefense nog veel ruimte voor verbetering. “Onze gegevens tonen aan dat bedrijven nog steeds gemiddeld 215 dagen nodig hebben om een gemelde kwetsbaarheid te repareren. Zelfs voor kritieke kwetsbaarheden is dat meer dan 6 maanden. Hierdoor lopen organisaties onnodig risico en biedt het aanvallers een aanzienlijk venster voor misbruik”, aldus Kollerie.
Internationale cybersecurity- en dataprivacystandaarden helpen om een gemeenschappelijk kader te creëren voor betere beveiliging en bescherming van informatie. “NIS2 is in die zin goed nieuws. Een van de punten uit deze richtlijn is een solide patchbeleid. Het geeft organisaties een onomwonden argument om dat aspect op orde te brengen.” Aan de andere kant blijft volgens hem ook met NIS2 waakzaamheid geboden. “Wanneer organisaties hun basisbeveiliging versterken, wordt het opsporen van zeroday-kwetsbaarheden voor cybercriminelen aantrekkelijker om alsnog binnen te komen.”
Kennis delen en solide patchbeleid
In het licht van deze ontwikkelingen pleit Kollerie voor verhoogde kennisdeling. “Niemand concurreert op security. Iedere organisatie is een bron van securitykennis en -inzichten en het delen van die kennis en inzichten is van onschatbare waarde voor ons allen.” Hij benadrukt ook dat het patchbeleid eveneens onder de loep moet worden genomen om het risico van onnodige slachtoffers te minimaliseren. “Door opgeloste kwetsbaarheden zo snel mogelijk te patchen, verklein je het risico onnodig slachtoffer te worden van wat eigenlijk geen zeroday-kwetsbaarheid meer is.”
Al met al redenen genoeg voor organisaties om verantwoordelijkheid te nemen. “Cyberveiligheid is een gedeelde verantwoordelijkheid, waarbij iedere organisatie een verschil kan maken – niet alleen voor zichzelf, maar voor de gehele digitale gemeenschap.”