Het heeft er alle schijn van, dat Sony de inbraak op hun systemen vergoeilijkend omschrijft als een ongewilde plaatsing (in het Engels injection, soms is het moeilijk te vertalen) van een “communication tool” op een applicatie server via een kwetsbaarheid. Ze hebben simpelweg een verandering doorgevoerd, die een achterdeur openzette. Dit past precies in de trend zoals die omschreven wordt in het recente Verizon Data Breach Investigations Report (
DBIR): Het openen van “onzichtbare” achterdeuren op servers door hackers en malware als de meest gebruikte manier om in te breken.
Oftewel, de zelfde technieken die scriptkiddies in de jaren 90 gebruikten om servers over te nemen, worden vandaag de dag nog steeds gebruikt om in te breken. En ook de zelfde eenvoudige controlemaatregelen die destijds gebruikt werden om inbraken te detecteren, kunnen dat vandaag doen. Het Verizon rapport noemt dit “essential controls” toepassen.
Bij de introductie van de eerste netwerk en host based intrusion detection systemen lag de voornaamste waarde in de detectie van de “onzichtbare” inbraak. Het was al duidelijk, dat conventionele firewalls noch signature gebaseerde anti virus programmatuur voldoende bescherming bood. Tegelijkertijd ontstonden er vergelijkbare producten die de integriteit van files controleerden.
Een goed en universeel toepasbare technologie, zo leek het. Hiervoor moest wel het schaalprobleem opgelost worden. Want niet alleen hackers en malware veroorzaken veranderingen in bestanden, maar elke, dus ook legale, verandering geeft een signaal. In eerste instantie werd dit opgelost, door alleen kritische bestanden, systemen en configuraties te monitoren. Helaas heeft de focus op ITIL er toe geleid, dat veel van dit soort gereedschap slechts gebruikt wordt om te controleren of changes goed doorgevoerd worden met als belangrijkste drijfveer de beschikbaarheid van systemen en “compliance”. Weten of je server “geowned” was, werd van minder belang…
Het is tijd om verder te kijken dan de minimum vereiste beveiligingsmaatregelen om waardevolle informatie te beschermen en opnieuw kennis te nemen van betrouwbare standaard maaatregelen als
ï hardening van systemen
ï begrip van en regelmatige controle van logs
ï controle op ongeautoriseerde changes
Juiste toepassing van enkele essentiële controles, juist geïmplementeerd en gecontroleerd is een belangrijke voorwaarde voor een goede beveiliging. Daarna kan gedacht worden aan mooie nieuwe technologie als bijvoorbeeld SIEM, maar niet als de heilige graal die alle problemen zal signaleren en wegnemen.