Afbeelding van zero-day.

Zero-day kwetsbaarheden, waarom is er altijd ophef over?

Wat zijn zero-day kwetsbaarheden? Waarom is er altijd zo’n ophef over en wat kan je er als organisatie aan doen? In dit artikel geven wij antwoord op deze vragen.

Wat zijn zero-day kwetsbaarheden?

Het begrip zero-day verwijst naar de tijd die een fabrikant heeft gehad tussen het bekend worden van een kwetsbaarheid en het oplossen ervan. De benaming wordt gebruikt voor pas ontdekte, vaak ernstige, kwetsbaarheden waar de fabrikant nog geen oplossing voor heeft.

Ophef

De ophef bij zero-day kwetsbaarheden komt voort uit het risico dat de net bekende kwetsbaarheid al langere tijd door kwaadwillende kan zijn misbruikt en daardoor ongemerkt in je systemen kan zijn binnengedrongen. Bovendien kan het misbruik van een dergelijke kwetsbaarheid vaak niet (of slecht) gedetecteerd worden. Een droom voor cybercriminelen, een nachtmerrie voor organisaties. Voorkomen van zero-day kwetsbaarheden kan niet. Maar wat kan dan wel?

Detectie en response

Hoewel het misbruik van een zero-day kwetsbaarheid niet altijd te detecteren is (doordat de aanvalsmethode niet bekend is), zal een aanvaller zich proberen te nestelen in het netwerk om er later malware/ransomware te installeren en/of gegevens te stelen. Deze activiteiten zijn vaak wel op te merken als er voldoende detectie- en responsecapaciteiten zijn ingericht, waardoor ze tot een security incident zouden moeten leiden. Denk bijvoorbeeld aan detectie van afwijkingen in configuraties en/of afwijkingen in gedrag van applicaties of (beheer)accounts. Hierdoor kan je zelf misschien al het kwetsbare component ontdekken en passende actie ondernemen.

Vulnerability management

Op het moment dat de zero-day kwetsbaarheid in jouw systemen bekend wordt, is het direct tijd voor vulnerability management. Als eerste moet er onderzocht worden of er, naast patching, ook andere zaken zijn, die je kunt doen om misbruik tegen te gaan, of om het tenminste te kunnen detecteren. Op die manier kun je verdere schade wellicht voorkomen.

Ten tweede zal je moeten controleren of het misbruik al heeft plaatsgevonden. Het is goed mogelijk dat de aanvaller een zogenaamde backdoor op het systeem heeft geïnstalleerd, waardoor toegang behouden blijft ook nadat een patch is geïnstalleerd. Onderzoek naar (mogelijk) misbruik vereist een goed inzicht in de IT-infrastructuur en de mogelijkheid om terug te kijken in verschillende log bestanden. Het belang van basismaatregelen blijft!

Net zo belangrijk

Naast een juiste reactie op het bekend worden van de kwetsbaarheid, is het ook belangrijk om alle overige fundamentele veiligheidsmaatregelen op orde te hebben. Wanneer je de basis op orde hebt, maak je het de aanvaller zo moeilijk mogelijk om verder je organisatie binnen te dringen. Ook zullen de basismaatregelen de kans op detectie vergroten. Het doel is namelijk om ervoor te zorgen dat een kwetsbaarheid in je verdediging niet direct leidt tot blootstelling van al je systemen. Hier komen concepten als zero-trust en defence in depth om de hoek kijken. Om je organisatie weerbaar te maken én houden tegen deze zero-day kwetsbaarheden, moet je weten hoe je georganiseerd bent en wat je in huis hebt, en dat ook beschermen. Daarvoor moet je niet alleen mogelijkheden hebben om aanvallers te kunnen detecteren (dus ook aan de binnenkant van je netwerk), maar je moet ook adequaat kunnen reageren op het moment dat je iets detecteert. En als het dan toch misgaat, zorg in ieder geval dat je het weer kan herstellen.

Bart Dijkman Dulkes
security expert

Ben je geïnteresseerd in informatiebeveiliging en op zoek naar een nieuwe uitdaging? Neem dan zo snel mogelijk contact met ons op om te horen wat Ventus jou kan bieden.
-> Bekijk de mogelijkheden voor professionals

Wil je als opdrachtgever weten welke expertise Ventus op het gebied van informatiebeveiliging in huis heeft? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken.
-> Bekijk de mogelijkheden voor opdrachtgevers