Q&A met beveiligingsexperts van ESET

Waarom blokkeren jullie soms websites die helemaal geen malware of spam zijn, zoals Viagogo.nl ? Ja mensen betalen er misschien teveel voor hun tickets, maar dat is niet verboden. Dan kun je marktplaats.nl ook gaan blokkeren...

Hebben jullie een monitortan?

quote:

Op maandag 27 januari 2020 23:05 schreef raptorix het volgende:
Hoi, ik ben zelf werkzaam als devops engineer, en daarmee is security voor mij natuurlijk ook een belangrijk onderdeel. Nu mijn vraag, deze is redelijk actueel gezien het Citrix probleem. Zou dit soort software niet structureel anders moeten werken? Ik heb hier zelf wel een idee over, mijn idee is als volgt:

Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.

Maar hoe zorg je er dan voor dat die service zelf veilig is? Wat nou als die er juist voor zorgt dat je een endpoint Kan overnemen?

En hoe weet je wat "een veilige versie" is? Wie weet zitten er nog andere kritieke kwetsbaarheden in bijvoorbeeld Citrix die al wel bekend zijn bij sommige mensen maar nog niet opgelost?

Of is het meer dat je gewoon simpelweg de service uit zet als hij niet up to date is? Werkt vanaf een techneuten perspectief waarschijnlijk prima, tot er redenen zijn dat je niet kan upgraden maar de sales afdeling toch echt vanaf meerdere plaatsen in Nederland moet kunnen inloggen. Op dat moment wegen de misgelopen kosten zwaarder mee dan een eventueel risico om gehackt te worden.

quote:

Op maandag 27 januari 2020 23:18 schreef raptorix het volgende:

[..]

Lachwekkend antwoord en een security expert onwaardig,er heeft weken tussen de vulnerability gezeten en de oplossingen, zeker voor dit type exploits.

Tja, ik zeg niet dat ik het eens ben met de gang van zaken, maar dit is nu eenmaal hoe de security industrie op dit moment werkt. Ze hadden prima binnen een week een patch uit kunnen brengen die voor de meeste mensen gewerkt had, maar ze hebben bijvoorbeeld ook speciale cloud versies, die moeten ook allemaal getest worden.

Klanten als het Amerikaanse ministerie van defensie hebben waarschijnlijk custom implementaties waar veel geld voor betaald is, daar moet het ook allemaal op getest worden.

Als je zeker wil weten dat je geen aanvalsoppervlak hebt moet je geen enkele service via internet bereikbaar maken. Superveilig, kan alleen niemand meer thuiswerken. Of je stopt alles de cloud in, kan ook, maar dan heb je opeens gevoelige (klant)gegevens die niet zomaar het pand mogen verlaten.

Fortinet had bij de laatste kwetsbaarheid wel zo snel mogelijk een patch uitgebracht en een deel van de test procedures overgeslagen. Wat bleek? Zat een bug in die alle apparaten liet crashen. Dat heeft de achteraf waarschijnlijk meer tijd en geld gekost dan het in één keer goed oplossen.

Je hebt niet zoiets als 100% beveiligd, en iedereen die daar naar streeft is naar mijn mening ook totaal verkeerd bezig. Vanaf een bepaald punt zijn namelijk de kosten te hoog, en de return on investment te laag.

Nu was Citrix de pineut, de maand ervoor Microsoft met Curveball (en daarvoor BlueKeep). Geloof dat Microsoft zelf een tijdsduur van tussen de 90-120 dagen aanhoudt waarin ze een patch voor een kwetsbaarheid klaar zouden moeten hebben . Google heeft pas aangekondigd een kwetsbaarheid na 90 dagen publiek te maken, ongeacht of er een patch beschikbaar is of niet: https://googleprojectzero(...)020-edition.html?m=1 .

quote:

Op dinsdag 28 januari 2020 15:33 schreef YoshiBignose het volgende:
Waarom blokkeren jullie soms websites die helemaal geen malware of spam zijn, zoals Viagogo.nl ? Ja mensen betalen er misschien teveel voor hun tickets, maar dat is niet verboden. Dan kun je marktplaats.nl ook gaan blokkeren...

Vaak staat er een onderdeel op die nu nog malware verspreid, of dat in het verleden gedaan heeft. Vaak gaat het om advertentienetwerken of iets dergelijks.

Mocht het echt om een zogenaamde " false positive " gaan kun je altijd contact opnemen met onze support afdeling. Die zorgen ervoor dat de site weer bereikbaar gemaakt wordt!

quote:

Op dinsdag 28 januari 2020 19:08 schreef Donny_ESET het volgende:

[..]

Maar hoe zorg je er dan voor dat die service zelf veilig is? Wat nou als die er juist voor zorgt dat je een endpoint Kan overnemen?

En hoe weet je wat "een veilige versie" is? Wie weet zitten er nog andere kritieke kwetsbaarheden in bijvoorbeeld Citrix die al wel bekend zijn bij sommige mensen maar nog niet opgelost?

Of is het meer dat je gewoon simpelweg de service uit zet als hij niet up to date is? Werkt vanaf een techneuten perspectief waarschijnlijk prima, tot er redenen zijn dat je niet kan upgraden maar de sales afdeling toch echt vanaf meerdere plaatsen in Nederland moet kunnen inloggen. Op dat moment wegen de misgelopen kosten zwaarder mee dan een eventueel risico om gehackt te worden.
[..]

Deze service hoef je natuurlijk niet publiek te exposen, daarnaast zou je deze service zelfs helemaal read only kunnen maken. Het probleem met Citrix is natuurlijk dat je ALTIJD een publiek endpoint hebt, en daarmee een veel hoger risico.

Ik beschreef de service vrij simpel, je kunt hier natuurlijk wat variaties in maken al naar gelang van de noodzaak tot upgraden, bijvoorbeeld van het meest extreme direct de boel stoppen, tot het gewoon laten door gaan. Wij gebruiken een vergelijkbaar systeem voor een eventuele forced update van een mobile app.

quote:

Tja, ik zeg niet dat ik het eens ben met de gang van zaken, maar dit is nu eenmaal hoe de security industrie op dit moment werkt. Ze hadden prima binnen een week een patch uit kunnen brengen die voor de meeste mensen gewerkt had, maar ze hebben bijvoorbeeld ook speciale cloud versies, die moeten ook allemaal getest worden.

Klanten als het Amerikaanse ministerie van defensie hebben waarschijnlijk custom implementaties waar veel geld voor betaald is, daar moet het ook allemaal op getest worden.

Als je zeker wil weten dat je geen aanvalsoppervlak hebt moet je geen enkele service via internet bereikbaar maken. Superveilig, kan alleen niemand meer thuiswerken. Of je stopt alles de cloud in, kan ook, maar dan heb je opeens gevoelige (klant)gegevens die niet zomaar het pand mogen verlaten.

Fortinet had bij de laatste kwetsbaarheid wel zo snel mogelijk een patch uitgebracht en een deel van de test procedures overgeslagen. Wat bleek? Zat een bug in die alle apparaten liet crashen. Dat heeft de achteraf waarschijnlijk meer tijd en geld gekost dan het in één keer goed oplossen.

Je hebt niet zoiets als 100% beveiligd, en iedereen die daar naar streeft is naar mijn mening ook totaal verkeerd bezig. Vanaf een bepaald punt zijn namelijk de kosten te hoog, en de return on investment te laag.

Nu was Citrix de pineut, de maand ervoor Microsoft met Curveball (en daarvoor BlueKeep). Geloof dat Microsoft zelf een tijdsduur van tussen de 90-120 dagen aanhoudt waarin ze een patch voor een kwetsbaarheid klaar zouden moeten hebben . Google heeft pas aangekondigd een kwetsbaarheid na 90 dagen publiek te maken, ongeacht of er een patch beschikbaar is of niet: https://googleprojectzero(...)020-edition.html?m=1 .

Ik weet heel goed hoe het werkt, echter in het geval van Citrix was het wel even anders, ten eerste was het vrij snel bekend welke systemen kwetsbaar waren, ten tweede was de impact zo zwaar dat het niet verantwoordelijk was om te wachten, dan kun je roepen, ja er zijn mensen die er afhankelijk van zijn, maar dat had hier gewoon niet op mogen gaan. Wat heb je liever, dat de salesman 3 dagen niet bij zijn bestand kan, of dat de halve wereld je klantenbestand in handen heeft? Overigens wel cynisch, dat veel systemen gepatched zijn door hackers die bitcoinminers op de machines hadden gezet

quote:

Op dinsdag 28 januari 2020 10:54 schreef Robin_ESET het volgende:

[..]

Tijdens opdrachten zoeken we altijd de makkelijkste wegen naar binnen. Als je door gebruik van Metasploit en andere tools al op 3-4 verschillende manieren binnen komt is het belangrijkste voor de klant om dat op te lossen. Daar zal hij namelijk het meeste risico mee lopen. Mochten we bijvoorbeeld zelfgemaakte software tegen komen is dat altijd een van de eerste dingen waar we ook naar kijken. Ik heb een flink aantal in-house webportalen met een SQL injection lek of gewoon te open permissies kunnen gebruiken om uiteindelijk domain admin te worden.

Wetgeving op dit gebied is een zeer lange discussie en geen makkelijk onderwerp. Als je naar de auto industrie kijkt zijn er gestandaardiseerde testen die een auto moet doorlopen om te worden goedgekeurd. Willen we dat in software verplichten? Maar wat nou als je auto alleen op het circuit rijdt (interne software), moet dan dezelfde test worden doorlopen?

De kosten van een test zijn afhankelijk van een aantal zaken. Hoe groot is de scope en hoe diep wil je gaan met de test. Je kan natuurlijk altijd een vulnerability scanner zoals Nessus of openVAS naar je eigen server laten kijken. Dat biedt vaak al heel veel inzicht.

Interessant.

Ik gebruik zelf Accunetix.

quote:

Op dinsdag 28 januari 2020 13:31 schreef klappernootopreis het volgende:
Virussen en spam zijn een ongewild bijproduct van het computertijdperk. Het kost systeemresources, datasnelheid en geeft een hoop ergernis. Wat er nu gebeurt is het blokkeren en verwijderen van kwaadwillende data. Nu zijn sommige virusblokkers gratis te downloaden. Mijn operating systeem is ook gratis te downloaden (linux) Waarom zou ik dan de moeite nemen om een duur product aan te schaffen? Dit doe ik namelijk met mijn huidige operating systeem ook niet.

1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwill
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV

quote:

Op dinsdag 28 januari 2020 21:40 schreef THEFXR het volgende:

[..]

1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwill
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV

U onderschat redelijk het ecosysteem ;-)

quote:

Op dinsdag 28 januari 2020 21:40 schreef THEFXR het volgende:

[..]

1) linux is een OS van hobbyisten/enthousiastelingen, je bent afhankelijk van hun goodwill
tov een betaald OS, waar je klant bent en er prof gewerkt wordt.
zelfde geldt voor je AV

LOL

Eigenlijk te laat, maar ik ben toch wel een interessante vraag of discussiepunt.

Hoe zien jullie de toekomst van het Internet in het licht van de huidige ransomware trend?

Cryptocurrency heeft criminelen een betaalmiddel verschaft dat min of meer anoniem is. Als gevolg daarvan zien we een trend van ransomware verspreiden, vervolgens ransomware deployment door het inbreken op omgevingen en als laatste trend het simpelweg kopiëren van gegevens en deze lekken. De trend van schieten met hagel naar big game hunting is zeker ingezet.

Aan de andere kant is er een groot tekort aan gekwalificeerde ontwikkelaars en hebben te veel organisaties te weinig aandacht voor security.

Dan is er nog de trend van het verzekeren tegen cybercriminaliteit. Een verzekering betaalt vrij snel de ransom omdat het goedkoper is.

De zakken van de cybercriminelen worden met dit alles steeds dieper, de ransom demands hoger. Dus iemand met diepe zakken en een hoge prijs, plus veel tijd en geduld is de tegenpartij. Degene die zich moet verdedigen heeft een budget, heeft vaak nog meer te doen dan alleen de cybercriminelen buiten houden. De balans is hier zoek.

Samengevat denk ik dat er een kentering gaat komen van alles makkelijk overal en altijd toegankelijk naar weer meer managed werkplekken, minder BYOD, een dedicated (mobiele) verbinding voor de thuiswerker, etc.

Simpelweg omdat dat de enige manier is om meer zekerheid te krijgen. Dus eigenlijk meer terug naar af op de langere termijn. Gemak niet langer voorop, omdat het niet meer te betalen is (qua risico, of qua beveiliging). Minder nadruk op end to end, meer kleinere netwerken van tussen haakjes vertrouwde partijen.

Ik ben wel benieuwd hoe jullie dit zien.

quote:

Op maandag 3 februari 2020 19:04 schreef Lucky_Strike het volgende:
@:flippingcoin, ESET heeft jou uitgekozen als beste vraagsteller. Ze willen je een prijs toesturen.

Kan je me je adresgegevens toesturen via pm/dm?

Gefeliciteerd namens FOK!

Oh jeetje.

Ga ik doen.