BLOG – De Linux-wereld schrok onlangs op van nieuwe kwetsbaarheid in de ‘XZ libraries’, onderdeel van nogal wat Linux-distributies. Dat dergelijke kwetsbaarheden blijven terugkeren, verwondert nauwelijks. Wat wel verbaast, is dat organisaties zo weinig ondernemen om zich te wapenen tegen dit type kwetsbaarheden en achterpoortjes. Het ligt niet aan een gebrek aan tools, wel aan een gebrek aan visie en beleid.
Hoewel de XZ-kwetsbaarheid minder impact heeft dan Log4J, kent deze case wel een aantal merkwaardige eigenschappen. Zo blijkt dat de ontwikkelaar die de kwetsbaarheid inbouwde, zelf meewerkte aan het ontwikkelen en onderhouden van componenten van de XZ library. Dat liet deze persoon toe vertrouwen te wekken in de Linux-wereld, waarna die kans zag achterpoortjes te gaan inbouwen. Bovendien had de ontwikkelaar een langetermijnvisie. Wie het tv-format ‘Wie is de Mol?’ kent, weet dat ‘de mol’ meestal na acht afleveringen ontdekt wordt. Deze XZ-mol slaagde erin zich anderhalf jaar schuil te houden. Net als alle deelnemers aan genoemd programma verdacht zijn, kan nu plots iedereen uit de Linux-ontwikkelaarsgemeenschap een potentiële schurk zijn. Wie weet wat een ontwikkelaar tussen de vele lijnen code weggemoffeld heeft?
Weet welke instanties je moet informeren over de datalek
Uit deze nare cybercrime-episode kunnen we een aantal lessen trekken.
- Weet dat het eraan komt
Solarwinds, Kaseya, Log4J, XZ,… De nieuwe bedreigingen voor de cybersecurity volgen elkaar in hoog tempo op. Zeker in de huidige geopolitieke omstandigheden kan je er donder op zeggen dat Russen, Chinezen, Iraniërs en Noord-Koreanen (en wellicht ook Amerikanen, Engelsen en Belgen) ergens wat regels code aan het schrijven zijn die overheidsinstanties, bedrijven en zelfs het hele internet plat kunnen leggen. Merk op dat 99 procent van internet draait op Linux – er zijn vast nog wat veelgebruikte libraries die niet helemaal safe zijn. Ga dus niet op je lauweren rusten nadat je Log4J of XZ aangepakt hebt. In de security-wereld ben je nooit klaar.
- Voer een proactief beleid rond cybersecurity
De meeste aanvallen komen binnen via een onbeveiligde endpoint. We kunnen niet genoeg benadrukken hoe belangrijk het is elk endpoint te inventariseren en constant van de nodige updates en upgrades te voorzien. Wanneer een organisatie vertelt dat ze alle pc’s geïnventariseerd hebben, dan geldt de raad ze altijd nog eens te tellen. We weten immers: schaduw-it zit overal. En zodra een afdeling een eigen budget kan besteden, ontstaat schaduw-it. Daarom is het belangrijk om een tool in te zetten die alle endpoints kan ontdekken, inventariseren en controleren op patches en upgrades.
- Denk niet aan hardware alleen
Zoals de gebeurtenissen rond XZ en Log4J duidelijk maken, is waakzaamheid niet alleen geboden op het vlak van hardware. Ook de software die je gebruikt, kan je maar beter goed inventariseren. In de moderne manier van werken worden applicaties opgebouwd op basis van componenten en libraries van verschillende oorsprong. Deze softwarecomponenten en libraries worden vaak hergebruikt en gedeeld. Het is zaak deze lappendeken aan componenten goed in kaart te brengen en te weten waar welke library ingezet wordt. Dat is dan ook precies de reden waarom de zogeheten ‘Software Bill of Materials’ (SBOM) de laatste tijd zoveel aan belang heeft gewonnen.
- Zorg dat je een plan klaar hebt
Een hack of een aanval kan je nooit helemaal voorkomen, hoe goed je ook voorbereid bent. Zorg er daarom voor dat je een plan van aanpak klaar hebt voor die ene dag waarop alles misgaat. Weet welke instanties je moet informeren over de datalek, weet welke delen van je netwerk je eventueel moet uitschakelen… Door een weldoordacht plan op te stellen – en het ook daadwerkelijk te volgen – kan je vermijden dat het probleem alleen maar groter wordt.
- Hou je supply chain in de gaten
Terecht wordt tegenwoordig meer aandacht besteed aan de hele supply chain. Het is niet voldoende je eigen omgeving in kaart te brengen, het is cruciaal om ook te weten dat de partijen waarmee je samenwerkt hun zaakjes op orde hebben. Werk dus samen aan een veilig ecosysteem.
- Zet een permanente it-hygiëne-taskforce op
De persoon die de kwetsbaarheid inbouwde in de XZ-library had een langetermijnvisie. Anderhalf jaar werkte hij of zij geduldig mee aan de ontwikkeling van Linux, tot het moment van toeslaan. Je zou bijna denken: hadden we allemaal maar zo’n langetermijnvisie. Omdat alles zo snel moet gaan, is er nauwelijks tijd om de meest basale aspecten van cybersecurity op orde te krijgen. Toegegeven, het is een tijdrovende klus om alle software en hardware te inventariseren en controleren. Maar toch pleit ik ervoor om elke organisatie te voorzien van een afdeling it-hygiëne die continu de basis onderhoudt. Een afdeling die niet onder tijdsdruk staat en zich niet moet plooien naar de waan van de dag. Maar die wél voor waakt dat alle cyberhygiëne-maatregelen genomen worden.
Iedereen maakt fouten en leert zo een wijze – en soms dure – les. Waar het op aankomt is: maak hooguit nieuwe fouten, maar trap niet in dezelfde val. Door te gaan voor een basishygiëne op vlak van cybersecurity en door de juiste lessen te trekken uit een event als de XZ-kwetsbaarheid, wapent een organisatie zich tegen de problemen die ongetwijfeld snel opnieuw de kop zullen opsteken.
Wytze Rijkmans is regional vice president bij Tanium