Software heeft zwakke plekken die hackers gelegenheid bieden om data te stelen, ransomware te installeren of je bedrijf te saboteren. Criminele organisaties en inlichtingendiensten hebben veel geld over voor zwakke plekken/vulnerabilities, die nog bij (bijna) niemand bekend zijn. Daar wordt op het zogeheten dark web goud geld (of liever gezegd cryptos) voor betaald, want ze bieden je een open achterdeur alleen voor jou.
Doorgaans struikelt een gebruiker of ethische hacker over een zwakheid, anders hadden de software testers van de leveranciers of de open-source community deze al wel gevonden. Een dergelijke zwakheid kan worden gemeld bij de makers van de software. Dit heet een “Responsible Disclosure”, sommige leveranciers geven een zogeheten bug-bounty van soms tienduizenden dollars, anderen een lelijk t-shirt.
Kwetsbaarheden die openbaar zijn worden doorgaans al na vijf minuten uitgebuit.
Het is de verantwoordelijkheid van de makers van de software om het lek snel te dichten met een software update, oftewel een patch. Een deel van de zwakheden worden door NIST aangeduid met een Common Vulnerability Exploit (CVE) code op de dag dat de patch kenbaar wordt. Bij ernstige kwetsbaarheden (Citrix, Log4J, Kaseya) staan de media er vol mee en bieden de landelijke NCSC’s waarschuwingen en adviezen.
Goed, we hebben dus kennelijk een (internationaal) systeem om kwetsbaarheden op te sporen en te verhelpen. Maar kijk eens naar de volgende statistieken:
Het duurt gemiddeld 60-150 dagen voordat een gevonden zwakheid wordt gepatched.
Kwetsbaarheden die openbaar zijn worden doorgaans al na vijf minuten uitgebuit.
42 procent van alle succesvolle hacks vond plaats nadat er al een patch was uitgebracht.
Organisaties hebben gemiddeld 58 dagen nodig om een effectieve remedie tegen een bekende kwetsbaarheid te installeren.
Ongehinderd de infrastructuur verkennen en compromitteren
In het meest optimistische geval is de kans groot dat ook jouw organisatie vele maanden is blootgesteld aan kwetsbaarheden die grote schade kunnen toebrengen, zelfs zonder dat je daar weet van hebt. En een kwaadwillende hoeft vaak maar één systeem te pakken te krijgen en kan vervolgens bij de meeste IT-infrastructuren ongehinderd de infrastructuur verder verkennen en compromitteren.
Natuurlijk is het tijdig patchen van software van kritiek belang, maar wanneer je cyberstrategie alleen op die aanpak rust bouw je op drijfzand. De meedogenloze wapenwedloop met hackers vraagt om een weerbare, preventieve strategie die ervan uitgaat dat kwetsbaarheden ook bij jou zullen worden uitgebuit.
Die strategie heet Zero Trust, en ON2IT heeft een wereldreputatie als Zero Trust aanbieder.