De diefstal van een grote hoeveelheid klantgegevens bij de Amerikaanse bank Capital One maakt voor de zoveelste keer duidelijk dat de ‘bangmakerij’ waarvan cybersecurity-ondernemingen soms worden beschuldigd op reële gevaren is gebaseerd.
Voor wie het gemist heeft: het gaat om 30 GB aan gegevens van meer dan 100 miljoen(!) Amerikaanse en Canadese burgers. De gestolen data heeft vooral betrekking op kredietaanvragen van kleine bedrijven en particulieren, met gegevens als kredietscores, betalingshistorie en kredietgegevens. Ondanks privacymaatregelen als encryptie en tokenization bleken de social security nummers en bankrekeningnummers van meer dan 200.000 klanten ook te zijn gestolen.
Deze diefstal van aanvraaggegevens voor creditcards en leningen illustreert meerdere trends waarover de afgelopen tijd veel is geschreven in de security-industrie.
Het is bijna nooit de getroffen onderneming zelf die de hack aan het licht brengt
Op de eerste plaats zien we dit soort grote datadiefstallen van gevoelige data vaker, vooral in de financiële wereld en de gezondheidszorg, en de impact is vaak enorm. Volgens veel onderzoekers is het doorgaans niet de getroffen onderneming zelf die de data-breach opspoort, en zit er altijd een aanzienlijke tijd tussen de start van de diefstal en de detectie ervan.
Dat is bij Capital One niet anders. De inbraak was niet zichtbaar, totdat een tipgever meldde dat de betreffende gegevens werden aangeboden op Github. De diefstal vond plaats in maart 2019, maar Capital One stelde dit pas in juli vast.
De inbraak van gegevens vond plaats door een verkeerde configuratie van data-opslag en/of een firewall in AWS. Maar Capital One haastte zich om te verklaren dat het een probleem was dat volledig bij Capital One lag en niet bij AWS.
Sterker nog, de persverklaring meldt dat: This type of vulnerability is not specific to the cloud. The elements of infrastructure involved are common to both cloud and on-premises data center environments. The speed with which we were able to diagnose and fix this vulnerability, and determine its impact, was enabled by our cloud operating model.
29 miljoen kwetsbaarheden in cloudconfiguraties
Maar toch. In de week dat de diefstal bekend werd, bracht Unit42, de threat intelligence afdeling van Palo Alto Networks, een rapport uit waarin staat dat men 29 miljoen bekende kwetsbaarheden had aangetroffen in AWS-configuraties, vaak omdat de standaardconfiguratie werd gebruikt zonder extra beveiligingsmaatregelen. De cloud is onmisbaar en laagdrempelig, maar een simpel vinkje in een configuratiemenu kan fatale consequenties hebben.
Domheid en ijdelheid zijn een fatale combinatie voor een hacker.
Wat deze hack ook aantoont, is dat het gevaar niet noodzakelijk afkomstig is van geavanceerde Chinese of Koreaans operaties. In dit geval ging het om een individuele hacker, die door de FBI achter slot en grendel is gezet. Wie de Internet-bronnen mag geloven: het gaat kennelijk om een ex-Amazon medewerker die op social media pochte over deze inbraak. Domheid en ijdelheid zijn een fatale combinatie voor een hacker.
De gevolgen en kosten van deze hack zijn nog niet goed te overzien. Je hebt snel de neiging om dit in geld uit te drukken, maar de grootste gedupeerden zijn natuurlijk die burgers die nog jaren in onzekerheid verkeren of hun gevoelige gegevens ergens op het dark web circuleren.
Dat het Capital One veel geld gaat kosten, staat als een paal boven water. Hun eigen schatting komt nu uit op 100 tot 150 miljoen dollar directe schade. Daarbij gaat het om communicatie met klanten, het monitoren van hun aanvragen en andere gegevens, de noodzakelijke technische maatregelen en de kosten van een heel leger aan advocaten met torenhoge uurtarieven.
Het zou mij niet verbazen wanneer de rekening nog veel hoger gaat uitvallen. Bovendien, hoe kwantificeer je zaken als merkschade en de managementaandacht die hiervoor nodig is?
Wat kunnen we hiervan leren?
Wat kun je hiervan leren? Voor mij staat vast dat je een securitystrategie nodig hebt die gericht is op preventie, en die er bij een incident op is gericht om de impact van dat incident te beperken. Een inbraak begint doorgaans in een relatief onbelangrijk, minder beveiligd deel van de IT-infrastructuur (bijvoorbeeld bij een werkstation waar de gestolen gegevens niet staan), en gaat dan vanaf daar relatief eenvoudig verder naar de gevoelige data.
Voor ON2IT is de Zero Trust architectuur het enige model dat ervoor zorgt dat zo’n overgang niet mogelijk is, of op zijn minst zeer onwaarschijnlijk wordt.
Het is soms lastig om CIO’s of CISO’s ervan te overtuigen dat het gevaar van inbraak niet overdreven is en dat de gevolgen enorm kunnen zijn.
Een andere les is dat configuratiefouten in publieke cloud infrastructuren enorme consequenties kunnen hebben. Vroeger had je de fysieke beveiliging van een serverruimte, en die was eenvoudig waterdicht te krijgen. In de publieke cloud is het open laten staan van de deur naar de serverruimte net zo simpel als een verkeerd vinkje zetten in een webportaal, of een vergeten regel in een script. Maar dan zet je wel meteen de deur open naar de hele wereld.
Gelukkig zijn er inmiddels steeds meer technologieën en tools beschikbaar om de diensten van de drie grote cloudplatformen (Amazon, Microsoft, Google) beter te beveiligen. Of deze hack daarmee automatisch te voorkomen was geweest is nu nog niet vast te stellen. Maar wat je wél weet, is dat de miljoenen kwetsbaarheden die Unit42 heeft gevonden voor een groot deel automatisch te detecteren zijn, bijvoorbeeld door een product als Prisma Public Cloud (voorheen RedLock).
Het is soms lastig om CIO’s of CISO’s ervan te overtuigen dat het gevaar van inbraak niet overdreven is en dat de gevolgen enorm kunnen zijn. Het is jammer dat er bijna maandelijks inbraken als die van Capital One nodig zijn om de omvang van dit maatschappelijke en economische probleem te blijven illustreren.
Lieuwe Jan Koning
CTO ON2IT
