WHITEPAPER: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Whitepaper
De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken Inhoud De noodzaak van vereenvoudigde kwetsbaarheidsevaluaties voor websites . 3 Kwetsbaarheden die niet worden verholpen, brengen de beveiliging van uw website in gevaar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6253 nieuwe kwetsbaarheden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 93% toename van het aantal webaanvallen . . . . . . . . . . . . . . . . . . . . 3 Traditionele oplossingen zijn duur en ingewikkeld . . . . . . . . . . . . . . . . . 4 Kwetsbaarheidsdetectie voor websites vereenvoudigen: een gecontroleerde benadering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kwetsbaarheidsevaluaties van websites in één oogopslag . . . . . . . . . . . . Kwetsbaarheidsevaluaties van websites vs. malwarescans . . . . . . . . . . . . Uw service voor kwetsbaarheidsevaluaties instellen . . . . . . . . . . . . . . . Scannen op kwetsbaarheden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rapporten van kwetsbaarheidsevaluaties beoordelen . . . . . . . . . . . . . .
4 4 4 5 5 7
Conclusie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Verklarende woordenlijst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crimeware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cross site scripting (XSS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Identiteitsdiefstal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SQL-injectie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kwetsbaarheid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8 8 8 8 8 8
2
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
De noodzaak van vereenvoudigde kwetsbaarheidsevaluaties voor websites In juni 2010 kreeg een groep hackers de e-mailadressen van meer dan 120.000 gebruikers van de Apple iPad in handen1 – onder wie topfunctionarissen in de overheid, de financiële wereld, de media, technologische ondernemingen en het leger2 – door misbruik te maken van een gat in de beveiliging van een website van AT&T. Helaas komt dit soort incidenten maar al te vaak voor. Het aantal op het web gebaseerde aanvallen is in 2010 met 93% toegenomen, waarbij gemiddeld 230.000 identiteiten werden blootgesteld bij elke inbreuk op gegevensbeveiliging als gevolg van hackactiviteiten3 gedurende het gehele jaar. In een recent onderzoek4 van het Ponemon Institute gaf 90% van de respondenten aan dat ze in de afgelopen 12 maanden twee of meer inbreuken hadden meegemaakt en gaf bijna tweederde van hen aan dat ze gedurende dezelfde periode meerdere inbreuken hadden meegemaakt. Deze inbreuken kunnen enorm kostbaar zijn. De onderzoeken geven aan dat de gemiddelde kosten van een gegevensinbreuk in de Verenigde Staten $7,2 miljoen per incident bedraagt, waarbij een van de meest omvangrijke inbreuken $35,3 miljoen kostte5 om op te lossen. Beveiligingsproblemen waarbij persoonlijke gegevens gevaar lopen, kunnen ook een afname van het consumentenvertrouwen tot gevolg hebben; meer dan de helft van alle internetgebruikers doet geen aankopen via internet6 omdat ze bang zijn dat hun financiële gegevens kunnen worden gestolen. Omdat er zoveel op het spel staat, moeten organisaties zich bij hun beveiligingsactiviteiten richten op deze en andere schendingen. Kwetsbaarheden die niet worden verholpen, brengen de beveiliging van uw website in gevaar 6253 nieuwe kwetsbaarheden Symantec heeft in 2010 meer kwetsbaarheden geregistreerd dan in elk ander voorafgaand jaar sinds dit rapport wordt uitgevoerd. Daarnaast is het aantal nieuwe leveranciers dat slachtoffer werd van een kwetsbaarheid toegenomen tot 1914–een stijging van 161% in vergelijking met het jaar daarvoor. 93% toename van het aantal webaanvallen De toenemende proliferatie van toolkits voor webaanvallen leidde in 2010 tot een toename van het aantal webgebaseerde aanvallen van 93% ten opzichte van het aantal aanvallen in 2009. Ook lijken verkorte URL's een rol te hebben gespeeld. Gedurende een observatieperiode van drie maanden in 2010 bleek 65% van de schadelijke URL's op sociale netwerken uit verkorte URL's te bestaan. Er zijn talloze manieren waarop hackers en cybercriminelen inbreuk kunnen maken op de integriteit, beschikbaarheid en vertrouwelijkheid van informatie of services. Veel aanvallers maken gebruik van vaak voorkomende tekortkomingen van computersoftware die tot zwakke plekken in de algemene beveiliging van de computer of het netwerk kunnen leiden; andere zijn gebaseerd op kwetsbaarheden die het gevolg zijn van ongeschikte computerof beveiligingsconfiguraties. Er zijn letterlijk tienduizenden bekende kwetsbaarheden en Symantec heeft in 2010 6253 nieuwe kwetsbaarheden vastgesteld7 – meer dan in elk ander voorafgaand jaar waarvoor gegevens zijn vastgelegd. Meestal komen softwareontwikkelaars snel in actie om kwetsbaarheden te verhelpen nadat deze zijn ontdekt; daartoe brengen ze software-updates en beveiligingspatches uit. Organisaties beschikken echter niet altijd over de vereiste resources of mankracht om hackers voor te blijven, die altijd op zoek zijn naar de gemakkelijkste manier om het grootste aantal websites binnen te dringen om gevoelige gegevens te verzamelen of schadelijke code achter te laten.
CNET News: “AT&T Hacker Indicted, Report Says.” 7 juli 2011 - http://news.cnet.com/8301-1035_3-20077699-94/at-t-ipad-hackerindicted-report-says/ CNET News: “AT&T Web Site Exposes Data of 114,000 iPad Users.” 10 juni 2010 - http://news.cnet.com/8301-27080_3-20007309-245.html 3 Symantec: Internet Security Threat Report, Volume 16. Maart 2011 - http://www.symantec.com/business/threatreport/ 4 Ponemon Institute: “Perceptions About Network Security.” Juni 2011 - http://www.juniper.net/us/en/local/pdf/additional-resources/ ponemon-perceptions-network-security.pdf 5 Ponemon Institute en Symantec: “2010 Annual Study: U.S. Cost of a Data Breach.” Maart 2011 - http://bit.ly/fwlC6j 6 -Javelin Strategy and Research: “2011 Identity Fraud Survey Report.” March 2011 - https://www.javelinstrategy.com/brochure/192 7 -Symantec: Internet Security Threat Report, Volume 16. Maart 2011 - http://www.symantec.com/business/threatreport / 1
2
3
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
De gevaarlijkste aanvallen zijn aanvallen die automatisch kunnen worden uitgevoerd, zoals SQL-injecties, die hackers gebruiken om toegang te krijgen tot databases, en cross site scripting, waarmee hackers code aan uw website toevoegen om taken uit te voeren. Met deze methoden kunnen aanvallers de controle krijgen over de webtoepassing en gemakkelijk toegang krijgen tot servers, databases en andere IT-bronnen. Als hackers eenmaal toegang hebben tot deze bronnen, kunnen ze creditcardnummers van klanten en andere vertrouwelijke informatie in handen krijgen. Symantec heeft in 2010 meer dan 3 miljard malwareaanvallen vastgelegd en het aantal webgebaseerde aanvallen nam met bijna 90% toe ten opzichte van 2009. Deze toename is voor een deel te wijten aan de toename van geautomatiseerde scripts en toolkits voor webaanvallen. Deze kits bestaan meestal uit vooraf geschreven schadelijke code voor het exploiteren van kwetsbaarheden, en maken het gemakkelijk om omvangrijke aanvallen uit te voeren voor identiteitsdiefstal en andere doeleinden. Traditionele oplossingen zijn duur en ingewikkeld Naarmate het risico van webgebaseerde aanvallen en inbreuken op gegevens toeneemt, wordt het steeds moeilijker om kwetsbaarheden te beheren. Veel traditionele oplossingen zijn ontworpen voor grote ondernemingen die aan strenge vereisten voor de naleving van regels moeten voldoen, zoals de Payment Card Industry (PCI) Data Security Standard. Deze oplossingen zijn geschikt om een beperkt aantal dreigingen te detecteren en kunnen grote volumes onnodige gegevens over kwetsbaarheden met lage prioriteit genereren, waardoor essentiële beveiligingsmaatregelen die onmiddellijk moeten worden getroffen, ondergesneeuwd kunnen raken. Het is dan ook niet verrassend dat bijna de helft van de ondervraagden van het Ponemon Institute complexiteit en beperkte toegang tot IT-bronnen als de grootste uitdagingen zien om oplossingen voor netwerkbeveiliging te implementeren, en dat 76% de voorkeur geeft aan het stroomlijnen en vereenvoudigen van netwerkbeveiligingsoperaties. Kwetsbaarheidsdetectie voor websites vereenvoudigen: een gecontroleerde benadering Om hackers voor te blijven, hebben organisaties een flexibele oplossing nodig waarmee ze snel en eenvoudig de meest kritieke kwetsbaarheden op hun websites kunnen vaststellen. Symantec™ biedt een eenvoudige, op de cloud gebaseerde kwetsbaarheidsevaluatie waarmee u snel de meest kwetsbare zwakke plekken van uw website vaststelt en maatregelen kunt treffen. Kwetsbaarheidsevaluaties van websites in één oogopslag Kwetsbaarheidsevaluaties van Symantec helpen u om snel kwetsbaarheden op uw website vast te stellen waar misbruik van kan worden gemaakt. Deze evaluatieoptie wordt gratis met Symantec™ Premium, Pro en Extended Validation (EV) SSL-certificaten meegeleverd en vult bestaande beveiliging aan met: • Een automatische wekelijkse scan op kwetsbaarheden voor openbare webpagina's, webgebaseerde toepassingen, serversoftware en netwerkpoorten. • Een actierapport waarin kritieke kwetsbaarheden worden vermeld die onmiddellijk moeten worden onderzocht alsmede items die minder risicovol zijn. • Een optie om uw website opnieuw te scannen om na te gaan of kwetsbaarheden zijn verholpen.
Kwetsbaarheidsevaluaties van websites vs. malwarescans Scans voor het evalueren van kwetsbaarheden van websites en rapporten over toegangspunten voor schendingen van de beveiliging. Met malwarescans wordt geprobeerd om schadelijke software op uw site en netwerk te vinden. Als er malware op uw site voorkomt, betekent dit waarschijnlijk dat inbreuk is gepleegd op een toegangspunt. Als u de kwetsbaarheden van uw site verhelpt, kunt u mogelijke inbreuken, waaronder malware, voorkomen.
4
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
De kwetsbaarheidsevaluatie helpt u in combinatie met uw Symantec™ SSL-certificaat en dagelijkse malwarescan om uw website te beveiligen en uw klanten te beschermen. Uw service voor kwetsbaarheidsevaluaties instellen Of u nu een bestaande, verlengende of nieuwe klant bent, u kunt de service voor kwetsbaarheidsevaluaties als optie inschakelen via de beheerconsole van Symantec™ Trust Center, Symantec Trust Center Enterprise of Managed PKI for SSL*. Deze service wordt vanaf dezelfde Fully Qualified Domain Name (FQDN) gestart die als algemene naam op het bijbehorende SSL-certificaat wordt vermeld. Als u meerdere domeinen met SSL-certificaten wilt beschermen, kunt u voor elk daarvan kwetsbaarheidsevaluaties inschakelen via uw beheerconsole.
*De configuratie- en meldingsopties variëren afhankelijk van de gebruikte beheerconsole Scannen op kwetsbaarheden Met de kwetsbaarheidsevaluatie worden de toegangspunten gecontroleerd die het vaakst voor veel voorkomende aanvallen worden gebruikt. De eerste kwetsbaarheidsscan wordt binnen 24 uur na het inschakelen gestart. Vervolgens wordt uw site automatisch elke week gescand en kunt u te allen tijde een nieuwe scan laten uitvoeren. Tijdens de kwetsbaarheidsscan worden alle veel gebruikte netwerkpoorten gecontroleerd – in totaal meer dan 1000. Met de scan worden de meest voorkomende typen kwetsbaarheden gedetecteerd, waaronder verouderde of niet-bijgewerkte software, cross site scripting (XSS), SQL-injectie en 'achterdeuren'; de scan wordt regelmatig bijgewerkt als nieuwe kwetsbaarheden worden ontdekt.
5
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Tabel 1. Details van scanactiviteiten voor kwetsbaarheidsevaluaties
Gebied
Voorbeelden van gescande items
Netwerkniveau
Basiscontrole van poorten en gegevensanalyse om mogelijke kwetsbaarheden op de achtergrond vast te stellen. Apache HTTP Server (en populaire plug-ins)
Webserversoftware
Microsoft IIS Tomcat JBoss Sendmail
SMTP Software
Postfix Microsoft Exchange Server
Telnet Services SSH Services FTP Services
Unix-systemen OpenSSH SSH.com-software Populaire FTP-daemons Microsoft ASP .NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP .NET, J2EE/JSP Populaire CMS-systemen (WordPress, Django, Joomla, Drupal, enz.)
Webplatforms
Apps voor e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart, enz.) Webbeheersoftware (phpMyAdmin) Forumsoftware Apps voor het bijhouden van advertenties/statistieken
Kwetsbaarheden van webtoepassingen
Mogelijke problemen met het gebruik van SSL-certificaten
Kwetsbaarheid van reflectieve cross site scripting Kwetsbaarheid van SQL-basisinjectie Niet-vertrouwd SSL-certificaat (ondertekend door onbekende CA) Automatisch ondertekende certificaatcontrole Niet-overeenkomende algemene naam van certificaten Zwakke codes gebruikt Verlopen of ingetrokken certificaten
Niet-versleutelde gegevensverzending
Aanmeldpagina's waarop formulieren zonder SSL worden ingediend
Als met een scan kwetsbaarheden worden gedetecteerd en u actie kunt ondernemen om het probleem op te lossen, kunt u een nieuwe scan laten uitvoeren om te controleren of de kwetsbaarheid is verholpen.
6
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Rapporten van kwetsbaarheidsevaluaties beoordelen Als de kwetsbaarheidsscan voltooid is, kunt u een volledig kwetsbaarheidsrapport voor uw website als PDF-bestand via uw beheerconsole van Symantec Trust Center, Symantec Trust Center Enterprise of Managed PKI for SSL opvragen. Als tijdens de scan kritieke kwetsbaarheden worden gedetecteerd, wordt ook een waarschuwing in uw console gegenereerd. Elk rapport bevat gegevens voor IT-medewerkers op basis waarvan zij actie kunnen ondernemen om problemen te onderzoeken en deze duidelijk aan het management door te geven. In het rapport worden kritieke kwetsbaarheden vermeld met informatie over elk risico, waaronder de ernst, het gevaar en de mogelijke gevolgen ervan. Het rapport bevat ook informatie over corrigerende actie(s) die u moet ondernemen om elk probleem op te lossen.
Conclusie Hackers en cybercriminelen gaan bij hun aanvallen en het vaststellen van doelwitten steeds geraffineerder te werk; u hebt flexibele tools nodig om hen voor te blijven. U kunt het risico dat hackers uw site vinden en aanvallen, beperken door gebruik te maken van geautomatiseerde kwetsbaarheidsevaluaties om kwetsbaarheden vast te stellen waar misbruik van kan worden gemaakt en corrigerende maatregelen te nemen. Met kwetsbaarheidsevaluaties van Symantec kunnen de kosten en complexiteit van het beheer van kwetsbaarheden worden beperkt dankzij automatische scans, actierapporten en cloudgebaseerde architectuur waarvoor geen software hoeft te worden geïnstalleerd of onderhouden. Deze oplossing is een goed beginpunt voor organisaties die snel de ernst van kwetsbaarheden van hun website willen beoordelen. Kwetsbaarheidsevaluaties van websites zijn ook ideaal voor organisaties die in het kader van de naleving van regels al een oplossing voor kwetsbaarheidsscans gebruiken, bijvoorbeeld voor PCI, en een aanvullende oplossing nodig hebben om de resultaten van hun scan dubbel te controleren voor een extra beveiligingslaag. De kwetsbaarheidsevaluatie helpt u in combinatie met uw Symantec SSL-certificaat en dagelijkse malwarescan om uw website te beveiligen en uw klanten te beschermen.
7
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Verklarende woordenlijst Crimeware Crimeware is software die wordt gebruikt om een onrechtmatige handeling te verrichten. Net als cybercriminaliteit omvat crimeware uiteenlopende schadelijke of mogelijk schadelijke software. Cross site scripting (XSS) Aanvallen die inbrekers in staat stellen om ongeoorloofde scripts uit te voeren waarmee de beveiliging van browsers kan worden omzeild. Identiteitsdiefstal Identiteitsdiefstal is de daad van het stelen en aannemen van andermans identiteit om fraude of andere onrechtmatige daden te plegen. SQL-injectie Webgebaseerde aanval waarmee buitenstaanders met onbeveiligde code ongeoorloofde SQL-opdrachten kunnen uitvoeren voor een deel van een site dat met internet verbonden is. Met behulp van deze ongeoorloofde SQL-opdrachten kan toegang worden verkregen tot vertrouwelijke informatie in een database en tot de hostcomputers van een organisatie. Kwetsbaarheid Een (universele) kwetsbaarheid is een punt in een computersysteem (of set systemen) dat een aanvaller kan gebruiken om in naam van een andere gebruiker opdrachten uit te voeren, toegang tot gegevens te verkrijgen die indruist tegen de opgegeven toegangsbeperkingen voor die gegevens, zich als een andere entiteit voor te doen of een denial-of-service aanval uit te voeren.
8
Whitepaper: De kosten en complexiteit van het beheer van kwetsbaarheidsevaluaties voor websites beperken
Meer informatie Kwetsbaarheidsevaluaties van Symantec worden gratis meegeleverd bij uw aankoop van Symantec Premium, Pro en Extended Validation (EV) SSL-certificaten. Daarnaast heeft Symantec toonaangevende autoriteiten in de branche aangewezen die u kunnen helpen om kwetsbaarheden te verhelpen en uw site en netwerk optimaal te laten blijven lopen. Deze referenties variëren van consultants tot softwareleveranciers die allemaal gespecialiseerd zijn in het verhelpen van kwetsbaarheden. Meer informatie Bezoek onze website www.symantec.co.uk/ssl-certificates Bel een van de volgende telefoonnummers om een productspecialist te spreken: 0800 56 29 24 of +41 22 54 50 288 Over Symantec Symantec is wereldwijd leider in oplossingen voor beveiliging, opslag en systeembeheer waarmee consumenten en bedrijven hun door informatie aangestuurde omgeving kunnen beveiligen en beheren. Onze software en services bieden een completere en efficiëntere bescherming tegen meer risico's op meer punten, waardoor informatie met vertrouwen kan worden gebruikt en opgeslagen. Symantec BV Orteliuslaan 850 3528 BB UTRECHT Nederland 0800-56-29-24 of +41-22-54-50-288 www.symantec.com
© 2012 Symantec Corporation. Alle rechten voorbehouden. Symantec, het Symantec-logo, het vinkje, Norton Secured en het Norton Secured-logo zijn handelsmerken of gedeponeerde handelsmerken van Symantec Corporation of haar dochterondernemingen in de Verenigde Staten en andere landen. VeriSign en andere verwante merknamen zijn handelsmerken of gedeponeerde handelsmerken van VeriSign, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen, en zijn in licentie gegeven aan Symantec Corporation. Andere namen zijn mogelijk handelsmerken van de respectieve eigenaren.