Veiligheidsscan Gebruikershandleiding Versie 30 september 2015
Inhoud Doel Veiligheidsscan ............................................................................................................................... 3 Werking Veiligheidsscan ......................................................................................................................... 3 Gebruik Veiligheidsscan .......................................................................................................................... 3 Inloggen op het portaal........................................................................................................................... 4 Eerste keer inloggen en activatie van veiligheidsscans .......................................................................... 5 Melding gereedheid scanresultaten ....................................................................................................... 7 Hoe om te gaan met scanresultaten....................................................................................................... 7 Hoe scanresultaten af te handelen ......................................................................................................... 7 Hoe kwetsbaarheden ontstaan ............................................................................................................... 8 Hoe kwetsbaarheden te voorkomen ...................................................................................................... 8 Hoe het benutten van kwetsbaarheden te voorkomen ......................................................................... 8 Inzage scanresultaten ........................................................................................................................... 10 Toevoegen gebruikers........................................................................................................................... 11
2
Doel Veiligheidsscan Veiligheidsscan is bedoeld voor het controleren op kwetsbaarheden van systemen welke direct benaderbaar zijn via het internet, zoals uw firewalls, webservers, mailservers, toegangsportalen en overige online informatiesystemen. Omdat deze systemen direct toegankelijk zijn via het internet, leiden dit soort systemen vaak tot extra risico op gebied van informatiebeveiliging. Continu speuren kwaadwillenden zowel handmatig als geautomatiseerd het internet af op zoek naar kwetsbare systemen die zij kunnen kraken en kunnen inzetten voor malafide doeleinden of kunnen gebruiken om een volgende stap te maken naar andere kwetsbare systemen binnen uw bedrijfsnetwerk. Extra aandacht verdienen webservers. Vanwege de complexiteit en de veranderlijkheid van websites en achterliggende webapplicaties vormen webservers dikwijls de achilleshiel binnen uw ICT landschap.
Werking Veiligheidsscan Veiligheidsscan controleert uw internetsystemen op kwetsbaarheden op afstand via het internet. U heeft daarvoor geen speciale, lokaal geïnstalleerde hardware of software nodig. Veiligheidsscan opereert als het ware als een goedaardige hacker, ook wel ethische hacker genoemd. Er worden hierbij twee verschillende scanmethoden ondersteund: 1. Infra, voor het scannen van firewalls, routers, mailservers en/of overige algemene systemen 2. Web, voor het scannen van specifiek webservers, websites, webapplicaties en web services Het onderscheid tussen Infra en Web wordt door Veiligheidsscan automatisch gemaakt. U hoeft dit niet zelf te selecteren. U voert slechts een IP adres of een volledig gekwalificeerde domeinnaam in. Voorbeeld van een IP adres:
101.102.103.104
Voorbeeld van een volledig gekwalificeerde domeinnaam:
gw01.voorbeeldbv.nl, www.voorbeeldbv.nl, shop.voorbeeldbv.nl, payments.voorbeeldbv.nl
Het IP adres van het systeem dat u wilt scannen hoort u in uw administratie te hebben, of kan worden opgevraagd bij uw IT leverancier of internetprovider. Let er op dat het hier om zogenaamde “publieke” IP adressen gaat, en niet om “private” of interne IP adressen binnen uw bedrijfsnetwerk. Tip: een manier om achter het IP adres van uw standaard firewall, router of ADSL-modem te komen via welke u standaard het internet op geraakt, is het bezoeken van de website www.watismijnip.nl.
Gebruik Veiligheidsscan U gebruikt Veiligheidsscan door middel van het inzetten van de verschillende functies welke via het online portaal (ThreadScan Portal) beschikbaar worden gesteld. Zie voor meer informatie over het gebruik van Veiligheidsscan middels het online portaal de paragrafen in deze gebruikershandleiding. Let op: De eigenaar en de beheerorganisatie van een te scannen systeem dienen altijd op voorhand op de hoogte/akkoord te zijn van/met het uitvoeren van een scan. Gebeurt dit niet dan kan de scan onterecht als internetaanval worden gezien en kan er schade optreden als gevolg van een vals alarm.
3
Inloggen op het portaal U logt in op het portaal van de Veiligheidsscan. U ziet een dashboard met een aantal panelen die de status van uw abonnementen, veiligheidsscans en eventueel gevonden kwetsbaarheden weergeven. Wanneer u de eerste keer inlogt of wanneer er nog geen veiligheidsscans zijn afgerond zijn sommige panelen nog leeg. Deze worden na verloop van tijd vanzelf gevuld. Links op het scherm ziet u een menu met daarin een aantal opties. Deze opties worden in het overzicht hieronder nader toegelicht. Dashboard, hier vindt u het dashboard met een aantal panelen die de status van uw abonnementen, veiligheidsscans en eventueel gevonden kwetsbaarheden weergeven. My Organization, hier vindt u de gegevens van uw organisatie en kunt u uw gebruikers aanmaken. Het wijzigen van de gegevens van uw organisatie kan via het KPN Klantportaal. Manage my subscriptions, hier vindt u het overzicht van uw abonnementen, inclusief detailinformatie. Het aanvragen van nieuwe abonnementen kan via het KPN Klantportaal. Scans, hier vindt u het overzicht van veiligheidsscans, inclusief inzicht in scanresultaten per systeem of apparaat en de mogelijkheid om handmatig een veiligheidsscan te starten. Vulnerabilities, hier vindt u het overzicht van alle gevonden kwetsbaarheden op alle systemen en apparaten, inclusief de mogelijkheid tot filteren, zoeken en sorteren. De URL van het portaal van de Veiligheidsscan (ThreadScan Portal) is: https://portal.threadstone.eu De afbeelding hieronder toont een voorbeeld van hoe het Dashboard er naar verloop van tijd uitziet:
4
Eerste keer inloggen en activatie van veiligheidsscans Wanneer u de eerste keer inlogt op het ThreadScan Portal doorloopt u een tweetal stappen: 1. Bevestiging van uw gebruikersaccount (u ontvangt hierover een notificatie per e-mail) 2. Akkoord voorwaarden en invoer wachtwoord (u ontvangt ook hierover een notificatie) Na afronding van het tweetal stappen verschijnt het volgende scherm voor activatie van uw eerste periodieke veiligheidsscan (u registreert hier domeinnaam of IP adres van het te scannen systeem):
Vervolgens verschijnt het volgende scherm voor de afronding van de activatie (u gaat hier akkoord met de voorwaarden en registreert de gebruiker voor de melding beschikbaarheid scanresultaten):
5
Na activatie van uw eerste periodieke veiligheidsscan verschijnt het onderstaande scherm met het overzicht van de geactiveerde veiligheidsscans en de eventueel nog beschikbare veiligheidsscans:
Wanneer u een tweede of volgende periodieke veiligheidsscan wilt activeren klikt u op Activate. Het onderstaande scherm verschijnt voor het registreren van de benodigde configuratieparameters:
Let op: Na de initiële activatie van een periodieke veiligheidsscan kan het enige tijd duren voordat deze veiligheidsscan wordt uitgevoerd. U ontvangt vanzelf een notificatie per e-mail (melding gereedheid scanresultaten). U kunt de scanresultaten online inzien op het portaal voor afhandeling.
6
Melding gereedheid scanresultaten Wanneer de resultaten van een veiligheidsscan beschikbaar zijn ontvangt u daarover per e-mail een melding. U kunt de scanresultaten vervolgens inzien op de ThreadScan Portal waar deze desgewenst kunnen worden gedownload. U kunt de scanresultaten dan bijvoorbeeld delen met uw IT leverancier zodat uw IT leverancier eventuele kwetsbaarheden in de IT oplossing die u afneemt kan verhelpen. Wanneer er vragen zijn over de resultaten van een veiligheidsscan, zowel technisch-inhoudelijk als op gebied van relevantie of impact van kwetsbaarheden, dan is het aan te raden om deze vragen eerst met uw IT leverancier te bespreken. Mochten er daarna nog vragen zijn dan kunt u samen met uw IT leverancier contact opnemen met de Helpdesk. Contactgegevens vindt u op het Klantportaal.
Hoe om te gaan met scanresultaten Ieder scanresultaat zal door u in volledigheid behandeld moeten worden in samenwerking met uw IT leverancier. De classificatie (ernst) van een kwetsbaarheid zoals vermeld in een scanresultaat is namelijk algemeen van aard en wordt bepaald op basis van industrie-gemiddelden rondom relevantie en impact. Dit betekent dat kwetsbaarheden met de classificatie Info, Low of Medium ook tot schade kunnen leiden, afhankelijk van de toepassing van uw IT oplossing. In de praktijk verdient het verhelpen van kwetsbaarheden met de classificatie Critical of High echter de prioriteit boven het verhelpen van kwetsbaarheden met de classificatie Info, Low of Medium.
Hoe scanresultaten af te handelen Ieder individueel scanresultaat bestaat uit een verzameling van mogelijke kwetsbaarheden die zijn aangetroffen door de veiligheidsscan op het moment van scannen. Iedere kwetsbaarheid is daarbij voorzien van een standaard classificatie: Info, Low, Medium, High of Critical. Daarnaast kunnen kwetsbaarheden worden voorzien van een administratief kenmerk dat iets zegt over de status met betrekking tot de afhandeling daarvan, namelijk: New, Open, Parked, Fixed of Not Applicable. Ook kunnen kwetsbaarheden worden voorzien van commentaren, zoals updates over genomen stappen. Iedere kwetsbaarheid wordt door de veiligheidsscan voorzien van een omschrijving, een mogelijke oplossingsrichting en een technische toelichting. Op basis van deze informatie kunt u samen met uw IT leverancier de daadwerkelijke relevantie en impact van de kwetsbaarheid voor uw organisatie bepalen. Daarnaast is deze informatie van belang voor het verhelpen van de kwetsbaarheid door uw IT leverancier of een derde partij zoals een IT fabrikant. De relevantie van de kwetsbaarheid wordt voornamelijk bepaald door uw IT leverancier. De impact van de kwetsbaarheid wordt voornamelijk door u bepaald en is afhankelijk van de toepassing van uw IT oplossing, de bedrijfsprocessen die daarvan afhankelijk zijn en de daarvoor geldende wet- en regelgeving. De vragen die per kwetsbaarheid met ja of nee beantwoord moeten te worden vindt u in de onderstaande diagram. Hierbij is het van belang om te begrijpen dat er geen directe, wederzijdse afhankelijkheden met betrekking tot de vragen bestaan, maar dat zij wel met elkaar in relatie staan. Zo kan ongeautoriseerde toegang tot uw systemen al dan niet leiden tot het verliezen van gevoelige gegevens door het kopiëren, wijzigen of verwijderen daarvan. Tevens kan dergelijke toegang al dan niet kan leiden tot veranderingen van functionaliteit, ook zonder dat gevoelige gegevens gekopieerd of gewijzigd worden. Denk hierbij aan de inzet van uw systemen voor andere, illegale doeleinden, zoals het heimelijk uitvoeren van DDoS aanvallen of het versturen van spam, zonder dat u dit merkt.
7
Kan een kwaadwillende dankzij het benutten van een kwetsbaarheid: Toegankelijkheid tot het systeem verkrijgen?
Functionaliteit van het systeem veranderen?
Beschikbaarheid van het systeem verminderen?
Gegevens op het systeem kopiëren?
Gegevens op het systeem wijzigen?
Gegevens op het systeem wissen?
Hoe kwetsbaarheden ontstaan Het ontstaan van kwetsbaarheden in IT oplossingen kent een tweetal voornaamste oorzaken: 1) fouten gemaakt door ontwikkelaars tijdens het ontwikkelen van IT oplossingen, of 2) fouten gemaakt door specialisten tijdens het configureren van IT oplossingen. Afhankelijk van de kwetsbaarheid bestaan er dus twee voornaamste oplossingsrichtingen: 1) het doorvoeren van een software update, of 2) het doorvoeren van een configuratiewijziging. In sommige gevallen kunnen er dankzij het doorvoeren van configuratiewijzigingen ook kwetsbaarheden worden verholpen die zijn ontstaan door fouten gemaakt door ontwikkelaars. Meestal zijn dit tijdelijke configuratiewijzigingen die soms leiden tot verminderde functionaliteit. Dergelijke tijdelijke maatregelen kunnen echter zeer nuttig zijn, bijvoorbeeld in afwachting van een software update. Uw IT oplossing blijft op die manier maximaal beschikbaar zodat uw bedrijfsvoering minimaal wordt vertraagd en niet tot stilstand komt.
Hoe kwetsbaarheden te voorkomen Uw IT leverancier hoort te weten hoe IT oplossingen veilig geconfigureerd moeten worden en hoort daarbij een tweetal uitgangspunten te hanteren: 1) zet alleen de functionaliteit aan die vereist is voor het doelmatig gebruik van de IT oplossing, en 2) zorg dat de IT oplossing alleen de informatie die nodig is deelt met wie het nodig heeft. Dit betekent bijvoorbeeld dat een IT oplossing voor een website geen publiekelijk toegankelijke folders met klantgegevens heeft die alleen per klant en na succesvolle aanmelding toegankelijk horen te zijn, en dit betekent ook dat een IT oplossing voor een firewall alleen het netwerkverkeer doorlaat dat is toegestaan voor wettig en geautoriseerd gebruik. Naast de genoemde voorbeelden zijn er nog vele andere tips en trucs om IT oplossingen veilig te configureren. Uw IT leverancier dient hiervan op de hoogte te zijn om u veilig te kunnen bedienen. Verder kunt u kwetsbaarheden voorkomen door beschikbare veiligheidsupdates direct te installeren.
Hoe het benutten van kwetsbaarheden te voorkomen Er zijn verschillende standaard oplossingen op de markt beschikbaar om het illegaal benutten van kwetsbaarheden door kwaadwillenden af te weren. Aanvals- en inbraakpogingen worden door dergelijke oplossingen gedetecteerd en afgeweerd. Populaire alles-in-één oplossingen hiervoor zijn de modernere firewalls, die ook wel Unified Threat Management (UTM) oplossingen worden genoemd. UTM oplossingen bevatten, naast de traditionele, standaard firewall functionaliteit, extra beveiligingsmechanismen om bijvoorbeeld veilig te kunnen websurfen en e-mailen, vrij van virussen, spyware, spam, phishing en andere soorten malware. Daarnaast blokkeren dergelijke oplossingen zowel verdachte inkomende als verdachte uitgaande verbindingen. Hieronder vallen bijvoorbeeld 8
aanvallen afkomstig van het internet op uw webservers, mailservers of andere IT oplossingen, evenals uitgaande verbindingen van interne, geïnfecteerde systemen met externe botnets. Tot slot is de traditionele, lokaal geïnstalleerde virusscanner als basisbescherming nog steeds van groot belang.
9
Inzage scanresultaten U kunt uw scanresultaten online inzien. U logt daarvoor in op het portaal en klikt op Vulnerabilities. Het scherm hieronder verschijnt en toont een overzicht van gevonden, potentiele kwetsbaarheden:
Wanneer u op View klikt verschijnen de detailgegevens van de gevonden kwetsbaarheden. Deze data kunt u delen met uw IT leverancier zodat deze de kwetsbaarheden kan toelichten of verhelpen:
Let op: In het voorbeeld hierboven wordt melding gemaakt van een kritieke kwetsbaarheid met als omschrijving “Possible Firewall detected” omdat dit de veiligheidsscan verhindert de scan uit te voeren. Het is dus van belang om uw IT infrastructuur toegankelijk te maken voor de veiligheidsscan. 10
Toevoegen gebruikers U kunt omwille van het snel en direct distribueren van notificaties over scanresultaten naar de juiste, verantwoordelijke partijen (bijvoorbeeld de beheerorganisatie van uw webserver of firewall) extra gebruikers toevoegen op het portaal. Hiervoor klikt u op My Organisation > Manage Users. Het onderstaande scherm verschijnt, waarin u op Add new user klikt voor het aanmaken van gebruikers:
U voert vervolgens de gebruikersgegevens in en selecteert daarbij de rol Technical User. Na het toevoegen van gebruikers kunt u deze selecteren als ontvangers van notificaties over scanresultaten:
11
