Wat je moet weten over de Chinese malware bij Defensie.
Blog
Wat je moet weten over de Chinese malware bij Defensie
Uit de publicatie van de MIVD over Chinese malware bij het ministerie van Defensie blijkt hoe belangrijk het is proactief securitybeleid te voeren. En wat goed dat deze instellingen dreigingsinformatie delen.Geschreven door: Jeroen Hentschke
Cybersecurity is nooit saai, dat blijkt maar weer. Op 6 februari maakte de Militaire Inlichtingen en Veiligheidsdienst (MIVD) bekend Chinese spionagesoftware te hebben aangetroffen op een computersysteem van het ministerie van Defensie. De dienst ontdekte geavanceerde malware die na uitvoerig onderzoek kan worden toegeschreven aan een ‘Chinese statelijke actor’. Uit het onderzoek blijkt verder dat de malware geïnstalleerd is door misbruik te maken van een kwetsbaarheid in de software van de Fortinet Fortigate firewall. Hoewel er in november 2022 al een patch is uitgebracht om het probleem te verhelpen, is het de aanvallers toch gelukt om binnen te dringen. Dat de MIVD en het ministerie met gedetailleerde informatie naar buiten komen, is een goede zaak. Een van de instrumenten in de strijd tegen cyberaanvallers is immers het delen van dreigingsinformatie, zodat organisaties zelf ook kunnen controleren of zij geraakt zijn door deze malware.
Firewall eerste verdedigingslinie
Securityleverancier Fortinet deed in deze casus wat het moest doen, namelijk het uitbrengen van een patch zodra de kwetsbaarheid eind 2022 aan het licht kwam. Dan is het aan de gebruikers van de firewall om het gat zo snel mogelijk te dichten. De firewall maakt al sinds het begin van internet deel uit van de cyberverdediging om vreemd of kwaadaardig netwerkverkeer tegen te houden. Het is in die zin de eerste verdedigingslinie. Ondanks dat cybersecurity tegenwoordig een steeds meer holistisch karakter krijgt, is de functionaliteit van een firewall met het toenemen van de complexiteit van het IT-landschap onverminderd belangrijk.
Bezorgdheid wegnemen
Hoe dan ook, het betreft in dit geval een kwetsbaarheid in security-apparatuur en dat doet toch de wenkbrauwen fronsen. Een firewall kun je echter zien als een computer waar software op draait en software bevat meestal legio onontdekte kwetsbaarheden. Dat weten we gewoon en daar kun je een leverancier als in dit geval Fortinet niet op afrekenen. Ook in deze situatie geldt: het is niet de vraag of je gehackt wordt, maar wanneer je gehackt wordt. Desalniettemin werd de leverancier hierop aangekeken en dit sentiment werd verder aangewakkerd toen Fortinet een paar dagen later met enkele nieuwe kwetsbaarheden rondom de bewuste firewall naar buiten kwam. Direct werden ook de nodige patches uitgebracht, zodat deze achterdeurtjes gesloten konden worden. Hoewel het hier gaat om twee compleet verschillende casussen en Fortinet handelde zoals het zou moeten handelen, nam de bezorgdheid over de betrouwbaarheid van dit product toe. Dit is een begrijpelijke reactie, maar feitelijk is er geen reden tot extra zorgen. Van security leveranciers zoals Fortinet wordt wel verwacht dat ze extra goed moeten testen op dit soort kwetsbaarheden. Als dit té vaak gebeurt mag je ze er wel degelijk op aankijken.
Securitystappenplan
Met de wetenschap dat iedere fabrikant van hard- en software te maken krijgt met kwetsbaarheden die misbruikt kunnen worden, is het verhelpen hiervan (vulnerability management) een basisonderdeel van je IT-huishouding. Het juist interpreteren van het gevaar dat zo’n kwetsbaarheid oplevert voor jouw organisatie is stap 1. Vervolgens kun je bepalen welke acties er nodig zijn om het gevaar te mitigeren en met welke snelheid. Zaak is om je processen zo in te richten dat je nieuwe informatie rondom kwetsbaarheden zo snel mogelijk (realtime) kunt inzetten (threat intelligence), interpreteren en actie kunt ondernemen. Daar moet je je processen op voorhand op inrichten. Dat is makkelijker gezegd dan gedaan, daarom de meerwaarde van Telindus Managed Services.
Managed security services
Wat deze casus wel aan het licht brengt, is dat de complexiteit van cybersecurity steeds verder toeneemt. Dit komt enerzijds doordat de IT-omgeving complexer wordt, met verschillende cloudomgevingen, mobiel werken en flexibele samenwerkingsvormen. Anderzijds wordt het dreigingslandschap groter en geavanceerder. Om alle ontwikkelingen te kunnen volgen en mogelijke dreigingen tijdig af te wenden, kun je overwegen securityoplossingen als een managed service af te nemen. Daarmee ben je er onder andere van verzekerd dat kwetsbaarheden worden opgelost zodra eer een patch beschikbaar is en weet je dat de IT-omgeving continu gemonitord wordt op afwijkend gedrag of verkeer.
De conclusie is dat de MIVD het juiste heeft gedaan door haar bevindingen wereldkundig te maken, daarmee aantonend hoe belangrijk het is dreigingsinformatie te delen. Daarnaast moeten we ons realiseren dat apparatuur die een securityfunctie heeft in het netwerk zelf ook kwetsbaar is; en mogelijk misbruikt kan worden door kwaadwillenden. Hoewel het proactief voeren van cybersecurity tegenwoordig hoog in het vaandel staat, blijft het noodzakelijk dat organisaties ad hoc en adequaat kunnen reageren op het moment dat er onverwachte dreigingen om de hoek komen kijken.