Hoe een bedrijf beschermen tegen Log4Shell en andere zero-day kwetsbaarheden?

Dan Verbruggen AXS Guard

Met deze drie oplossingen ben je beter beschermd tegen gelijkaardige zero-day vulnerabilities

Een ernstige kwetsbaarheid in een veelgebruikte open-source library voor Java zet sinds begin december 2021 het wereldwijde IT-landschap op scherp.

Wat was en is er precies aan de hand?

Log4Shell is een zero-day vulnerability die het populaire Apache-pakket Log4j aantast (sinds 9 december 2021 gepubliceerd als CVE-2021-44228). Aan de hand van speciale requests krijgen aanvallers controle over apparaten of computers waarop bepaalde versies van Log4j worden gebruikt. De Apache Software Foundation, die de Log4j 2-bibliotheek onderhoudt, gaf deze kwetsbaarheid een CVSS-score van 10 op 10, de hoogste score inzake de ernst van de kwetsbaarheid.

Bent u mee? Of te laat?

Ondertussen zijn er gelukkig al diverse opeenvolgende patches uitgebracht en is het uiteraard aangeraden om deze steeds ook onmiddellijk te installeren. Maar dan bent u er helaas nog niet…

Weet u wel of en waar Log4j gebruikt wordt in uw organisatie?

Dan Verbruggen, Sales & Marketing Director bij AXS Guard

Er zijn namelijk nog enkele andere zaken die u moet aanpakken. Weet u wel of en waar Log4j gebruikt wordt in uw organisatie? Heeft u of de fabrikant wel alles met de aller-allerlaatste versie gepatched?

En misschien nog de belangrijkste vraag, bent u al niet te laat? Hackers staan er tegenwoordig om bekend om hun tijd te nemen en hun “targets” gedurende enkele weken stilletjes te monitoren en dieper in de organisatie te graven alvorens hun ransomware los te laten en het bedrijf te gijzelen.

Gehacked, maar u weet het nog niet?

Daarom is het aangeraden om enkele andere oplossingen te implementeren die u betere beveiliging garanderen en minstens detecteren of er ongeoorloofde acties aan de gang zijn. Immers, als u gehacked bent en u weet het niet, dan zal u er ook niets aan kunnen doen. Alex Ongena, CEO van het Belgische AXS Guard adviseert: “Door te denken in cyber security lagen ben je als onderneming beter beschermd tegen gelijkaardige zero-day attacks. Elke laag maakt het moeilijker ongemerkt kwetsbaarheden te misbruiken en nieuwe technologieën met AI maken dat alsmaar moeilijker.”

SecureDNS activeren om kwaadaardige domeinen snel en automatisch te blokkeren

Alle communicatie, dus ook die van de aanvallers en van malware gebruiken DNS, een protocol waarmee computers kunnen achterhalen welk IP-adres bij een bepaalde host of domein hoort.

Via een SecureDNS service worden alle DNS-verzoeken gecontroleerd aan de hand van speciale databases en worden verdachte en kwaadaardige domeinen onmiddellijk geïdentificeerd en geblokkeerd.

Kwetsbaarheden als Log4shell gedragen zich wat dat betreft niet anders. Wanneer de Log4j-toepassing wordt aangevallen, zal het het doelwit gedwongen worden om “terug te bellen” naar een bepaalde URL. Een aanvaller kan die URL vervolgens misbruiken om bepaalde opdrachten door te geven die dan op de kwetsbare computer worden uitgevoerd.

Omdat de domeinen en IP-adressen in deze callback-URL’s kwaadaardig zijn, worden ze onmiddellijk herkend en geblokkeerd door SecureDNS, waardoor de aanval uiteindelijk mislukt.

Abnormale activiteit detecteren met AI en Endpoint Security (EDR)

Endpoint Detection & Response of EDR is een heel kleine applicatie, een zogenaamde agent, die geïnstalleerd wordt op elk apparaat in uw organisatie (zoals computer, laptop, server, mobiel) en via de centrale management interface een volledige zichtbaarheid biedt op uw IT-infrastructuur.

Log4j is een wereldwijd gebruikte applicatie. Gezien de eenvoud van de exploit, maakt deze grootschalige aanvallen spijtig genoeg mogelijk.

Dan Verbruggen, Sales & Marketing Director bij AXS Guard

Deze werkt in realtime en omvat een reeks geavanceerde technieken om alle abnormale activiteiten snel op te sporen én te stoppen. Dus ook de Log4Shell-kwetsbaarheid. Want deze maakt gebruik van de Log4j Java Naming and Directory Interface (JNDI). Deze laat toe om requests te initiëren naar een kwaadaardige server die wordt beheerd door een aanvaller op het internet.

Log4j is een wereldwijd gebruikte applicatie. Gezien de eenvoud van de exploit, maakt deze grootschalige aanvallen spijtig genoeg mogelijk. Hoewel de exploit op zichzelf eenvoudig is uit te voeren, zijn voor de aanvaller extra stappen nodig om voet aan de grond te krijgen.

De A.I. Driven Endpoint Security, zoals de EDR van ReaQta bij AXS Guard, biedt inzicht in onverwacht gedrag van applicaties, zoals Log4j, en blokkeert automatisch elke ongebruikelijke activiteit die plaatsvindt tijdens een post-exploitatiefase van een cyberaanval.

Intrustion Prevention System

Intrusion Prevention System (IPS) is een systeem dat de focus legt op preventie. Het systeem identificeert mogelijke kwetsbaarheden en treedt onmiddellijk in actie wanneer een aanval plaatsvindt.

IPS maakt namelijk gebruikt van bestaande preprocessoren en een reeks dynamische regels die automatisch worden bijgewerkt. Deze regels zijn verdeeld in klassen. Om uw netwerk te beschermen tegen Log4Shell op IPS-niveau, volstaat het om deze specifieke regels in uw IPS systeem op uw firewall te activeren en vervolgens te monitoren via de reporting tool welke aanvallen afgeblocked worden.

Internet security is dus denken in lagen

De hacker gebruikt meer dan één systeem, waarmee diverse technologieën gecombineerd worden. Daarom is het ook nodig om je verdediging in diverse lagen op te bouwen.

De hacker gebruikt meer dan één systeem, waarmee diverse technologieën gecombineerd worden.

Dan Verbruggen, Sales & Marketing Director bij AXS Guard

Naast het onmiddellijk installeren van alle door de diverse fabrikanten aangeboden patches is het nodig om alert te blijven en vooral preventief te werk te gaan. Naast automatische monitoring van alle internetverkeer op DNS niveau met SecureDNS is ook het bewaken van abnormaal gedrag op alle computers en servers via Endpoint Security een must. Intrusion prevention tenslotte, gaat aanvallen tegenhouden en rapporteren wat er gebeurde.

Dat dit een complex verhaal is, is duidelijk. Grote bedrijven hebben de mensen en de middelen om zich te beveiligen. Voor KMO’s zijn systemen zoals AXS Guard firewall, waarbij de diverse technologieën ingebouwd en samenwerken een betere keuze. Je hebt dan ineens alle tools om een uniform, betaalbaar en beheersbaar beveiligingsbeleid, in lagen, toe te passen.


Dit is een ingezonden bijdrage van Dan Verbruggen, Sales & Marketing Director bij AXS Guard. Voor meer informatie over de securityoplossingen van het bedrijf kan je hier terecht.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home