Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van wereldwijde cybersecurity-agentschappen lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Hoe weet u zeker dat u een passend beschermingsniveau hebt en of bestaande frameworks voldoende zijn, gezien zo'n onvoorspelbare aanval? 

De Zero-Day-dreiging begrijpen

Het is bijna tien jaar geleden dat cybersecurity-spreker en onderzoeker 'The Grugq' bepaald"Geef iemand een zero-day en hij heeft een dag toegang; leer iemand phishen en hij heeft levenslang toegang."

Deze lijn kwam tot stand halverwege een decennium dat was begonnen met de Stuxnet-virus en gebruikte meerdere zero-day kwetsbaarheden. Dit leidde tot angst voor deze onbekende kwetsbaarheden, die aanvallers gebruiken voor een eenmalige aanval op infrastructuur of software en waarvoor voorbereiding blijkbaar onmogelijk was.

Een zero-day-kwetsbaarheid is een kwetsbaarheid waarvoor geen patch beschikbaar is en vaak weet de softwareleverancier niet van de fout. Zodra de fout echter is gebruikt, is de fout bekend en kan deze worden gepatcht, waardoor de aanvaller één kans heeft om deze te exploiteren.

De evolutie van zero-day-aanvallen

Omdat de aanvallen in de jaren 2010 steeds geavanceerder werden en ransomware, credential stuffing-aanvallen en phishingpogingen steeds vaker werden gebruikt, lijkt het erop dat het tijdperk van zero-day voorbij is.

Het is echter niet het moment om zero-days te negeren. Statistieken tonen aan dat er in 97 2023 zero-day-kwetsbaarheden in het wild werden uitgebuit, ruim 50 procent meer dan in 2022. Het was een goed moment voor nationale cybersecurity-agentschappen om een waarschuwing geven over uitgebuite zero-days.

In november heeft het National Cyber ​​Security Centre (NCSC) van het Verenigd Koninkrijk – samen met instanties uit Australië, Canada, Nieuw-Zeeland en de Verenigde Staten – heeft een lijst gedeeld van de 15 meest misbruikte kwetsbaarheden in 2023.

Waarom zero-day-kwetsbaarheden nog steeds belangrijk zijn

In 2023 werd het merendeel van deze kwetsbaarheden in eerste instantie uitgebuit als zero-days. Dit is een aanzienlijke toename ten opzichte van 2022, toen minder dan de helft van de grootste kwetsbaarheden in een vroeg stadium werd uitgebuit.

Stefan Tanase, een cyberintelligence-expert bij CSIS, zegt: "Zero-days zijn niet langer alleen maar spionagetools; ze voeden grootschalige cybercriminaliteit." Hij noemt de exploitatie van zero-days in Cleo-bestandsoverdrachtoplossingen door de Clop-ransomwarebende om bedrijfsnetwerken te hacken en gegevens te stelen, als een van de meest recente voorbeelden.

Wat kunnen organisaties doen om zich te beschermen tegen zero-days?

Dus, we weten wat het probleem is, hoe lossen we het op? Het NCSC-advies moedigde netwerkverdedigers van ondernemingen ten zeerste aan om waakzaam te blijven met hun kwetsbaarheidsbeheerprocessen, inclusief het snel toepassen van alle beveiligingsupdates en ervoor zorgen dat ze alle assets in hun estates hebben geïdentificeerd.

Ollie Whitehouse, Chief Technology Officer van NCSC, zei dat organisaties om het risico op inbreuken te verkleinen, ‘voorop moeten lopen’ door patches snel toe te passen, te eisen dat producten veilig zijn en waakzaam te zijn met kwetsbaarheidsbeheer.

Daarom vereist de verdediging tegen een aanval waarbij een zero-day wordt gebruikt een betrouwbaar governance-framework dat deze beschermende factoren combineert. Als u vertrouwen hebt in uw risicomanagementhouding, kunt u er dan op vertrouwen dat u zo'n aanval overleeft?

De rol van ISO 27001 bij het bestrijden van zero-day-risico's

ISO 27001 biedt een kans om uw beveiligings- en veerkrachtniveau te waarborgen. Bijlage A. 12.6, 'Beheer van technische kwetsbaarheden', stelt dat informatie over technologische kwetsbaarheden van gebruikte informatiesystemen snel moet worden verkregen om de risicoblootstelling van de organisatie aan dergelijke kwetsbaarheden te evalueren. Het bedrijf moet ook maatregelen nemen om dat risico te beperken.

Hoewel ISO 27001 het gebruik van zero-day-kwetsbaarheden niet kan voorspellen of een aanval via deze kwetsbaarheden kan voorkomen, zegt Tanase dat de uitgebreide aanpak van risicobeheer en beveiligingsparaatheid organisaties beter bestand maakt tegen de uitdagingen die deze onbekende bedreigingen met zich meebrengen.

Hoe ISO 27001 helpt bij het opbouwen van cyberveerkracht

ISO 27001 geeft u de basis in risicomanagement en beveiligingsprocessen die u moeten voorbereiden op de ernstigste aanvallen. Andrew Rose, een voormalig CISO en analist en nu chief security officer van SoSafe, heeft 27001 geïmplementeerd in drie organisaties en zegt: "Het garandeert niet dat u veilig bent, maar het garandeert wel dat u de juiste processen hebt om u veilig te maken."

Rose noemt het een "continue verbeteringsmachine" en zegt dat het in een lus werkt waarbij je op zoek gaat naar kwetsbaarheden, bedreigingsinformatie verzamelt, deze in een risicoregister plaatst en dat risicoregister gebruikt om een ​​beveiligingsverbeteringsplan te maken. Vervolgens neem je dat mee naar de leidinggevenden en onderneem je actie om dingen te repareren of de risico's te accepteren.

Hij zegt: "Het bevat alle goede governance die je nodig hebt om veilig te zijn of toezicht te krijgen, alle risicobeoordeling en de risicoanalyse. Al die dingen zijn aanwezig, dus het is een uitstekend model om te bouwen."

De beste manier om goed voorbereid te zijn, is door de richtlijnen van ISO 27001 te volgen en samen te werken met een auditor zoals ISMS om ervoor te zorgen dat de hiaten worden aangepakt en dat uw processen op orde zijn.

Uw organisatie voorbereiden op de volgende zero-day-aanval

Christian Toon, oprichter en hoofdbeveiligingsstrateeg bij Alvearium Associates, zei dat ISO 27001 een raamwerk is voor het opzetten van uw beveiligingsmanagementsysteem en dat u het als leidraad kunt gebruiken.

"Je kunt jezelf afstemmen op de standaard en de onderdelen kiezen die je wilt doen," zei hij. "Het gaat erom te definiëren wat goed is voor jouw bedrijf binnen die standaard."

Is er een element van naleving van ISO 27001 dat kan helpen om met zero days om te gaan? Toon zegt dat het een kansspel is als het gaat om het verdedigen tegen een uitgebuite zero day. Eén stap moet echter de organisatie achter het nalevingsinitiatief zijn.

Hij zegt dat als een bedrijf in het verleden nooit grote cyberproblemen heeft gehad en "de grootste problemen die je waarschijnlijk hebt gehad een paar accountovernames zijn", het voorbereiden op een 'groot probleem' - zoals het patchen van een zero-day - het bedrijf zal doen beseffen dat het meer moet doen.

Toon zegt dat dit ertoe leidt dat bedrijven meer investeren in compliance en veerkracht, en dat kaders zoals ISO 27001 deel uitmaken van "organisaties die het risico nemen". Hij zegt: "Ze zijn er heel blij mee om het te zien als een beetje een compliance-dingetje op laag niveau", en dit resulteert in investeringen.

Tanase zei dat een deel van ISO 27001 vereist dat organisaties regelmatig risicobeoordelingen uitvoeren, inclusief het identificeren van kwetsbaarheden - zelfs die welke onbekend of opkomend zijn - en het implementeren van controles om de blootstelling te verminderen.

"De standaard vereist robuuste incidentrespons en bedrijfscontinuïteitsplannen", zei hij. "Deze processen zorgen ervoor dat als een zero-day-kwetsbaarheid wordt uitgebuit, de organisatie snel kan reageren, de aanval kan indammen en de schade kan minimaliseren."

Het ISO 27001-framework bestaat uit advies om ervoor te zorgen dat een bedrijf proactief is. De beste stap om te nemen is om klaar te zijn om met een incident om te gaan, te weten welke software waar draait en een stevige grip te hebben op governance.