Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Log4Shell verslaan: Hoe het Kiteworks Hardened Appliance zijn naam waarmaakte
Log4Shell verslaan: Hoe het Kiteworks Hardened Appliance zijn naam waarmaakte

Log4Shell verslaan: Hoe het Kiteworks Hardened Appliance zijn naam waarmaakte

by Yul Bahat updated februari 6, 2023 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Als je een willekeurige securityprofessional of CISO vraagt of ze zich herinneren wat ze op 9 december 2021 deden, is de kans groot dat het antwoord ja is. Dat is de dag waarop organisaties wereldwijd hals over kop bijna elk onderdeel van hun kritieke systemen en infrastructuur moesten upgraden en bijwerken vanwege de publicatie van de Log4Shell-kwetsbaarheid; de kritieke kwetsbaarheid in de populaire Log4j-bibliotheek die iedereen met een internetverbinding in staat stelt om op afstand willekeurige commando’s uit te voeren op de besturingssystemen van kwetsbare producten.

Kiteworks had die dag geen dringende patch nodig, ondanks het feit dat Log4j wel degelijk wordt gebruikt. Dankzij de gelaagde beveiligingsaanpak van Kiteworks bij het bouwen van zijn geharde appliance werd de CVSS-score van 10.0 van de kwetsbaarheid automatisch teruggebracht tot maximaal 4.0 binnen Kiteworks. Dit gaf Kiteworks-klanten de zekerheid en het vertrouwen dat hun meest kritieke en gevoelige informatie veilig en beschermd was.

Bescherming van binnenuit

Om de Engelse dichter John Donne te parafraseren: “geen enkel systeem is een eiland op zichzelf,” en Kiteworks is daarop geen uitzondering. Kiteworks is van nature een verbonden systeem, waarmee gebruikers veilig, beschermd en compliant kunnen samenwerken met collega’s (zowel intern als extern). Dit betekent dat Kiteworks verbinding moet maken met andere systemen, en andere systemen en gebruikers toegang moet geven tot Kiteworks. De uitdaging is om dit volledig volgens het zero-trust-principe te doen, zodat niets en niemand zonder toestemming en zonder opgemerkt te worden binnenkomt of vertrekt.

Daarom hebben we de geharde appliance van Kiteworks ontwikkeld.

Minimalistisch besturingssysteem

Een geharde appliance van Kiteworks begint als een kale installatie van het Linux-besturingssysteem, met alleen het absolute minimum aan bibliotheken en systeemapplicaties die nodig zijn voor de werking. Het DevOps-team van Kiteworks installeert vervolgens een zorgvuldig samengestelde set externe bibliotheken, die stuk voor stuk noodzakelijk zijn voor de werking van Kiteworks en goedgekeurd door het securityteam.

De lijst met gebruikte bibliotheken wordt continu gescand op bekende kwetsbaarheden, zodat de geharde appliance van Kiteworks altijd up-to-date is met de vereiste beveiligingspatches en upgrades.

Uiteindelijk heeft een geharde appliance van Kiteworks nul onnodige actieve poorten of services.

Hardening van het besturingssysteem

Hardening van het besturingssysteem is het beveiligen van een besturingssysteem door kwetsbaarheden te verminderen, bedreigingen te beperken en het aanvalsoppervlak te minimaliseren. Het doel van hardening is om het systeem veiliger, betrouwbaarder en beter bestand te maken tegen cyberaanvallen. Enkele gangbare praktijken voor hardening van het besturingssysteem zijn:

Hoe verkleint system hardening het aanvalsoppervlak?

System hardening is het proces waarbij een computersysteem wordt beveiligd door het aanvalsoppervlak te verkleinen, oftewel het totale gebied dat een hacker kan misbruiken om ongeautoriseerde toegang te krijgen of gevoelige informatie te stelen. System hardening verkleint het aanvalsoppervlak op diverse manieren, waaronder:

  1. Uitschakelen van onnodige services en protocollen: Door onnodige services en protocollen uit te schakelen, verklein je het aantal ingangen dat een hacker kan misbruiken voor ongeautoriseerde toegang. Elke service of protocol die draait op een systeem kan kwetsbaarheden introduceren, dus het verwijderen van alles wat niet nodig is voor de bedrijfsvoering verkleint het aanvalsoppervlak.
  2. Updaten van software en firmware: Het up-to-date houden van software en firmware helpt om bekende kwetsbaarheden of zwakke plekken te patchen die door aanvallers kunnen worden misbruikt. Dit verkleint de kans dat aanvallers bekende kwetsbaarheden in verouderde software kunnen uitbuiten.
  3. Configureren van toegangscontroles: Door toegangscontroles goed in te stellen, beperk je het aantal gebruikers met toegang tot gevoelige data, waardoor het aanvalsoppervlak wordt verkleind en het aantal potentiële doelwitten voor aanvallers afneemt.
  4. Implementeren van sterke authenticatie: Sterke authenticatiemechanismen, zoals multi-factor authentication, maken het voor aanvallers moeilijker om ongeautoriseerde toegang te krijgen, wat het aanvalsoppervlak verder verkleint.
  5. Handhaven van wachtwoordbeleid: Door een sterk wachtwoordbeleid te hanteren, zoals het vereisen van complexe wachtwoorden en regelmatige wijzigingen, verklein je de kans dat aanvallers toegang krijgen via brute force-aanvallen.
  6. Verwijderen van onnodige gebruikersaccounts: Door gebruikersaccounts die niet meer nodig zijn te verwijderen, verklein je het aantal potentiële doelwitten voor aanvallers om ongeautoriseerde toegang te krijgen.

System hardening is een belangrijk onderdeel van de cyberbeveiligingsstrategie van elke organisatie. Door het aanvalsoppervlak te verkleinen, maak je het moeilijker voor aanvallers om toegang te krijgen tot gevoelige gegevens of systemen en bescherm je je organisatie tegen potentiële bedreigingen.

Device Hardening versus geharde security appliances

Device hardening verwijst naar het beveiligen van individuele apparaten door onnodige services te verwijderen of uit te schakelen, beveiligingspatches toe te passen en beveiligingsmaatregelen zoals firewalls, encryptie en toegangscontroles te implementeren. Geharde security appliances zijn daarentegen gespecialiseerde apparaten die zijn ontworpen en geoptimaliseerd voor specifieke beveiligingstaken, zoals firewalls, inbraakdetectie en -preventie en contentfiltering.

Deze apparaten zijn voorzien van ingebouwde beveiligingsfuncties en vooraf geconfigureerd om maximale bescherming te bieden tegen diverse bedreigingen. Kortom, waar device hardening zich richt op het beveiligen van individuele apparaten, bieden geharde security appliances een extra beschermingslaag door gespecialiseerde beveiligingsfunctionaliteiten binnen een netwerkomgeving te bieden.

Zero Trust (werkt twee kanten op)

In lijn met het principe van minimale toegang kan de interne structuur van de geharde appliance van Kiteworks alleen worden benaderd door precies één systeemaccount. Er bestaan een zeer klein aantal andere systeemaccounts, maar hun rechten zijn extreem beperkt volgens het “principe van minimale privileges” en ze hebben geen interactieve toegang tot de appliance.

Om de integriteit van de geharde appliance van Kiteworks te waarborgen, kan het supportaccount alleen worden gebruikt door een gecertificeerde support engineer van Kiteworks. Geen enkele klant krijgt ooit het wachtwoord van dat account, zelfs niet voor een appliance die in hun eigen datacenter op locatie is geïnstalleerd.

Kiteworks zorgt er echter ook voor dat deze verbinding alleen tot stand kan komen met de expliciete en actieve goedkeuring van de klant. Tijdens normale operaties kan alleen de klantbeheerder toegang krijgen tot een account; Kiteworks kent het wachtwoord van het account niet en heeft daar ook geen toegang toe. Wanneer een supportsessie nodig is, kan een systeembeheerder direct een nieuw versleuteld toegangswachtwoord genereren en dit doorgeven aan de support engineer. Die kan het vervolgens ontsleutelen en gebruiken om verbinding te maken.

Het resultaat is volledige, tweezijdige zero trust.

Interne monitoring

Alle geharde appliances van Kiteworks zijn uitgerust met interne mechanismen om zeer strikte beleidsregels te monitoren en af te dwingen met betrekking tot het verwachte gedrag van zowel het besturings- als het bestandssysteem. Als om welke reden dan ook een geharde appliance van Kiteworks afwijkt van de oorspronkelijke staat (bijvoorbeeld als een bestand onverwacht wordt gewijzigd of aangemaakt waar dat niet hoort, of als een service luistert op een onverwachte poort), wordt er automatisch een waarschuwing naar de beheerder gestuurd.

De geharde appliance houdt ook gedetailleerde logs bij van alle activiteiten van kritieke services, zodat systeembeheerders de interne werking van Kiteworks in realtime kunnen monitoren met hun eigen security information and event management (SIEM) en andere security orchestration, automation, and response (SOAR) tools.

Interne sandboxing

Zoals eerder vermeld, is de werking van Kiteworks soms afhankelijk van bibliotheken van derden—open source of commercieel. Waar mogelijk gebruikt Kiteworks deze bibliotheken binnen een sandbox op besturingssysteemniveau. Met andere woorden: hoewel de betreffende externe bibliotheek is geïnstalleerd, is de toegang tot andere delen van het besturingssysteem of bestandssysteem sterk beperkt. Dit zorgt ervoor dat, zelfs als er een kwetsbaarheid wordt gevonden in een van deze bibliotheken, de potentiële dreiging voor de geharde appliance van Kiteworks aanzienlijk wordt beperkt.

Netwerkbeleid afdwingen

Om ervoor te zorgen dat de oorspronkelijke staat van het besturingssysteem ook aan de netwerkzijde wordt afgedwongen, hebben alle geharde appliances van Kiteworks een zeer strikte interne firewallconfiguratie, waarbij inkomend netwerkverkeer alleen wordt toegestaan via de vereiste en verwachte kanalen en poorten.

Aanvullende netwerkbescherming

Alle geharde appliances van Kiteworks zijn uitgerust met mechanismen om kwaadaardige verbindingen en webverzoeken te monitoren en te blokkeren. Naast de statische firewallconfiguratie die netwerkverbindingen op onverwachte poorten blokkeert, maken we ook gebruik van dynamische blokkering van kwaadaardige verzoeken. Daarnaast worden herhaalde overtreders automatisch en volledig geblokkeerd, om de appliance en de Kiteworks-oplossing soepel en veilig te laten functioneren.

Netwerkappliance voor netwerkbeveiliging

Een netwerkappliance voor netwerkbeveiliging is een hardwareapparaat dat is ontworpen om een computernetwerk te beschermen tegen ongeautoriseerde toegang, virussen, malware en andere bedreigingen. Het is in feite een gespecialiseerde computer die is geoptimaliseerd voor beveiligingsdoeleinden en op het netwerk wordt geplaatst om al het verkeer te monitoren dat erdoorheen stroomt.

Een netwerkbeveiligingsappliance bevat doorgaans diverse beveiligingsfuncties, zoals firewalls, inbraakdetectie/-preventiesystemen, antivirus-/malwaresoftware, ondersteuning voor virtual private network (VPN) en contentfiltering. Deze functies werken samen om kwaadaardig verkeer te identificeren en blokkeren, aanvallen te voorkomen en het netwerk veilig te houden.

Netwerkbeveiligingsappliances worden gebruikt door bedrijven en organisaties van elke omvang, van kleine startups tot grote ondernemingen. Ze zijn vooral belangrijk voor organisaties die gevoelige of vertrouwelijke gegevens verwerken, zoals financiële instellingen, zorginstellingen en overheidsinstanties. Door gebruik te maken van een netwerkbeveiligingsappliance kunnen organisaties hun netwerk beschermen en hun gegevens veilig houden.

Beste practices voor network hardening

Om maximale bescherming te waarborgen, moeten netwerkbeheerders beste practices toepassen zoals het implementeren van sterke wachtwoorden, het installeren van firewalls, het gebruiken van encryptieprotocollen, het regelmatig updaten van software, het monitoren van netwerkverkeer en het uitvoeren van regelmatige beveiligingsaudits. Het is ook belangrijk om de toegang tot gevoelige data te beperken volgens het need-to-know-principe en medewerkers regelmatig te trainen in cyberbewustzijn. Door deze beste practices te volgen, kunnen bedrijven hun netwerk veilig en beschermd houden tegen potentiële bedreigingen.

De opkomst van Log4j

Log4j is een event logging-bibliotheek die gratis en open source wordt aangeboden door de Apache Foundation. De foundation wordt ondersteund door veel van de grootste merken ter wereld, waaronder Google, Microsoft, Amazon en Apple. Dankzij de betrouwbare aanbieder, de vele sterke punten en het eenvoudige gebruik werd Log4j snel een van de populairste bibliotheken ter wereld, door de meeste grote leveranciers in diverse oplossingen geïntegreerd. Kiteworks is een van die leveranciers.

In december 2021 werd ontdekt dat Log4j een ernstig beveiligingslek bevatte. Na onderzoek gaf de National Vulnerability Database (NVD), beheerd door het National Institute of Standards and Technology (NIST), de kwetsbaarheid de hoogst mogelijke CVSS-score—een 10.0.

Dit scoresysteem houdt rekening met diverse factoren, zoals hoe eenvoudig het is om te misbruiken en de omvang van de potentiële schade. De Log4j-kwetsbaarheid, met de bijnaam Log4Shell, stelde in feite iedereen ter wereld zonder authenticatie in staat om elk kwetsbaar systeem ter wereld kwaadaardige code te laten uitvoeren.

Gezien de enorme populariteit van Log4j is het duidelijk waarom dit binnen een nacht een wereldwijd incident werd.

Kiteworks geharde appliance als redder in nood

Terwijl veel leveranciers wereldwijd worstelden om noodpatches uit te brengen en hun klanten te waarschuwen voor de dringende noodzaak om deze te installeren, hoefde Kiteworks dat niet te doen.

Na grondig onderzoek concludeerde het securityteam van Kiteworks dat de CVSS-score van de kwetsbaarheid in de context van de geharde appliance maximaal een 4 zou zijn. Sterker nog, tot op de dag van vandaag is er geen bewijs dat de kwetsbaarheid in Kiteworks kan worden misbruikt. Hieronder enkele belangrijke punten:

  • Volgens het principe van minimale privileges werd de kwetsbare bibliotheek geïmplementeerd en gebruikt in een zeer restrictieve configuratie. Dit betekende dat de kwetsbare API’s waren uitgeschakeld en dus niet misbruikbaar waren.
  • De kwetsbare bibliotheek draaide in een eigen sandbox, waardoor het onmogelijk was om externe code uit te voeren, laat staan kwaadaardige code. Dus zelfs als deze misbruikt zou worden, was de potentiële dreiging aanzienlijk beperkt.
  • De kwetsbare bibliotheek werd intensief gemonitord, zodat elke afwijking van het verwachte gedrag zou zijn opgemerkt en gemeld. Dat is nooit gebeurd.

Zelfs met het bovenstaande op de voorgrond wilden we geen enkel risico nemen. De volgende release van Kiteworks bevatte een patch en meerdere mechanismen om elke mogelijkheid van misbruik te voorkomen, zelfs als het risico minimaal tot nihil was.

Deze maatregelen omvatten:

  • Een geüpdatete, niet-kwetsbare versie van de kwetsbare bibliotheek.
  • Aangepaste bibliotheekconfiguratie om de kwetsbare instelling specifiek uit te schakelen. Zelfs als de kwetsbare API’s in de toekomst zouden worden ingeschakeld, blijft de beveiliging intact.
  • Een speciale regel in onze interne netwerkbeschermingsmechanismen die directe Log4j-webverzoeken blokkeert.

Meer weten over de geharde appliance van Kiteworks

Kiteworks-klanten faciliteren interne en externe samenwerking en vertrouwen ons hun meest gevoelige en kritieke content toe. Om aan die verantwoordelijkheid te voldoen, is de geharde appliance van Kiteworks tot in detail ontworpen met meerdere lagen van beveiligingsmechanismen, waardoor deze bestand is tegen niet alleen bekende aanvallen, maar ook volledig onbekende aanvallen.

Wil je meer weten over de geharde appliance van Kiteworks? Plan vandaag nog een op maat gemaakte demo van het Kiteworks Private Content Network.

Veelgestelde vragen

Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe bedreigingen en organisatorische veranderingen. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een essentieel onderdeel is van de algehele risicobeheerstrategie van elke organisatie.

De belangrijkste onderdelen van een programma voor risicobeheer cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.

Organisaties kunnen cyberbeveiligingsrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangsmaatregelen zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en antimalwareprogramma’s, helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan kan schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en de standaarden van het National Institute of Standards and Technology (NIST), organisaties om cyberbeveiligingsrisico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s en het prioriteren ervan op basis van ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt onmiddellijke dreigingsdetectie en -respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele non-compliance kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvormingsprocessen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

 

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks