Gelukkig zijn er nog geen grote inbreuken geweest waarbij de bug is gebruikt, hoewel er wel kleine aanvallen in het wild zijn waargenomen. Bedrijven over de hele wereld moesten zich echter haasten om dit probleem op te lossen, waarvoor vaak een handmatige spreadsheet van hun certificaten moest worden doorlopen om getroffen servers te vinden.
Niet alleen is dat een ongelooflijk intensief proces, maar veel bedrijven hebben hun lesje nog niet geleerd en weigeren over te stappen op een geautomatiseerd systeem voor certificaatbeheer. De vraag blijft dus: wat kunnen we leren over certificaatbeheer in een wereld na Heartbleed?
Gebruik automatisering voor certificaten
Het lijkt misschien voor de hand liggend, maar de eerste stap bij het automatiseren van het certificaatbeheer is het automatiseren van het proces. Dat betekent dat moet worden afgestapt van de traditionele aanpak waarbij licenties en certificaten in een spreadsheet worden bijgehouden. Die praktijk heeft er in belangrijke mate toe bijgedragen hoe effectief Heartbleed was, aangezien het veel tijd kostte om certificaten te vinden en ze op servers en andere apparaten bij te werken. Volgens de resultaten van de PKI-enquête van dit jaar, gebruikt 36% van de IT-professionals helaas nog steeds spreadsheets om hun certificaten te beheren – en dat is zorgwekkend.
Er zijn verschillende manieren om het beheer van de levenscyclus van certificaten te automatiseren, waaronder het automatiseren van het uitgifte- en registratieproces voor certificaten.
Ondersteun nieuwe en sterke protocollen
TLS-ondersteuning is essentieel om problemen zoals die met Heartbleed te voorkomen. Nog belangrijker is het om over te stappen van TLS 1.1 en TLS 1.2. Sinds TLS 1.3 uitkwam is er geen echte reden meer om de oudere versies te blijven gebruiken.
Dit wordt nog duidelijker door het feit dat belangrijke aanvallen op SSL/TLS-certificaten vaak komen en gaan, en dat er altijd een risico is met de oudere versie van protocollen. Implementeer TLS 1.3 daarom zo snel mogelijk.
Maak gebruik van interne evaluaties
Aangezien Heartbleed gebaseerd was op een OpenSSL-kwetsbaarheid, is het voor organisaties belangrijk om regelmatig interne controles uit te voeren van alle opensourcesoftware die ze gebruiken. Dit kan op verschillende manieren gebeuren, via dynamische of statische analyse, maar het moet zeker een uitgebreide zoektocht van het web naar weinig bekende kwetsbaarheden omvatten. Door de curve voor te blijven, kunnen bedrijven ervoor zorgen dat ze niet het slachtoffer worden van kwetsbaarheden die over het hoofd worden gezien – Heartbleed werd tenslotte bijna twee jaar lang over het hoofd gezien.
Natuurlijk hebben niet alle bedrijven hun eigen interne beveiligingsteams, dus u kunt overwegen een freelancer of consultancybureau in te huren om de audit uit te voeren en uw website en backendsysteem veilig te maken. Organisaties kunnen rekenen op een vergoeding van minstens 60 dollar per uur voor een ervaren ontwikkelaar, en het is de kosten zeker waard voor uw gemoedsrust als u er een kunt vinden met ervaring op het gebied van veilige codering. Het openen van een interne afdeling is ook een optie, zij het een duurdere.
Het belang van deze stap kan niet genoeg benadrukt worden, vooral vanwege de manier waarop de meeste opensourcebibliotheken gebouwd worden en het feit dat ze niet cryptografisch ondertekend zijn. Er is een reden waarom de wereldwijde cyberbeveiligingsmarkt tegen 2028 naar verwachting bijna 420 miljard dollar zal bedragen, en dat is gedeeltelijk te wijten aan dit soort vergissingen in kwetsbaarheden.
Stelt u zich een bedrijf voor dat zijn eigen software of service ontwikkelt op basis van een opensourcebibliotheek die niet noodzakelijk ondertekend is of ondertekend wordt na de release. Kwetsbaarheden die mogelijk bestaan in opensourcebibliotheken worden geïntroduceerd in het product van het bedrijf, zelfs als het verder cryptografisch veilig is. De inbreuk bij SolarWinds is een perfect voorbeeld van hoe een kwetsbaarheid in één software zich uitbreidde naar andere software die ervan afhankelijk was.
Ondersteun sterke cryptografische sleutels en kortstondige sleuteloverdracht
Perfect Forward Secrecy, of PFS, is een cryptografisch concept dat draait om de beveiliging van sleutels op lange termijn. Het maakt het namelijk mogelijk dat bestaande sessiesleutels veilig zijn, zelfs als bepaalde sleuteluitwisselingssessies worden gecompromitteerd. Zie het als een zelfdichtende brandstoftank – ook al is er een lek, dan nog heeft dat geen invloed op de algehele integriteit.
Er zijn verschillende protocollen die een vorm van PFS gebruiken, zoals IPsec en SSH, die beide populair zijn als het om berichtenverkeer gaat. U zult ook blij zijn te weten dat TLS 1.3 geen sleutels ondersteunt zonder enige vorm van voorwaartse geheimhouding, wat de reden is waarom het zo belangrijk is om het zo snel mogelijk te implementeren.
Behoud een op beveiliging gerichte cultuur
Een groot probleem bij productontwikkeling is de noodzaak een evenwicht te vinden tussen snelheid en veiligheid. Meestal is dit het deel waar veel bedrijven lijken te bezuinigen op hun CI/CD-processen die een goede cyberbeveiliging handhaven. Dit zal alleen maar erger worden naarmate cyberaanvallen geavanceerder worden, dus dit is zeker geen probleem dat zal verdwijnen door op anderen te vertrouwen.
Daarom is het belangrijk een sterke cultuur te hebben waarin beveiliging als fundamentele bouwsteen centraal staat. Door uw beveiliging ruim van tevoren op te bouwen, hoeft u niet midden in een crisis in het wilde weg veiligheidsmaatregelen te treffen.
Organisaties moeten een gestroomlijnd proces voor DevSecOps hebben, evenals goede training en de mogelijkheid om vaardigheden in die niche te ontwikkelen. Op dezelfde manier zou een codeondertekeningsstap in het CI/CD-proces moeten worden geïntegreerd om niet-cyberbeveiligingsontwikkelaars te helpen hun producten te bouwen met minimale inmenging of kritiek.
Conclusie
Heartbleed heeft de manier waarop we certificaten en opensourcebibliotheken benaderen opnieuw gedefinieerd. Dit gezegd zijnde, zijn veel organisaties nog niet overgestapt op een moderner systeem en benaderen ze ontwikkeling met de nadruk op veiligheid. Door geautomatiseerd certificaatbeheer kunnen organisaties veel sneller reageren op dit soort kwetsbaarheden en hun systemen en klantgegevens beschermen.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.
