Web-technologie is inmiddels meer dan 25 jaar in gebruik sinds het HTTP protocol in 1989 door het CERN als standaard werd gepubliceerd. Tools om websites te publiceren zijn commodity en er is een ruime keuze aan producten en platforms waarop websites worden gehost. Producten waarvoor licenties nodig zijn, maar ook goed werkende opensource alternatieven worden ingezet om websites te publiceren.
De omgeving waarin dit gebeurd is in de laatste vijf jaar sterk veranderd. Was het tot voor kort zo dat hackpogingen op websites en andere services, die via het internet aangeboden worden, een uitzondering waren, tegenwoordig is het standaard dat zodra een systeem ingeschakeld wordt met een internet adres, binnen enkele minuten pogingen worden ondernomen om toegang te krijgen tot het systeem.
Bijvoorbeeld de SPS-websites, sps.nl en gensys.nl, krijgen gemiddeld twee keer per minuut requests aangeboden die duidelijk bedoeld zijn als hackpoging. Zwakheden of bekende beveiligingslekken worden direct door hackers ontdekt en benut.
Hackers gebruiken websites om illegaal toegang krijgen voor verschillende doeleinden:
- Injecteren van URL’s naar advertenties zodat zij geld verdienen met hits van die websites.
- Injecteren van malware die virussen aanmaakt op de systemen van de websitebezoekers.
- Installatie van bots op de webserver, voor het versturen van spam e-mails of andere doeleinden waarvoor zij de server willen gebruiken.
- Als springplank naar het achterliggende netwerk, om daar toegang te krijgen tot bedrijfsinformatie.
De schade die hierdoor ontstaat varieert van slechte performance, imagoschade, achteruitgang in Google-rating, verlies van bedrijfsgegevens en mogelijke boetes door het verliezen van privacygevoelige gegevens. Aan de andere kant is web-presentie voor de meeste organisaties noodzakelijk voor het contact met klanten en medewerkers. Zo is ontsluiting van bedrijfsgegevens via het web noodzakelijk om thuiswerken mogelijk te maken.
In dit artikel wordt ingegaan op de afwegingen en keuzes die van belang zijn bij het opzetten van services die via het internet worden aangeboden aan klanten en medewerkers. Eerst wordt een korte toelichting gegeven op welke spelers en risicofactoren er zijn.
Spelers en risico’s
Zoals eerder opgemerkt, zodra een systeem met een internetadres wordt ingeschakeld, komen binnen enkele minuten de port-scans, inlogpogingen en pogingen om een specifiek website management systeem te hacken, binnenstromen. De oorzaak dat het internet veel weg heeft van een vijver met hongerige piranha’s is simpel: er is geld te verdienen met gehackte systemen.
De meeste hackers zijn medewerkers van professionele organisaties, die als enig doel hebben om zoveel mogelijk systemen te verzamelen die ingezet worden in botnets. Deze botnets worden vervolgens verhuurd om gebruikt te worden voor mailspamming of DDOS-attacks. Een andere manier om geld te verdienen is het stelen van waardevolle informatie zoals klantinformatie en creditcardnummers. E-mailadressen van ‘high-value’ klanten brengen enkele dollars per adres op, recente creditcardnummers enkele tientallen.
Voor een botnet is een gehackte webserver, van een organisatie die een snelle internetverbinding heeft, van grote waarde. In tegenstelling tot gehackte thuis-pc’s met ADSL is een flinke hoeveelheid bandbreedte beschikbaar voor internet-uploads en dus veel capaciteit voor het versturen van grote hoeveelheden spam.
Hacking gebeurt systematisch en voor het grootste deel geautomatiseerd. Eerst worden basic-scans gedaan op internetadressen om na te gaan welk platform wordt gebruikt in combinatie met het content management systeem. Dan worden meer specifieke tests gedaan om softwarecomponenten te ontdekken met bekende beveiligingsproblemen. Organisaties die zich hiermee bezighouden beschikken over databases waarin softwarelekken gedocumenteerd zijn voor elk pakket en versie. Wanneer wordt vastgesteld dat het mogelijk is om de site te hacken, dan wordt handmatig de hack geïmplementeerd.
Naast bovenstaande redenen zijn er voor elke potentiele slachtofferorganisatie specifieke redenen waarom hacking attractief is. Klantbestanden van grote webshops, mogelijkheid om ransomware te injecteren waarmee via chantage bitcoins te verdienen zijn, stelen van bedrijfsgeheimen en andere concurrentiegevoelige informatie zijn voor dergelijke organisaties waardevol.
En nu verder
Organisaties moeten web-presentie hebben om relevant te zijn. Het is daarom noodzakelijk om services op het internet op een veilige manier te publiceren en te accepteren dat er risico’s zijn. Deze risico’s moeten worden geminimaliseerd. Restrisico’s moeten bekend en acceptabel zijn, zodat wanneer deze optreden, bekend is wat er gedaan moet worden om de gevolgen hiervan te minimaliseren.
Afhankelijk van de restrisico’s is het aan te raden om extern advies te vragen. Hierdoor ontstaat meer zekerheid en wordt de beveiliging verbeterd. Richting de eigen organisatie ontstaat meer duidelijkheid en zekerheid over de kwaliteit van de technische inrichting en de gebruikte procedures om de vereiste kwaliteit te handhaven.
SPS helpt organisaties met het succesvol en veilig aanbieden van services via internet door advies en inrichting. SPS heeft daarnaast nieuwe oplossingen ontwikkeld om bestaande websites beter te beveiligen, verkeer te verdelen over meerdere webservers en om de beschikbaarheid en performance te verbeteren. De reverse proxy oplossing die door SPS is gebouwd, neemt het inkomende verkeer richting de webservers in ontvangst. Via interceptie van het inkomende verkeer:
- worden ongewenste URL’s verwijderd;
- wordt SSL-afhandeling verzorgd, waardoor inzicht ontstaat in de inkomende webserver URL’s en kunnen hackpogingen herkend en tegengehouden worden;
- wordt het verkeer verdeeld op basis van diverse kenmerken;
- wordt de beveiliging verbeterd doordat de webservers zelf niet meer direct aan het internet gekoppeld zijn;
- kan eenvoudig het verkeer worden herleid bij gepland onderhoud;
- wordt het aantal benodigde ip-adressen gereduceerd; de proxy kan meerdere sites via een enkel ip-adres aanbieden.
De ruime mate van controle over de manier waarop inkomende webserververzoeken worden afgehandeld, reduceert de risico’s die het aanbieden van een website met zich meebrengt, in vergelijking met de situatie waarbij gebruikers direct hun webverkeer naar een Microsoft of Linux gebaseerde webserver sturen.
