Bij Visma zijn we er trots op wanneer mensen bijdragen aan de cybersecuritygemeenschap door het vinden en waarschuwen van kwetsbaarheden die een kritieke impact kunnen hebben op zowel de publieke en private sector en daarmee het publiek beïnvloeden. Het belangrijkste is het vinden en beperken van de kwetsbaarheden voordat cybercriminelen dat doen en voordat zij er misbruik van kunnen maken.
Bij Visma hebben we een heel team van ethische hackers, penetratietesters en ontwikkelaars gewijd aan het vinden van deze kwetsbaarheden, met de nadruk op Visma's eigen toepassingen en infrastructuur. Natuurlijk helpen we ook graag anderen omdat we dit zien als een sociale verantwoordelijkheid in de voortdurende strijd tegen cybercriminaliteit.
Een kwetsbaarheid is een fout of zwakte in een IT-systeem, software, apparaat of hardware die kan dienen als ingang voor een hacker. De kwetsbaarheid kan ook gelegen zijn in de beveiligingsprocedures, de interne controles en de implementatie zelf en kan worden uitgebuit via verschillende methoden en technieken en met behulp van verschillende hackingtools.
Deze zwakke punten kunnen als toegangspunt dienen en duiden we aan als het aanvalsoppervlak. Deze kwetsbaarheden brengen gebruikers in gevaar en komen in aanraking om slachtoffer te worden van een data-lek of leiden tot het risico van ketenaanvallen. Zodra een kwetsbaarheid is uitgebuit en een ongeautoriseerde toegang heeft gekregen, kan de aanvaller ook een kwaadaardige code uitvoeren, gevoelige gegevens stelen of malware installeren.
Bij Visma spannen wij ons op allerlei manieren in om potentiële kwetsbaarheden vroegtijdig op te sporen, bijvoorbeeld met verschillende geautomatiseerde scanners, en hebben we talrijke teams ermee belast zijn om op verschillende manieren ons reactievermogen en de getroffen beveiligingsmaatregelen te testen. Wij stellen al onze ontwikkelingsteams in staat om beveiliging als onderdeel van het ontwikkelingsproces te beschouwen. We hebben een bug bounty programma en responsible disclosure zodat ethische hackers buiten Visma ook een bijdrage kunnen leveren.
Ook doen we uitgebreide penetratietesten waarbij we onszelf proberen te hacken door te zoeken naar zoveel mogelijke kwetsbaarheden om onze eigen activa te infiltreren via een gedefinieerde scope. En dan hebben we ons red-team, dat grotere operaties uitvoert waarbij de scope het simuleren van aanvallen is, hierbij wordt gezocht naar een manier om binnen te komen via een kwetsbaarheid. Hierbij kan gekeken worden hoe ver ze de aanval kunnen laten escaleren. Een red-team gaat meestal meer de diepte in, en heeft meer vrijheid als het gaat om de reikwijdte en de gekozen methode en route.
Onlangs ontdekten twee van onze Visma-collega's in het rode team; Joona Hoikkala en Tomi Koski, een voorheen onbekende kwetsbaarheid in de softwareoplossing FreshService die tot kritieke gevolgen had kunnen leiden als cybercriminelen hen eerst hadden gevonden. FreshService is een cloud-gebaseerde service managementoplossing die de IT van organisaties vereenvoudigt en wordt gebruikt door duizenden grote bedrijven over de hele wereld. De twee vonden de kwetsbaarheid bij toeval nadat ze de software, waar gewone Visma medewerkers toegang toe hebben, wat beter bestudeerde. Ze keken naar het netwerkverkeer en brachten in kaart wat er geïnstalleerd was en waar het mee communiceerde en hoe we werden beschermd. Eigenlijk zochten ze naar iets ongewoons.
Toen viel hun oog op de FreshService applicatie. De manier waarop de software werkt, is door regelmatig contact op te nemen met een centrale dienst via het internet om details te rapporteren over het apparaat
waarop het is geïnstalleerd. Dit helpt de IT-manager van een bedrijf om te zien welke apparaten actief worden gebruikt, welke software is geïnstalleerd, enzovoort. Maar bij nader inzien ontdekten ze een discrepantie. Ze merkten dat het mogelijk was om de communicatie tussen de klant en de server te veranderen door een vijandig netwerk te creëren om tussen hen in te komen (man in the middel attack). Dit komt door een encryptie misconfiguratie, die er is om de overdracht van gegevens tussen de eindgebruiker en de authenticatie van de identiteit van de website om er zeker van te zijn dat het een legitieme encryptie is. Dat deze beveiliging was uitgeschakeld, leidde ertoe dat de applicatie ongecodeerde informatie over de machine terugstuurde. Aangezien de software een interne zelf-update functie had die aan dezelfde fout leed, zou het verder uitbuiten van deze kwetsbaarheid leiden tot een situatie waarin een cybercrimineel de machine van een werknemer zou kunnen overnemen om de volledige toegang te krijgen. Vanaf hier kunnen de criminelen verder gaan naar het interne bedrijfsnetwerk en mogelijk andere onbeveiligde diensten om de aanval voort te zetten.
Aangezien de klanten van FreshService meestal grote bedrijven zijn, had dit het potentieel voor grote gerichte aanvallen met nog grotere gevolgen. Daarom hebben ze op verantwoorde wijze 120 dagen gewacht met het publiceren van de kwetsbaarheid om er zeker van te zijn dat FreshService, en haar klanten, tijd hadden om hun software bij te werken en te patchen. Zodat de software veilig was voordat ze naar buiten kwamen, ook al is de standaard wachttijd 90 dagen.
Voor zowel Joona als Tomi is het belangrijk om deel uit te maken van het versterken van de ethische richtlijnen voor rapportage, en er te zijn om te helpen.
Deze items over Dienstverlening