Luie beheerpartijen vallen door de mand door FortiBleed

Een recent onderzoek naar de FortiBleed-campagne laat zien dat veel Nederlandse FortiGate-firewalls onnodig kwetsbaar zijn. Niet door geavanceerde hacks, maar doordat basisbeheer ontbreekt. Beheerinterfaces staan open voor de hele wereld, Trusted Hosts zijn niet ingesteld en veel systemen draaien nog op verouderde versies van FortiOS.
Een firewall is geen apparaat dat je installeert en vervolgens niet meer naar omkijkt. Er is professioneel beheer nodig om veilig te blijven functioneren. Organisaties die voor firewallbeheer een niet-gespecialiseerde IT-partij inhuren lopen hierdoor onnodig risico.
De les is simpel: een goede firewall begint niet bij de aanschaf, maar bij professioneel beheer. En juist daar maken gespecialiseerde beheerpartijen het verschil.
Je firewall is geen project, maar een verantwoordelijkheid
“We hebben toch een firewall?”
Het is een vraag die we vaak horen. Maar de gebeurtenissen rondom FortiBleed laten opnieuw zien dat het hebben van een firewall iets heel anders is dan het goed beheren ervan.
Recent onderzoek naar de FortiBleed-campagne (https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/) laat zien hoe aanvallers op grote schaal misbruik maken van slecht beheerde FortiGate-firewalls. De campagne draait niet zozeer om een nieuwe kwetsbaarheid, maar om het misbruiken van zwakke configuraties, gestolen inloggegevens en onvoldoende beheer.
Nog zorgwekkender is dat onderzoekers vervolgens de Nederlandse situatie onder de loep namen (https://www.dutchitleaders.nl/news/754068/fortibleed-cyberaanval-treft-nederlandse-it-keten). Daaruit bleek dat een groot aantal FortiGate firewalls nog steeds op een manier is geconfigureerd die eenvoudig misbruik mogelijk maakt.
De grootste kwetsbaarheid zit vaak in de configuratie
Uit het Nederlandse onderzoek kwamen twee opvallende conclusies naar voren:
• Veel FortiGate firewalls staan beheer vanaf het internet toe zonder een Trusted Hosts-beleid of andere beperkingen op het beheerinterface.
• Een groot deel draait nog op een verouderde versie van FortiOS, waardoor beveiligingsverbeteringen voor bekende kwetsbaarheden ontbreken.
Bescherming tegen de geavanceerde aanvalstechnieken van FortiBleed was al mogelijk met een standaard set aan basismaatregelen, als vast onderdeel van professioneel firewallbeheer.
Een firewall beschermt alleen als hij goed wordt beheerd
Een firewall is vaak de eerste verdedigingslinie van een organisatie. Als juist dát systeem onvoldoende wordt onderhouden, is er sprake van schijnveiligheid.
Goed firewallbeheer betekent onder andere:
• Regelmatig installeren van FortiOS-updates met de laatste security patches
• Instellen dat toegang tot het beheerinterface alleen vanaf voor beheer bedoelde IP adressen bereikbaar is (de zogenaamde trusted hosts)
• Periodiek beoordelen van firewall policies en toegangsrechten.
• Controleren op afwijkende configuraties of ongeautoriseerde wijzigingen.
• Actief monitoren van beveiligingsmeldingen en dreigingsinformatie.
Deze werkzaamheden vragen kennis, ervaring én tijd. Het zijn geen taken die je “er even bij doet” naast het dagelijkse systeembeheer.
“Hij doet het toch en er is toch nooit iets gebeurd?”
Dat is misschien wel de gevaarlijkste uitspraak als je het hebt over security.
Een firewall kan jarenlang probleemloos verkeer doorlaten, terwijl ondertussen:
• beveiligingsupdates achterblijven
• oude beheeraccounts blijven bestaan
• managementpoorten openstaan voor de hele wereld
• configuraties langzaam afwijken van de best practices
• hackers ongezien binnendringen
Pas wanneer een incident plaatsvindt, is men zich bewust van het risico dat er al die tijd al was.
Beveiliging vraagt om vakmanschap
Cybercriminelen zoeken niet naar de organisatie met de duurste firewall. Ze zoeken naar de organisatie waar het beheer tekortschiet.
De lessen uit FortiBleed zijn daarom eigenlijk heel eenvoudig: technologie alleen is niet genoeg. Het verschil wordt gemaakt door de mensen die deze technologische middelen beheren.
Bij Apex Security geloven we dat een firewall geen apparaat is dat je een keer installeert en vervolgens niet meer naar omkijkt. Het is een bedrijfskritische beveiligingsvoorziening die continu aandacht nodig heeft.
Ons gespecialiseerde team zorgt onder meer voor:
• proactief updatebeheer
• periodieke configuratiecontroles
• hardening volgens actuele best practices
• monitoring van beveiligingsrisico’s
• advies over veilige inrichting en beheer
• snelle opvolging van nieuwe dreigingen
Zo weet je zeker dat je firewall niet alleen aanwezig is, maar ook daadwerkelijk doet waarvoor hij bedoeld is: jouw organisatie beschermen. De technologie vormt de basis, maar het professionele beheer bepaalt uiteindelijk hoe goed die bescherming werkelijk is.
Apex Security: firewallbeheer door specialisten