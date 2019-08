Een vraag die ik vaak krijg als securityconsultant is of het een goed plan is om twee systemen te gebruiken: eentje die stevig is afgeschermd voor werk en eentje voor alle andere zaken. Het idee erachter is dat personeel dan werk kan doen op een vergrendeld en beperkt systeem die minder risico voor de organisatie inhoudt, terwijl werknemers nog steeds alle andere dingen kunnen doen op het andere systeem.

Dat is geen nieuwe trend; dit bestaat al zo lang als computers zelf worden gebruikt. Ik heb het al decennia over zulke 'red/green-systemen', maar ze zijn alleen maar minder zinvol geworden. Dit zou inderdaad beveiligingsrisico kunnen verminderen - zelfs heel wat in bepaalde scenario's. Maar het is een heel dure manier om beveiliging te doen: twee keer de hardware, licenties, ondersteuningskosten en ellende voor de IT-afdeling. Het kostenplaatje is voor de meeste bedrijven voldoende om dit plan te laten varen, hoewel enkele heel gevoelige plekken en financiële bedrijven het wel zo doen.

Je zou als IT'er kunnen zeggen: "Het kopen en ondersteunen van twee pc's is nog steeds goedkoper dan betalen voor een ransomware-aanval." Daar kunnen we ons vast allemaal in vinden, maar management vragen om twee keer zoveel uit te geven om een hypothetisch risico uit te sluiten, krijg je maar moeilijk verkocht.

Aanvallers richten zich op het bedrijfssysteem

Een grote reden dat dit red/green-idee niet werkt, is dat het aanvallers niet uitmaakt dat systemen zijn gescheiden. Ze richten zich op het zakelijke systeem, vaak bewust op specifieke bedrijven of personen. De winst die je had met red/green om te beschermen tegen malware is nog maar heel klein vandaag de dag.

Business Email Compromise (BEC) is een goed voorbeeld. Door een account over te nemen van een vertrouwd persoon buiten de organisatie kunnen phishers een factuur met de eigen rekening als ontvanger opsturen en het slachtoffer betaalt vanuit het zakelijke account. Slachtoffers worden hier niet aan bloot gesteld via hun persoonlijke e-mail, rondsurfen, of social media, maar via hun bedrijfssysteem.

Ik hoor steeds meer voorbeelden van BEC-oplichters die een overgenomen account gebruiken om slachtoffers voor het lapje te houden. De criminelen vallen dan een bedrijfspartner aan waar je al jaren mee samenwerkt. De e-mail arriveert in dezelfde opmaak en stijl die je gewend bent, met wellicht een kleine wijziging, bijvoorbeeld de rekening waar facturen vanaf heden naar betaald dienen te worden. Ze zijn zelfs slim genoeg om zo'n wijziging bekend te maken met slechts een kleine factuur, laten we zeggen 94 euro, zodat het slachtoffer minder op zijn of haar hoede is en deze wijziging doorvoert.

De oplichter maakt een e-mailregel aan op het systeem van het overgenomen account om ervoor te zorgen dat e-mails van de legitieme bron worden verwijderd, zodat zowel de externe partij als het slachtoffer niet beseffen dat ze worden opgelicht. De aanvaller vraagt het slachtoffer als alles gelukt is om een grote geldsom en niemand beseft dan dat er iets niet in de haak is, tot de crediteur een paar weken of maanden klaagt waar de betaling blijft.

BEC-fraude begint zo goed te worden dat het lastig is om op te merken, laat staan tegen te houden, los van het plan dat je iedereen die bij een financiële wijziging betrokken is mondeling om bevestiging vraagt. Dat is dan ook mijn advies in dezen, want red/green-systemen bieden geen bescherming tegen deze aanvallen.

Virtualisatie is goedkoper

De waarde van red/green-systemen zit in het afschermen van een systeem als een malafide website wordt bezocht. Er zijn alternatieven voor het fysiek scheiden met twee machines: je kunt een omgeving bouwen die al het internetverkeer en e-mail scheidt van de rest van het zakelijke netwerk. Verschillende softwareproducten, waaronder het populaire en gratis Sandboxie, virtualiseren browsers, e-mailclients en hele besturingssystemen om malafide aanpassingen te voorkomen. De producten die gedeeltelijke virtualisatie uitvoeren, bieden niet zoveel grondige beveiliging als virtualisatie van het hele OS, maar ze bieden bescherming tegen de meeste veelvoorkomende aanvallen.

Veel beveiligers gebruiken virtualisatie om internet- en e-mailverkeer van werknemers te beschermen met iets als Citrix. Gebruikers hoeven dan alleen maar op een pictogram te klikken en in plaats van dat ze het reguliere programma draaien, wordt er een controleerbare, terugrolbare instance van hetzelfde programma gestart.

Steeds meer OS-leveranciers bieden zelf een stukje sandboxing. Windows is geëvolueerd naar een model met meer interne afscherming, inclusief Microsofts nieuwe Windows Sandbox in Windows 10, dat eerder dit jaar verscheen. Het bedrijf schuift naar een model waarin elke Windows-applicatie gevirtualiseerd of in een sandbox geplaatst kan worden en de gebruiker krijgt niet te maken met de red/green-scheiding.

De beste aanpak qua scheiding van OS en applicatie is het gratis Qubes OS. Dat is gemaakt door computerbeveiliger Joanna Rutkowska en dit is het model dat alle OS-leveranviers die isolatie willen hebben voor beveiligingsdoeleinden nastreven. Qubes is van de grond af aan ontworpen voor isolatie. Elke app en onderdeel van het OS kan worden gescheiden in één of meerdere geïsoleerde omgevingen, beschermd door de hypervisor-laag. Je kunt zelfs applicaties naast elkaar draaien die verschillende besturingssystemen vereisen.

Rutkowska was zorgvuldig in haar aanpak en bedacht goed welke dingen, zoals netwerken, moeten worden geïsoleerd van de rest van de applicaties en systeem. Elk virtueel gescheiden applicatie lijkt gewoon een pictogram op het bureaublad. De gebruiker is zich niet bewust (en dat hoeft ook niet) van wat er gebeurt op de achtergrond. Ze klikken op een pictogram en doen hun werk zonder dat malafide corruptie tussen apps springt en impact heeft op het hele netwerk. Wat een prachtig concept! Als je beveiliging serieus wilt aanpakken, dan is er geen ander OS om over na te denken.

Maar niet iedereen is klaar voor een overstap op Linux, de ondergrond van QubesOS. Linux is geweldig, maar het grootste deel van de wereld draait Microsoft Windows, gevolgd door software van Apple. Linux en Chrome OS staan (wat de desktop betreft in ieder geval) op grote afstand op de derde en vierde plaats.

In de serverwereld is Linux een grote naam, maar daar speelt de applicatielaag een kleine rol. De meeste gebruikers willen gewoon dat hun voorkeurs-OS, Windows of macOS, zo beveiligd mogelijk is. Je sluit 99 procent van het risico uit als mensen zich goed beseffen hoe social engineering werkt en je de systemen gepatcht houdt. Dat die twee nog niet zo simpel zijn als het klinkt, blijkt wel uit het feit dat we al decennia met dezelfde issues worstelen. Als het wel makkelijk zou zijn, zouden we geen last hebben van al die aanvallen.

Als de wereld red/green-computers zou gebruiken, zouden aanvallers hun tactieken simpelweg aanpassen. Ransomware zou worden gericht op bedrijfsadressen op de 'veilige' systemen, net als elke andere aanval. Deze systemen helpen om beveiligingsrisico's te verlagen, maar niet alles wordt voorkomen.