Zeroday

Wat is een zeroday en hoe bescherm ik mijn bedrijf daartegen?

Niels Teusink
Cybersecurity Specialist

Een zeroday is een nog onopgeloste kwetsbaarheid in software waardoor eindgebruikers het risico lopen aangevallen te worden door cybercriminelen. Cybercriminelen gebruiken deze nog niet gedichte toegangspoorten tot een bedrijfsnetwerk graag voor het uitvoeren van hun activiteiten. 

“In software zitten vrijwel altijd foutjes”, zegt Niels Teusink, IT Security Expert bij EYE Security. “Doordat in de ontwikkeling van een feature ergens nog geen rekening mee is gehouden, of soms zelfs door een eenvoudig tikfoutje.” Traditioneel werd een zeroday gezien als een kwetsbaarheid waarvan de fabrikant van de software nog niet op de hoogte was. Maar recent werd de term ook gebruikt voor kwetsbaarheden waarvoor nog geen oplossing is. “Bij de wereldwijde Kaseya-aanval werd ook gesproken over een zeroday-aanval, maar daar was het lek al wel bekend bij de organisatie. Sterker nog, ze waren druk bezig met het bouwen van een oplossing voor de kwetsbaarheid, alleen werden ze vlak voordat ze klaar waren, ingehaald door de REvil-aanval.”

Hoe werkt een zeroday? 

Je kunt een zeroday zien als een luikje in de muur van een softwaretoepassing die je in je bedrijfsnetwerk gebruikt. Je gebruikt vaak meerdere applicaties, en die kunnen allemaal een of meerdere luikjes bevatten. Zo kan er een zeroday-kwetsbaarheid in een browser zitten, maar ook op een server, of in Windows. En die luikjes staan niet allemaal standaard open. Soms moet er aan bepaalde voorwaarden worden voldaan om het luikje te openen. “Als er een zeroday in een browser zit, dan is bijvoorbeeld de voorwaarde dat de gebruiker naar een specifieke website gaat, vanuit waar de aanvallers via de kwetsbaarheid een stukje kwaadaardige softwarecode op jouw systeem kunnen zetten”, legt Teusink uit. Het luikje van díe specifieke zeroday gaat dus alleen open, wanneer er aan de voorwaarde – het bezoeken van die specifieke website – wordt voldaan. 

Bescherm jezelf - verklein het aanvalsoppervlak

Om je bedrijf hiertegen te kunnen beschermen, heeft het geen zin om de muurtjes rond je toepassingen op te hogen, want je hebt geen invloed op hoeveel zeroday-luikjes er mogelijk aanwezig zijn in die muur. Het is belangrijk om een beveiliging in lagen op te bouwen, zegt Teusink. “Het mag nooit zo zijn dat één zeroday je hele bedrijfsvoering overhoop kan halen.” Daarom is het bijvoorbeeld belangrijk om de muur naar de buitenwereld (het internet) zo klein mogelijk te houden. “We zien dat sommige bedrijven allerlei servers en beheerinterfaces aan het internet hebben hangen. Als je het aantal componenten dat je met internet verbindt, beperkt, verklein je de aanvalsoppervlakte.” Oftewel, je reduceert het aantal luikjes in jouw bedrijfsomgeving dat van buitenaf zichtbaar is. 

Bescherm jezelf - detecteer afwijkend gedag

Een volgende laag is het detecteren van afwijkende patronen op je bedrijfsnetwerk. “Bij het misbruiken van een zeroday, gebeurt er altijd iets op je netwerk dat afwijkt van het normale patroon”, zegt Teusink. “Stel dat er een nog onbekende of onopgeloste kwetsbaarheid zit in een browser, je bezoekt een website en die zeroday wordt misbruikt, dan kan de aanvaller bijvoorbeeld een klein programmaatje op jouw systemen installeren en misschien zelfs een achterdeurtje waardoor hij op een ander moment eenvoudig weer naar binnen kan. Als het zeroday-luikje door de fabrikant dichtgetimmerd is, bijvoorbeeld. Een goed detectiesysteem zal dan direct opmerken dat er een programmaatje naar de harde schijf wordt weggeschreven en dat dit ongebruikelijk is bij het bezoeken van een website. Op dat moment gaan er alarmbellen af en kun je ingrijpen.”

Bescherm jezelf – installeer alle updates

Goede beveiligingssoftware kan in een volgende stap ook de zaken stoppen die ná het misbruik van een zeroday op je bedrijfssystemen gebeuren. “Als een zeroday wordt gebruikt om ransomware uit te rollen, kan securitysoftware hier bescherming tegen bieden en de gevolgen beperken, omdat de uitrol in een vroegtijdig stadium kan worden gestopt.” Hoewel je als organisatie jezelf nooit voor de volle 100 procent kunt beschermen, ben je zeker niet machteloos tegen cybercriminelen. “Niet iedere kwetsbaarheid wordt als eerste door cybercriminelen ontdekt. Softwarefabrikanten zijn zelf ook altijd actief naar op zoek en sturen je een update om foutjes in de code te herstellen. Daarom is het zo belangrijk om altijd updates in te installeren. Daarmee timmer je iedere keer weer een of meerdere luikjes dicht in je softwaremuur.”

Meer informatie?

EYE kan je helpen met het beschermen van jouw bedrijf tegen dit soort aanvallen. Meer weten? Bezoek deze pagina om contact met ons op te nemen.