Google: twintig zerodaylekken in 2019, maar detectie schiet tekort
Google registreerde vorig jaar twintig zerodaylekken, maar het werkelijke aantal ligt waarschijnlijk hoger, zo laat het techbedrijf weten. Voor dit jaar staat de teller inmiddels op elf. Een zeroday is een kwetsbaarheid die nog niet bij de fabrikant bekend is en actief door aanvallers wordt misbruikt. Doordat de kwetsbaarheid onbekend is, is er ook geen beveiligingsupdate beschikbaar en lopen alle gebruikers die van de betreffende software gebruikmaken risico.
Sinds 2014 houdt Google het aantal openbaar geworden zerodaylekken bij in een spreadsheet. Vorig jaar werden er in totaal twintig zerodays geregistreerd. Eén in Android, één in WhatsApp, één in TrendMicro OfficeScan, twee in Mozilla Firefox, twee in Apple iOS, twee in Google Chrome, drie in Internet Explorer en acht in Windows.
Van de elf zerodaykwetsbaarheden waar Microsoft mee te maken kreeg waren er vier gericht tegen de laatste versie van Windows 10. En van die vier kwetsbaarheden bevonden zich er drie in Internet Explorer, wat niet de standaardbrowser van het besturingssysteem is. "Dit houdt in dat tien van de elf Microsoft-lekken waren gericht tegen legacy software", aldus Maddie Stone van Google.
Daarnaast stelt ze dat de cijfers een vertekend beeld geven. Microsoft was al een doelwit voordat sommige van de andere platformen bestonden. Daardoor bestaan er ook al langer oplossingen om zerodayaanvallen op Windowssystemen te detecteren. Microsoft staat ook derde partijen op het platform toe. "Hoe meer mensen van verschillende detectiemanieren gebruikmaken suggereert dat er meer zerodays zullen worden gevonden", merkt Stone op.
En dat is meteen het grote onderliggende probleem, namelijk het aantal zeroday-aanvallen dat niet wordt opgemerkt. Als voorbeeld noemt Stone het zerodaylek in Trend Micro's OfficeScan. Als aanvallers het al de moeite waard vinden om zich daar op te richten zijn er nog veel meer veelvoorkomende producten om uit te kiezen. Dat een platform geen bekende zerodaylekken heeft wil niet zeggen dat het niet met zerodayaanvallen te maken heeft. De analyse van het afgelopen jaar leidt volgens Stone dan ook tot maar één conclusie: Er is een grote kloof tussen de detectie van zeroday-exploits en het aantal waargenomen zerodaylekken.
Antivirus blijkt de laatste tijd trouwens meer in de weg te zitten na een windows update dan dat ze virussen vangen.
Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.
Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.
Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
Antivirus blijkt de laatste tijd trouwens meer in de weg te zitten na een windows update dan dat ze virussen vangen.
Daarbij! Een single AV of honeypot tripup met een opvolgende reactie van je SOC kan je reverseshell/bindshell laten verdwijnen als sneeuw voor de zon. en zo nog veel meer.
Maar ik kat je niet af, ik ben oprecht benieuwd wat jou denkwijzen is. Anders zaten we niet samen op deze fora ;)
Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.
Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.
Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
Niet in de laatste plaats voor wensen van directies die meer van hun bedrijf willen vervangen door data-opslag en data-beheer.
In meest brede zin lijkt me dit bericht van Google (andermaal) een enorme alarm bel.
Zoveel als slechts het topje van de ijsberg wordt steeds pas blootgelegd.
Het is onder white en black hats al lang bekend dat de verhouding topje en de rest van de ijsberg echt super groot en ongunstig is.
In die zin is dit bericht van Google een herbevestiging voor insiders, maar hopelijk een belangrijke aanzet tot trekken van lessen voor organisaties die zwaarder op IT willen (gaan) leunen.
Ook is "maar detectie schiet tekort" denk ik een zeer belangrijke vingerwijzing voor zeer waarschijnlijk te grote stelligheden in rapporten en data-lek meldingen over "gelimiteerde"/"beperkte omvang" van data-lekken.
De lekken zullen namelijk gegarandeerd uitgebreider zijn als je bedenkt dat de data verwerking snelheid en omvang van data vooral toeneemt.
En dan is niet alle data die extra wordt verwerkt direct al privacy gevoelig maar wel rechtstreeks een ingang om vanuit een breder spectrum oneigenlijk toegang te krijgen tot de wel gevoelig data.
En het impliceert ook dat alleen het aandeel eventueel wel door middel van ingeregelde monitoring en uitgevoerde evaluaties gevonden datalekken en er veel van de werkelijk "gelekte"/"gestolen" data buiten beeld blijft.
Het blijft met zero-days werken tegen bierkaaien.
Het blijft denk ik lastig om datalekken die buiten zicht van de beheer-logs om plaatsvinden te lokaliseren, zo lang ze niet op internet gremia specifiek gepost worden - hetgeen natuurlijk niet vanzelfsprekend zo maar kan of zal worden gedaan.
En "gemak" is bijna altijd inherent een glijdende schaal van toegevoegde waarde.
De tijd capsules in Dr Who dienden ook gemak, maar ondertussen ging er regelmatig van alles mee mis.
Geeft ook heel veel gedoe / tijd verdrijf of tijd-verspilling zo je wilt.
Oftewel, zou gemak in brede zin misschien wel minder inwisselbaar zijn dan het aanvankelijk misschien lijkt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.