Vpn-servers, firewalls en andere 'edge devices' zijn een geliefd doelwit voor aanvallers en worden ook steeds vaker aangevallen, aldus het Nationaal Cyber Security Centrum (NCSC). Dat heeft een nieuw document gepubliceerd waarin het vijf uitdagingen beschrijft voor het omgaan met edge devices. "Recente incidenten bevestigen de trend dat kwaadwillenden in toenemende mate edge devices aanvallen", aldus de overheidsinstantie. "Edge devices vormen al geruime tijd een aantrekkelijk doelwit voor kwaadwillenden."

Zodra een aanvaller toegang tot een vpn-server heeft gekregen kan bijvoorbeeld het achterliggende netwerk worden aangevallen. Daarnaast kan de aanvaller malware installeren om toegang tot het apparaat te behouden. Tot slot verwerken edge devices vaak gevoelige gegevens zoals inloggegevens van gebruikers. "Kwaadwillenden kunnen deze data exfiltreren om op een later moment terug te keren en met de inloggegevens van een medewerker op het systeem in te loggen", aldus het NCSC.

In het adviesdocument 'Omgaan met edge devices' beschrijft het NCSC vijf uitdagingen die bij het gebruik van dergelijke apparaten komen kijken. Zo is het aanvalsoppervlak van de organisatie onbekend, zijn edge devices 'black boxes', kan een misconfiguratie van edge devices tot een verhoogd risico op misbruik leiden, is patchmanagement voor edge devices vaak inadequaat en doet het herstel na een succesvolle aanval op een edge device een groot beroep op de capaciteit.

"Naast het zicht op het aanvalsoppervlak, vormt onvoldoende inzicht in eigen edge devices ook een risico. Edge devices blijken lang niet altijd ontworpen volgens moderne security-by-design principes", zo stelt het NCSC. "Bovendien is het in veel gevallen complex of zelfs onmogelijk om toegang te krijgen tot de onderliggende broncode." Daarnaast zijn organisaties in sommige gevallen afhankelijk van de leverancier van het edge device. In geval van Ivanti Connect Secure waren systeemlogs bijvoorbeeld niet voor gebruikers leesbaar, maar moesten die naar de leverancier worden opgestuurd om te worden ontsleuteld.

Edge devices zijn in de praktijk lastig te patchen, aangezien dit invloed op de continuïteit van organisaties heeft. Downtime van een essentieel onderdeel zoals een vpn-server is tijdens kantooruren onwenselijk of zelfs onacceptabel voor organisaties. Hierdoor blijven systemen kwetsbaar, wat de kans op een aanval vergroot. Aan de andere kant staat in overeenkomst vaak onvoldoende beschreven welke verplichtingen de leverancier heeft op het gebied van beveiligingsupdates, communicatie hierover en ondersteuning bij het verhelpen van kwetsbaarheden.

Afsluitend geeft het NCSC handelingsperspectief, zoal het in kaart brengen van edge devices, het monitoren van de apparaten, het opstellen van patchmanagement, het zo snel mogelijk installeren van beveiligingsupdates, het vervangen van niet meer ondersteunde hard- en software, het regelmatig uitvoeren van risicoanalyses en het hanteren van het 'Assume breach' principe.