Mythos: Wat zichtbaar is op internet, wordt snel misbruikt

IP-Zorg > Nieuws & Updates > Nieuws > Mythos: Wat zichtbaar is op internet, wordt snel misbruikt

Kunstmatige intelligentie maakt het voor aanvallers steeds eenvoudiger om kwetsbare

systemen razendsnel op te sporen. Voor zorgorganisaties betekent dat één ding: af en toe controleren op kwetsbaarheden in de IT-omgeving, volstaat niet meer. Deze ontwikkeling vormt allereerst een belangrijke aanleiding voor organisaties om meer samen te werken op het gebied van cyberweerbaarheid.

Stichting IP-Zorg zet zich actief in voor het versterken van de digitale weerbaarheid van de zorgsector door kennis en praktijkervaring op het gebied van informatiebeveiliging en privacy tussen zorgorganisaties uit te wisselen. Daarbij werkt de stichting samen met verschillende ketenpartners aan toegankelijke en betaalbare oplossingen die zorginstellingen helpen om kwetsbaarheden beter zichtbaar te maken, risico’s tijdig te signaleren en hun digitale weerbaarheid structureel te verhogen. Juist in een tijd waarin AI het speelveld voor aanvallers verandert, wordt samenwerking binnen de sector steeds belangrijker.

De afgelopen periode is in cybersecuritykringen steeds meer aandacht ontstaan voor Mythos. Niet omdat er sprake zou zijn van een nieuw computervirus of een concrete aanvalscampagne, maar omdat Mythos symbool staat voor een bredere ontwikkeling:

kunstmatige intelligentie maakt het mogelijk om razendsnel te herkennen welke systemen op internet zichtbaar zijn, welke software daarop draait en waar zich zwakke plekken en kwetsbaarheden bevinden. Vergelijkbare AI toepassingen kunnen worden gecombineerd met bestaande internetverkenning, identificatie van assets en scanning op kwetsbaarheden.

Wat voorheen dagen of weken handmatig onderzoekswerk kostte, kan nu met behulp van AI in zeer korte tijd en op grote schaal geautomatiseerd worden uitgevoerd. Daarmee verandert niet zozeer de aard van cyberaanvallen, maar wel het tempo waarin kwetsbare organisaties in beeld komen.

Voor de zorgsector is dat een relevante en ongemakkelijke constatering. Want juist zorgorganisaties beschikken vaak over een omvangrijke en historisch gegroeide digitale buitenkant — met leveranciersportalen, webtoepassingen, koppelingen, VPN-oplossingen en uiteenlopende internetdomeinen — die niet altijd volledig in beeld is, en die talloze kwetsbaarheden kan bevatten.

En precies die buitenkant kan door kwaadwillenden op een eenvoudige manier met behulp van AI effectief en systematisch worden doorzocht. Dit maakt de kans op misbruik een stuk groter.

AI verkleint de tijd om kwetsbaarheden te misbruiken

De naam Mythos wekt gemakkelijk de indruk van iets nieuws; In werkelijkheid gaat het om een ontwikkeling die al lang te verwachten was: aanvallers zullen steeds slimmer gebruik van AI om kwetsbare systemen te vinden.

AI helpt daarbij onder meer door internettoegankelijke systemen te herkennen, softwareversies af te leiden, DNS- en certificaatinformatie te correleren, open poorten en headers te analyseren, bekende CVE’s te matchen, configuratiefouten te prioriteren en potentiële aanvalspaden automatisch te rangschikken.

Dat betekent dat de tijd tussen het zichtbaar worden van een kwetsbaarheid,

en het moment waarop kwaadwillenden weten waar die kwetsbaarheid aanwezig is,

steeds korter wordt. Waar organisaties vroeger soms nog enige tijd hadden om achterstanden in patching of configuratieherstel weg te werken, worden internetzichtbare zwakke plekken nu veel sneller onderdeel van scans die door kwaadwillenden worden uitgevoerd.

Kwetsbaarheid zorginstellingen groter dan gedacht

Veel zorginstellingen hebben de afgelopen jaren sterk gedigitaliseerd. Dat heeft geleid tot betere dienstverlening en meer ketensamenwerking, maar ook tot een steeds complexere internetzichtbare infrastructuur.

Denk aan meerdere domeinen en subdomeinen, leveranciers- en clientportalen, VPN- en remote beheeroplossingen, cloudomgevingen naast legacysystemen, koppelingen met laboratoria, apotheken en andere ketenpartners, medische apparatuur met webinterfaces, test- en acceptatieomgevingen die ooit tijdelijk bedoeld waren.

Veel van deze voorzieningen zijn in de loop der jaren functioneel toegevoegd: voor leveranciersbeheer, externe toegang, tijdelijke projecten of ketenkoppelingen. Juist daardoor ontbreekt in de praktijk regelmatig één actueel totaaloverzicht van alles wat vanaf internet zichtbaar is. En precies dat is het probleem. Want Mythos-achtige AI kijkt niet naar interne registraties, maar simpelweg naar alles wat van buitenaf reageert, informatie prijsgeeft of benaderbaar is. Ook systemen die intern nauwelijks nog aandacht krijgen, kunnen daardoor voor kwaadwillenden toch direct in beeld komen.

De ongemakkelijke realiteit is daarmee dat kwaadwillenden vaak sneller een compleet extern beeld van een organisatie kunnen opbouwen dan de organisatie zelf.

Een vergeten beheerinterface kan morgen al fataal zijn

Veel cyberincidenten beginnen niet met de meest geavanceerde zero-day, maar vaak met relatief eenvoudigs kwetsbaarheden:  een oude VPN, een beheerpoort,  een vergeten subdomein, een server die net niet op tijd is gepatcht, of een certificaat dat onbedoeld software-identificatie prijsgeeft. Tot voor kort was het nog deels afhankelijk van toeval of zo’n ingang snel door kwaadwillenden werd ontdekt. Maar met Mytihos-achtige oplossingen neemt dat toeval af. Internetzichtbare systemen worden steeds systematischer gescand, geanalyseerd en geprioriteerd. Daardoor is het niet langer voldoende om af en toe te toetsen of “de belangrijkste zaken wel dicht staan”. Ook minder prominente blootstellingen kunnen binnen korte tijd relevant worden.

Wat moeten zorginstellingen nu doen?

Deze AI ontwikkeling vraagt niet om paniek, maar wel om tempo en aanscherping van bestaande beveiligingsmaatregelen. Bestuurders, CISO’s en IT-verantwoordelijken kunnen zich daarom niet permitteren te wachten tot bijvoorbeeld een toezichthouder als Z-CERT op een kwetsbaarheid wijst; zij moeten zelf voortdurend zicht hebben op wat hun organisatie vanaf internet prijsgeeft. Zelf continu zicht houden op de digitale buitenkant is de nieuwe norm. Hiervoor is het volgende nodig:

  • Breng de digitale buitenkant van de organisatie (internet) volledig in beeld: alle domeinen en subdomeinen, extern gekoppelde IP-adressen, cloud assets, leveranciersomgevingen, internettoegankelijke portals, certificaten en publieke DNS-records. Juist “vergeten” componenten blijken vaak een kwetsbaar onderdeel.
  • Versnel patchmanagement (vooral op internetkritische systemen); nieuwe (kritieke) kwetsbaarheden dienen direct te worden beoordeeld en houd rekening met noodpatches. Leveranciersaansprakelijkheid dient ook expliciet patchtermijnen te bevatten. Snelheid van handelen met oog op veiligheid zal vaker overlast opleveren voor reguliere bedrijfsprocessen.
  • Beoordeel of ontsluiting via internet nog steeds nodig is. Niet alles wat ooit extern toegankelijk is gemaakt, hoeft dat nog steeds te zijn. Kijk naar oude portals, open beheerinterfaces, ongebruikte poorten, tijdelijke testomgevingen, (structureel) openstaande leveranciersverbindingen, etc. Wat niet via internet is ontsloten, kan ook minder makkelijk worden misbruikt.
  • Zorg voor segmentatie om te voorkomen dat een kwetsbaarheid aan de buitenkant een route kan vormen naar de interne IT omgeving (goede DMZ inrichting, netwerksegmentatie, beperking leveranciersrechten en afgeschermde beheeromgevingen). Hiermee kan de impact van een gevonden ingang aanzienlijk worden beperkt.
  • Maak van vulnerability management een continue, maar ook bestuurlijk proces. Kwetsbaarheden signaleren is één ding, ze daadwerkelijk oplossen is iets anders. In veel organisaties verdwijnen technische bevindingen nog te gemakkelijk in rapportages, actielijsten of overlegstructuren, terwijl snelle opvolging juist cruciaal is. Daarom moet bij elke serieuze bevinding direct duidelijk zijn wie verantwoordelijk is voor herstel, hoe snel dat moet gebeuren, of er achterstanden ontstaan en wanneer een risico bewust tijdelijk wordt geaccepteerd. Het gaat niet alleen om technische kennis, maar ook om duidelijke bestuurlijke regie op tempo en opvolging.
  • Betrek leveranciers en ketenpartners expliciet. Een groeiend deel van de IT-infrastructuur, inclusief ontsluitend via internet, ligt buiten het eigen datacenter, zoals gehoste applicaties, SAAS-omgevingen, externe beheerpartijen, supportportalen, etc. Daarom zijn harde afspraken nodig over patchtermijnen. meldplicht bij nieuwe kwetsbaarheden, veilige remote access, periodieke externe securitychecks en aantoonbare opvolging. Mythos houdt immers geen rekening met contractuele grenzen.
  • Versterk detectie en respons. Ook bij goede preventie blijft snelle detectie noodzakelijk. Organisaties moeten in staat zijn om afwijkende externe inlogpogingen, opvallend extern scan- en verkenningsgedrag, verdachte wijzigingen in internetzichtbare services, etc. tijdig te signaleren en snel noodmaatregelen te treffen. Hoe sneller de buitenwereld kijkt, hoe korter de interne reactietijd moet zijn.

Ook bestuurders kunnen niet langer afwachten

Mythos maakt vooral één ding zichtbaar: de tijd dat organisaties zich konden veroorloven om af en toe naar hun digitale infrastructuur te kijken, is voorbij.

Bestuurders doen er daarom verstandig aan drie eenvoudige vragen centraal te stellen:

* weten wij exact wat er van onze organisatie zichtbaar is op internet;

* weten wij hoe snel kwetsbaarheden daarin worden opgevolgd;

* en weten wij of leveranciers daarin daadwerkelijk dezelfde urgentie hanteren?

Als het antwoord op één van die vragen onvoldoende scherp is, ligt daar direct een bestuurlijke opdracht. Een bestuurlijke opdracht die overigens verder gaat dan alleen de technische beveiliging; deze raakt ook de governance. Zicht op kwetsbaarheden raakt ook assetmanagement, vulnerability management, logging/monitoring, leveranciersmanagement en risicobehandeling. Informatiebeveiligingsprocessen waar vanuit het normenkader NEN 7510, waar zorginstellingen aan moeten voldoen, eisen worden gesteld/

Wat zichtbaar is, wordt snel gevonden door kwaadwillenden —  en wat te laat wordt hersteld, wordt vroeg of laat benut.

Continue zicht op kwetsbaarheden is hard nodig

Het moge duidelijk zijn: continue scannen op kwetsbaarheden is niet langer nice-to-have, maar een basisvoorwaarde om misbruik te voorkomen. Mythos is  misschien nu nieuws, maar de onderliggende ontwikkeling behelst een nieuwe werkelijkheid. In een internet dat permanent wordt verkend, kunnen zorgorganisaties zich geen blinde vlekken meer permitteren. Wie zelf niet continu ziet wat er buiten zichtbaar is, loopt het risico dat een ander dat eerder doet.

Binnen dit speelveld zijn meerdere soorten oplossingen beschikbaar, die elk een ander deel van het probleem aanpakken.

Een eerste categorie bestaat uit hulpmiddelen die zichtbaar maken welke systemen en diensten van een organisatie op internet vanaf buitenaf te vinden zijn. Deze laten zien welke servers, websites, inlogportalen of andere digitale toegangspunten publiek zichtbaar zijn. Dat is belangrijke basisinformatie, omdat organisaties vaak niet volledig in beeld hebben wat er allemaal extern bereikbaar is. Deze tools geven echter vooral inzicht in wat zichtbaar is; ze zeggen nog niet automatisch hoe ernstig het risico daarvan is.

Een tweede categorie gaat daarom verder en kijkt vooral naar welke van die zichtbare systemen voor een aanvaller het interessantst zijn. Zij helpen organisaties om niet alleen te zien wat er op internet staat, maar vooral waar de grootste kwetsbaarheden of aantrekkelijkste aanvalspunten zitten. Daarmee helpen zij prioriteiten te stellen: waar moet je als eerste iets aan doen?

Daarnaast zijn er scanplatforms die zich vooral richten zich op het technisch controleren van systemen op bekende beveiligingslekken. Zij sluiten goed aan op het reguliere proces van kwetsbaarhedenbeheer: gevonden lekken moeten worden opgelost, bijgewerkt of afgeschermd. Hun kracht ligt dus vooral in het concreet ondersteunen van herstelmaatregelen.

Belangrijk is dat deze oplossingen elkaar niet zozeer uitsluiten, maar juist verschillende bouwstenen leveren van één compleet beeld.

Rol OpenKAT

Het door VWS ontwikkelde open source platform OpenKAT helpt deze informatie in samenhang te verzamelen, te controleren en blijvend te volgen. Juist die combinatie is van belang. Alleen weten dát er iets op internet zichtbaar is, is niet genoeg. Alleen losse kwetsbaarheden scannen evenmin. Organisaties hebben behoefte aan een doorlopend en actueel totaalbeeld: wat staat er buiten open, wat is daarvan risicovol en welke actie is nodig? Pas met zo’n continu inzicht kan een organisatie problemen vóór zijn, in plaats van pas te reageren wanneer een externe partij of een aanvaller iets ontdekt.

OpenKAT helpt organisaties om:

* internet zichtbare assets structureel in beeld te hebben;

* nieuwe blootstellingen sneller te herkennen;

* bekende kwetsbaarheden vroegtijdig te signaleren;

* en prioriteit te geven aan internetkritische herstelacties.

Niet als vervanging van goed beheer, patching of SOC-monitoring, maar als noodzakelijke spiegel in een omgeving waarin scannen op kwetsbaarheden continu moet plaatsvinden.