Zoeken
Categorieën
 Naar overzicht
De noodzaak van Zero Trust Network Access (ZTNA)

De noodzaak van Zero Trust Network Access (ZTNA)

Een cyberaanval op Cisco apparaten. Zonder authenticatie. Hadden ze gebruik gemaakt van Zero Trust Network Access, dan had dit nooit kunnen gebeuren. Ontdek dé 8800 redenen om ZTNA van Safe-T on-prem of in de cloud te gebruiken.

Na de bekende datalekken van SolarWinds en Exchange, maakte ook Cisco onlangs een datalek bekend. De netwerkhardware- en telecomapparatuurproducent moest bekennen dat eerder deze maand een kritieke beveiligingslek geconstateerd is in een subset van een aantal VPN-routers voor het MKB. Met een cyberaanval op afstand, zonder authenticatie, wist een hacker Cisco’s apparaten aan te vallen en over te nemen, waardoor 8800 systemen kwetsbaar waren en toegankelijk waren voor indringers. 

WAN kwetsbaar door bug

Na grondig onderzoek bleek dat het belangrijkste probleem de toegang was, die via de Dual WAN gigabit VPN-routers van hun leveranciers geregeld werd. De bug deed zich voor in de webgebaseerde beheerinterface van Cisco Small Business RV160, RV160W, RV260, RV260P en RV260W VPN Routers.

De bug had tot gevolg dat een ongeauthenticeerde, externe aanvaller toegang kon krijgen en willekeurige commando’s met root-level privileges kon uitvoeren op het onderliggende besturingssysteem. De oorsprong van de kwetsbaarheid lag dus in het feit dat gebruikers niet afdoende geauthenticeerd werden. Hier maken cyberaanvallers natuurlijk graag gebruik van. In dit geval door bewerkte verzoeken naar de webbased beheerinterface te sturen.

Aanval met Cisco Packet Tracer voor Windows

Een kwetsbaarheid in Cisco Packet Tracer voor Windows (CVE-2021-1593) zou een geauthenticeerde lokale aanvaller ook in staat kunnen stellen een DLL-injectie uit te voeren op een getroffen apparaat. Om dit te kunnen doen, moet de aanvaller echter beschikken over geldige inloggegevens op het Windows-systeem.

Cisco Network Services Orchestrator (NSO) & ConfD-opties voor CLI Secure Shell (SSH) Server-aanval

Een ander zeer ernstig beveiligingsprobleem werd getraceerd als CVE-2021-1572. Dit probleem betrof zowel de Cisco Network Services Orchestrator (NSO) als de ConfD opties voor de CLI Secure Shell (SSH) Server. Het bleek een privilege-escalation bug te zijn die een geauthenticeerde, lokale aanvaller in staat zou kunnen stellen willekeurige commando's uit te voeren op het niveau van de account waaronder de service draait, wat meestal ‘root’ is.

Om deze kwetsbaarheid uit te buiten, zou de aanvaller een geldig account moeten hebben op een getroffen apparaat.

”Onjuiste behandeling van directorypaden tijdens uitvoering”

Volgens Cisco was de kwetsbaarheid te wijten aan “onjuiste behandeling van directorypaden tijdens het uitvoeren. Een aanvaller zou van deze kwetsbaarheid gebruik kunnen maken door een configuratiebestand in een specifiek pad op het systeem te plaatsen, waardoor een kwaadaardig DLL-bestand kan worden geladen wanneer de applicatie wordt gestart. Een succesvolle exploitatie zou een aanvaller met normale gebruikersrechten in staat kunnen stellen om willekeurige code uit te voeren op het getroffen systeem met de rechten van een ander gebruikersaccount."

Maar dat is allemaal achteraf. Hoe kunnen dit soort problemen in de toekomst worden voorkomen?

Wat was precies het probleem?

Wanneer we inzoomen op de problematiek die is ontstaan zien we dat deze aanval gepland werd volgens drie parameters:

  • De aanval was gericht op DDOS en Privilege Root
  • De aanval was gericht op de MKB markt
  • Ook iemand met hoge privileges was in staat om schade toe te brengen aan het besturingssysteem

Een patch is niet genoeg

Uiteraard kan direct worden gedacht aan het uitbrengen van een patch die het probleem verhelpt. Maar eigenlijk ben je dan spreekwoordelijk aan het dweilen met de kraan open. Het is slechts een kwestie van tijd voordat er een nieuwe, geavanceerdere patch nodig is. Kortom: met patches voor VPN red je het niet. Je verplaatst slechts het probleem terwijl je ondertussen nog steeds kwetsbaar bent voor Zero-day attacks.

Zero Trust Network Access (ZTNA)

De oplossing zit dus in het authenticeren van gebruikers. Zero Trust Network Access is als het ware een extra beveiligingslaag die het onmogelijk maakt voor hackers om toegang te krijgen. Enerzijds omdat zij geen geauthenticeerde gebruikers zijn, anderzijds omdat het netwerk simpelweg niet zichtbaar is.

Hoe werkt ZTNA?

ZTNA werkt door het identificatieproces te scheiden van de toegangsgebeurtenis, waardoor de 'zwakke punten' van een VPN worden gescheiden van de organisatie. Dit betekent dat zelfs als een hacker erin slaagt het VPN te omzeilen waardoor kwetsbaarheden kunnen ontstaan in het netwerk, deze nog steeds door een MFA-component (multi-factor authenticatie) moet gaan, waardoor de hacker het netwerk van de organisatie alsnog niet binnen kan dringen.

ZTNA zorgt voor het autoriseren van gebruikers en daarna wordt toegang gegeven. Doordat ZTNA een continu autorisatie proces verloopt met MFA zorg je voor een micro segemented network. MFA wordt niet door VPN ondersteunt nadat de tunnel is opgezet.

ZTNA en VPN werken optimaal samen

Via de traditionele VPN’s maak je eerst de verbinding en dan pas volgt de authenticatie. Dat zou andersom moeten omdat je anders zeer kwetsbaar bent. Bovendien is ZTNA van ZoneZero VPN (boven je huidige VPN) of ZoneZero SDP (vervanger van VPN) van Safe-T ook nog eens clientless (zonder agent software) en voorkom je juist het aanvalsoppervlak.

In de ideale situatie wordt het systeem helemaal overgeslagen via VPN. Door eerst te autoriseren, te identificeren en daarna pas toegang te geven kunnen ook hele slimme hackers geen doorgang krijgen.

ZoneZero Zero Trust Network Access (ZTNA)-oplossing

ZoneZero, Safe-T's NextGen cloud- en on-premises ZTNA-oplossingen zorgen ervoor dat alle use-cases voor organisatorische toegang, zowel inkomend als uitgaand, volledig beveiligd zijn volgens een "eerst valideren, dan toegang" protocol. Niemand van binnen of buiten het netwerk wordt standaard vertrouwd. Elke identiteit die toegang wil krijgen tot bronnen op het netwerk of in de cloud moet worden geverifieerd.

Remote toegang gebruikers (niet-VPN)

ZoneZero stelt organisaties in staat ZTNA te implementeren en veilige en transparante toegang te bieden tot elke interne toepassing, service en gegevens, parallel aan of ter vervanging van een bestaand VPN. ZoneZero is gebaseerd op gepatenteerde Reverse Access technology en is een clientless oplossing, die de noodzaak elimineert om inkomende poorten te openen in de firewall van een organisatie voor naadloze, effectieve en veilige activiteiten. Reverse Access technology zorgt er ook voor dat je netwerk zowel van buiten als van binnen onzichtbaar blijft.

Voordelen van ZoneZero Van Safe-T

  • NextGen cloud- en on-premise ZTNA-oplossing
  • Gebruiksgemak door eenvoud van installatie, management en gebruik
  • Biedt veilige en transparante toegang tot elke interne applicatie, service en data, parallel aan of ter vervanging van een bestaand VPN
  • ZoneZero is gebaseerd op gepatenteerde Reverse Access technology
  • Clientless oplossing waardoor het niet langer nodig is om inkomende poorten te openen in de firewall van een organisatie
  • Identiteitsgebaseerde segmentatie en multifactorauthenticatie voor elke interne toepassing en beveiligd toegangsbeheer
  • Met ZoneZero kunnen organisaties eenvoudig multi-factor authenticatie en continue identiteitsverificatie integreren voor alle applicaties

ZTNA bestellen bij Hart4Technology

Bestel ZTNA nu bij Hart4Technology. Bestel vandaag, wij leveren binnen 2 werkdagen. Wil je liever eerst advies op maat? Dat kan uiteraard. Neem daarvoor contact met ons op.