Over mij
Ik ben Mike, ik ben 23 jaar en kom uit Oldenzaal. Ik werk bij Shock Media als System Engineer. Via mijn oud klasgenoot Ruben, die eveneens bij Shock Media werkt, kwam ik bij dit bedrijf terecht. Tijdens mijn HBO studie merkte ik al dat IT security mij heel erg interesseerde. Ik heb hier dan ook mijn werk van gemaakt. IT security is een heel breed begrip, maar ik vind het voornamelijk interessant om te kijken hoe je bedrijven kunt beschermen tegen digitale aanvallen. Hoe werken die aanvallen en hoe komen aanvallers binnen? Als je dat weet, weet je ook hoe je jezelf daartegen kan beschermen. Dat is voor ons bij Shock Media natuurlijk heel belangrijk: zorgen dat de gegevens van onze klanten veilig zijn en blijven. Nu is het zo dat ik dat ook nog eens heel leuk vind om me mee bezig te houden.
Denken als aanvaller en verdediger
Om je te kunnen weren tegen aanvallen moet je als aanvaller kunnen denken, maar ook als verdediger. Ik heb naast mijn studie ook een intensieve cursus gedaan die je leert hoe je systemen moet binnendringen, dus eigenlijk hoe je de inbreker speelt. Daardoor leer je natuurlijk ook hoe je je daartegen moet verdedigen. Maar als je aan de kant van de verdediging zit, zoals wij, dan zie je ook in logs wat er wordt geprobeerd en op basis daarvan kunnen we de verdediging ook weer aanscherpen.

Over Wazuh
Wazuh is een open source security monitoring systeem. Een hele mond vol, maar het betekent dat Wazuh op basis van events, bepaalde acties kan uitvoeren. Een simpel voorbeeld is dat Wazuh de logbestanden leest en bijvoorbeeld ziet dat iemand een inlogpoging doet, dat is uiteraard geen probleem. Maar wanneer dit bijvoorbeeld meermaals foutief gebeurd binnen 20 seconden, wordt dit als niet-legitiem opgemerkt en voert Wazuh een blokkade uit. Dat doet hij echter niet alleen op die server, maar gelijk ook op de duizenden andere servers, zodat de aanvaller ook niet op andere omgevingen verder kan gaan.
Wij geven Wazuh daarvoor complexe regels mee, zodat het optimaal werkt voor onze omgevingen. Zo blokkeren we zo veel mogelijk aanvallen, zonder onze eigen klanten of legitieme bezoekers per ongeluk de toegang te ontnemen. Dat is een ingewikkeld proces, wat ook nooit klaar is. Digitale aanvallen veranderen met de tijd, dus wij passen onze beveiliging daar continu op aan.
Uiteraard waren er bij Shock Media al diverse tools actief om digitale aanvallen tegen te gaan. Deze werkten goed, maar ik wist dat Wazuh dit nog sneller, beter en geavanceerder kon doen. Vandaar dat we gestart zijn met het uitgebreid testen en vervolgens implementeren daarvan.
Altijd onder vuur
Je moet je indenken dat onze servers, net als vele andere servers op het internet, 24/7 worden aangevallen. Er zijn heel veel kwaadwillenden in de wereld die allemaal deels of volledig geautomatiseerde 'hackscripts' hebben gemaakt of gebruiken om het internet af te struinen en servers aan proberen te vallen of binnen te dringen, dus ook bij ons. De aantallen zijn bizar. We zien soms dat er vele miljoenen niet legitieme inlogpogingen per dag worden uitgevoerd op onze servers. Dat zijn bijvoorbeeld brute force aanvallen: een aanvaller probeert door middel van geautomatiseerde software allerlei wachtwoorden uit tot de juiste is gevonden en er toegang verkregen kan worden tot een omgeving.
Daarnaast zien we veel aanvallen op specifieke applicaties zoals WordPress websites. WordPress wordt veel gebruikt voor het bouwen en beheren van websites, omdat het eenvoudig werkt, veel mogelijkheden heeft en goed te ondersteunen is. Binnen WordPress kan je gebruik maken van veel verschillende plugins om functionaliteiten uit te breiden, denk aan bijvoorbeeld een plugin voor een contactformulier. Deze plugins vormen echter ook een potentieel gevaar. Als de ontwikkelaar van zo’n plugin er bijvoorbeeld mee stopt en deze niet meer updatet, kunnen aanvallers in deze plugins een kwetsbaarheid vinden en zo toegang krijgen tot de webhosting omgeving.
We kunnen Wazuh zo afstellen deze hackpogingen te detecteren om zo de verdere toegang tot het systeem voor de aanvaller te blokkeren. Een 'normale' bezoeker zou dit soort hackpogingen nooit uitvoeren, dus we kunnen met aan zekerheid grenzende waarschijnlijkheid zeggen dat een aanvaller misbruik probeert te maken van een kwetsbaarheid in een website. Zo voorkomen we aanvallen op een hosting omgeving. Dat is een continu proces. Er worden dagelijks nieuwe kwetsbaarheden gevonden, vandaar dat wij steeds meer regels toevoegen aan Wazuh om ook nieuwe verzoeken te detecteren.

Veilig en snel
Hierdoor houden we onze servers en omgevingen niet alleen veilig, maar ook snel. Je moet je voorstellen dat elke keer dat iemand probeert in te loggen, dit processorkracht vraagt. Een ander verzoek moet daarop wachten, al is het maar een milliseconde. Als er een brute force aanval wordt uitgevoerd en er worden 2000 inlogpogingen of verzoeken gedaan en de tijd loopt op tot 2000 milliseconden (2 seconden), dan heeft het onder aan de streep best wel impact. Wij merken een groot verschil als wij Wazuh op een server hebben uitgerold. Deze wordt dan zichtbaar rustiger. Dus naast veiligheid hebben onze klanten en hun eindgebruikers er ook profijt van dat er geen onnodige processorkracht wordt verspild en de omgevingen hierdoor optimaal snel blijven.
Constant in ontwikkeling
We hebben met het team al een vele honderden uren in Wazuh gestoken en er zal ook in de toekomst continu tijd in gestoken worden. We zullen moeten blijven ontwikkelen om aanvallers telkens een stap voor te blijven. Vaak moeten we eigenlijk niet 1 stap, maar zelfs 10 stappen vooruitdenken. Elke instelling heeft effect. De afweging blijft: hoe kan je zoveel mogelijk niet legitieme IP-adressen blokkeren en voorkom je tevens dat legitieme acties geblokkeerd worden?
Gelukkig komt het zelden voor dat legitieme acties worden geblokkeerd. Zoals eerder genoemd worden wij constant aangevallen. Dat betekent dat we tienduizenden acties automatisch blokkeren op basis van onder andere IP-adressen. Wij kunnen dus niet direct zien of daar per ongeluk een IP-adres van een legitiem verzoek tussen zit. Dat merken wij in zo'n geval pas op als deze persoon aan de bel trekt. We kunnen dit IP-adres dan deblokkeren en eventueel op een whitelist zetten, zodat deze niet opnieuw wordt geblokkeerd wanneer iemand een aantal keer verkeerd probeert in te loggen, bijvoorbeeld omdat hij of zij Caps Lock aan heeft staan. De kleine kans dat een legitieme actie zal worden geblokkeerd weegt vaak echter niet op tegen de enorme risico's door niet met automatische blokkades te werken.
Dit kan je zelf doen
Het is een standaard tip, maar zorg dat je sterke wachtwoorden gebruikt. Het wachtwoord Welkom01 wordt natuurlijk heel snel geprobeerd en geraden bij een brute force aanval. Gebruik daarnaast multifactor authenticatie als dat mogelijk is. En voor de WordPress gebruikers: zorg dat de plugins die je gebruikt up-to-date zijn en blijven en dat je plugins die je niet meer gebruikt verwijdert, zodat aanvallers niet via deze plugins je hosting omgeving kunnen binnendringen. Door hier rekening mee te houden kunnen we samen 99% van de problemen voorkomen.
Meer weten over veilige wachtwoorden? Onze Security Officer Timo geeft je graag tips!