Safety First - Wazuh versus cyberaanvallen

Sinds de coronacrisis is het aantal cyberaanvallen sterk toegenomen, zo melden verschillende media. Phishing mails, schadelijke links, valse webpagina’s, alles wordt ingezet om inloggegevens te stelen, geld te verduisteren en servers plat te leggen. Ook binnen Shock Media zijn we altijd bezig ons te wapenen tegen cyberaanvallen. Eén van de manieren waarop wij dit doen is met Wazuh. In deze blog vertel ik je alles over digitale aanvallen en hoe wij Wazuh inzetten.

Mike Luttikhuis

System Engineer

Over mij

Ik ben Mike, ik ben 23 jaar en kom uit Oldenzaal. Ik werk bij Shock Media als System Engineer. Via mijn oud klasgenoot Ruben, die eveneens bij Shock Media werkt, kwam ik bij dit bedrijf terecht. Tijdens mijn HBO studie merkte ik al dat IT security mij heel erg interesseerde. Ik heb hier dan ook mijn werk van gemaakt. IT security is een heel breed begrip, maar ik vind het voornamelijk interessant om te kijken hoe je bedrijven kunt beschermen tegen digitale aanvallen. Hoe werken die aanvallen en hoe komen aanvallers binnen? Als je dat weet, weet je ook hoe je jezelf daartegen kan beschermen. Dat is voor ons bij Shock Media natuurlijk heel belangrijk: zorgen dat de gegevens van onze klanten veilig zijn en blijven. Nu is het zo dat ik dat ook nog eens heel leuk vind om me mee bezig te houden. 

Denken als aanvaller en verdediger

Om je te kunnen weren tegen aanvallen moet je als aanvaller kunnen denken, maar ook als verdediger. Ik heb naast mijn studie ook een intensieve cursus gedaan die je leert hoe je systemen moet binnendringen, dus eigenlijk hoe je de inbreker speelt. Daardoor leer je natuurlijk ook hoe je je daartegen moet verdedigen. Maar als je aan de kant van de verdediging zit, zoals wij, dan zie je ook in logs wat er wordt geprobeerd en op basis daarvan kunnen we de verdediging ook weer aanscherpen. 

Over Wazuh

Wazuh is een open source security monitoring systeem. Een hele mond vol, maar het betekent dat Wazuh op basis van events, bepaalde acties kan uitvoeren. Een simpel voorbeeld is dat Wazuh de logbestanden leest en bijvoorbeeld ziet dat iemand een inlogpoging doet, dat is uiteraard geen probleem. Maar wanneer dit bijvoorbeeld meermaals foutief gebeurd binnen 20 seconden, wordt dit als niet-legitiem opgemerkt en voert Wazuh een blokkade uit. Dat doet hij echter niet alleen op die server, maar gelijk ook op de duizenden andere servers, zodat de aanvaller ook niet op andere omgevingen verder kan gaan.

Wij geven Wazuh daarvoor complexe regels mee, zodat het optimaal werkt voor onze omgevingen. Zo blokkeren we zo veel mogelijk aanvallen, zonder onze eigen klanten of legitieme bezoekers per ongeluk de toegang te ontnemen. Dat is een ingewikkeld proces, wat ook nooit klaar is. Digitale aanvallen veranderen met de tijd, dus wij passen onze beveiliging daar continu op aan. 

Uiteraard waren er bij Shock Media al diverse tools actief om digitale aanvallen tegen te gaan. Deze werkten goed, maar ik wist dat Wazuh dit nog sneller, beter en geavanceerder kon doen. Vandaar dat we gestart zijn met het uitgebreid testen en vervolgens implementeren daarvan. 

Altijd onder vuur

Je moet je indenken dat onze servers, net als vele andere servers op het internet, 24/7 worden aangevallen. Er zijn heel veel kwaadwillenden in de wereld die allemaal deels of volledig geautomatiseerde 'hackscripts' hebben gemaakt of gebruiken om het internet af te struinen en servers aan proberen te vallen of binnen te dringen, dus ook bij ons. De aantallen zijn bizar. We zien soms dat er vele miljoenen niet legitieme inlogpogingen per dag worden uitgevoerd op onze servers. Dat zijn bijvoorbeeld brute force aanvallen: een aanvaller probeert door middel van geautomatiseerde software allerlei wachtwoorden uit tot de juiste is gevonden en er toegang verkregen kan worden tot een omgeving.

Daarnaast zien we veel aanvallen op specifieke applicaties zoals WordPress websites. WordPress wordt veel gebruikt voor het bouwen en beheren van websites, omdat het eenvoudig werkt, veel mogelijkheden heeft en goed te ondersteunen is. Binnen WordPress kan je gebruik maken van veel verschillende plugins om functionaliteiten uit te breiden, denk aan bijvoorbeeld een plugin voor een contactformulier. Deze plugins vormen echter ook een potentieel gevaar. Als de ontwikkelaar van zo’n plugin er bijvoorbeeld mee stopt en deze niet meer updatet, kunnen aanvallers in deze plugins een kwetsbaarheid vinden en zo toegang krijgen tot de webhosting omgeving.

We kunnen Wazuh zo afstellen deze hackpogingen te detecteren om zo de verdere toegang tot het systeem voor de aanvaller te blokkeren. Een 'normale' bezoeker zou dit soort hackpogingen nooit uitvoeren, dus we kunnen met aan zekerheid grenzende waarschijnlijkheid zeggen dat een aanvaller misbruik probeert te maken van een kwetsbaarheid in een website. Zo voorkomen we aanvallen op een hosting omgeving. Dat is een continu proces. Er worden dagelijks nieuwe kwetsbaarheden gevonden, vandaar dat wij steeds meer regels toevoegen aan Wazuh om ook nieuwe verzoeken te detecteren.

Veilig en snel

Hierdoor houden we onze servers en omgevingen niet alleen veilig, maar ook snel. Je moet je voorstellen dat elke keer dat iemand probeert in te loggen, dit processorkracht vraagt. Een ander verzoek moet daarop wachten, al is het maar een milliseconde. Als er een brute force aanval wordt uitgevoerd en er worden 2000 inlogpogingen of verzoeken gedaan en de tijd loopt op tot 2000 milliseconden (2 seconden), dan heeft het onder aan de streep best wel impact. Wij merken een groot verschil als wij Wazuh op een server hebben uitgerold. Deze wordt dan zichtbaar rustiger. Dus naast veiligheid hebben onze klanten en hun eindgebruikers er ook profijt van dat er geen onnodige processorkracht wordt verspild en de omgevingen hierdoor optimaal snel blijven.

Constant in ontwikkeling

We hebben met het team al een vele honderden uren in Wazuh gestoken en er zal ook in de toekomst continu tijd in gestoken worden. We zullen moeten blijven ontwikkelen om aanvallers telkens een stap voor te blijven. Vaak moeten we eigenlijk niet 1 stap, maar zelfs 10 stappen vooruitdenken. Elke instelling heeft effect. De afweging blijft: hoe kan je zoveel mogelijk niet legitieme IP-adressen blokkeren en voorkom je tevens dat legitieme acties geblokkeerd worden?

Gelukkig komt het zelden voor dat legitieme acties worden geblokkeerd. Zoals eerder genoemd worden wij constant aangevallen. Dat betekent dat we tienduizenden acties automatisch blokkeren op basis van onder andere IP-adressen. Wij kunnen dus niet direct zien of daar per ongeluk een IP-adres van een legitiem verzoek tussen zit. Dat merken wij in zo'n geval pas op als deze persoon aan de bel trekt. We kunnen dit IP-adres dan deblokkeren en eventueel op een whitelist zetten, zodat deze niet opnieuw wordt geblokkeerd wanneer iemand een aantal keer verkeerd probeert in te loggen, bijvoorbeeld omdat hij of zij Caps Lock aan heeft staan. De kleine kans dat een legitieme actie zal worden geblokkeerd weegt vaak echter niet op tegen de enorme risico's door niet met automatische blokkades te werken. 

Dit kan je zelf doen

Het is een standaard tip, maar zorg dat je sterke wachtwoorden gebruikt. Het wachtwoord Welkom01 wordt natuurlijk heel snel geprobeerd en geraden bij een brute force aanval. Gebruik daarnaast multifactor authenticatie als dat mogelijk is. En voor de WordPress gebruikers: zorg dat de plugins die je gebruikt up-to-date zijn en blijven en dat je plugins die je niet meer gebruikt verwijdert, zodat aanvallers niet via deze plugins je hosting omgeving kunnen binnendringen. Door hier rekening mee te houden kunnen we samen 99% van de problemen voorkomen. 

Meer weten over veilige wachtwoorden? Onze Security Officer Timo geeft je graag tips!

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

Privacy Shield ongeldig verklaard

Op 16 juli heeft het Hof van Justitie van de EU het Privacy Shield ongeldig verklaard. Hierdoor is gegevensoverdracht naar de VS niet zomaar meer mogelijk. In deze blog legt onze Security Officer Timo uit welke gevolgen dit heeft voor jouw bedrijf.

Maak kennis met... Kevin!

Hij is de COO van Shock Media, viert volgend jaar zijn 10-jarig jubileum bij ons bedrijf en vindt Interstellar de beste film ooit. In 2011 startte hij bij Shock Media en inmiddels is hij hier niet meer weg te denken. In deze blog maken we kennis met… Kevin!

Shock at the Movies

Nu de coronamaatregelen wat versoepelen en ons team langzaam maar zeker terugkeert op kantoor, vonden wij het wel weer tijd voor een spontaan teamuitje. Een avondje naar de bioscoop was voor ons allemaal al weer even geleden, dus wij huurden onze eigen bioscoopzaal af om met een deel van het team de nieuwe film “I See You” te kijken!