Zo bescherm je jouw organisatie tegen het cybergevaar van Zero-day-exploits

Sommige site- en systeembeheerders schrikken ’s nachts nog weleens zwetend wakker van het Log4Shell incident uit november 2021. Dit cybersecurityincident is een sprekend voorbeeld van een zero-day-exploit. Het liet ons haarscherp zien wat de risico’s en gevolgen van dergelijke exploits zijn. En hoe belangrijk het is om je organisatie hier tegen te beschermen.

Daarom kijken we in dit artikel naar:

• Wat zero-day-exploits zijn en wat ze zo gevaarlijk maakt?
• Wat de impact zero-day-exploits is?
• Hoe je je organisatie beschermt tegen zero-day-exploits?

Wat zijn zero-day-exploits en wat maakt ze zo gevaarlijk?

Een zero-day-exploit is een fout in software die door hackers is ontdekt en waarmee zij toegang tot een systeem kunnen krijgen terwijl die fout bij de ontwikkelaars en gebruikers van die software nog onbekend is. Daarom noemt men een dergelijke fout een zero-day-exploit: de ontwikkelaars weten immers nog van niets en hebben dus nul dagen (zero-day) de tijd gehad om de fout op te lossen.

Ontwikkelaars veroorzaken dit soort fouten per ongeluk, veelal bij het uitbrengen van updates. Hackers speuren op hun beurt voortdurend naar dergelijke exploits om netwerken en systemen binnen te dringen.

Zolang ontwikkelaars en gebruikers niet op de hoogte zijn van een exploit, breken hackers hiermee ongemerkt in en gaan ze ongestoord hun criminele gang. Daarom zijn zero-day-exploits zo gevaarlijk.

De soorten software waarin zich exploits kunnen voordoen variëert van webservers, webframeworks en CMS-systemen tot de besturingssoftware van servers, firewalls en routers. Hierdoor loopt praktisch gezien iedereen met een internetverbinding of een website risico.

Het verloop van een zero-day-exploit

De omvang van de risico’s voor gebruikers van een zero-day-exploit wordt nog duidelijker als we naar het verloop van een exploit kijken:

• Een ontwikkelaar wijzigt software en veroorzaakt daarin per ongeluk een potentiële exploit.
• De organisatie van de ontwikkelaar brengt de update met de exploit uit en gebruikers installeren de update.
• Hackers speuren naar exploits en ontdekken een fout in de update waarmee ze toegang tot een systeem kunnen krijgen.
• Hackers beramen via de exploit een zero-day-aanval op gebruikers en breken in waarna ze gegevens stelen of een systeem gijzelen en losgeld eisen.
• De ontwikkelaar krijgt lucht van de exploit en zoekt de oorzaak uit.
• De ontwikkelaar lost de fout op en brengt een nieuwe update uit.
• De gebruikers installeren de laatste update en zijn nu weer veilig.

Tussen stap 1 van het veroorzaken van een exploit en stap 7 van het installeren van een veilige update, kunnen weken of soms zelfs maanden zitten. Al die tijd loop je als gebruiker het gevaar om gehackt te worden.

Wat is de impact van zero-day-exploits?

Beeld je eens in dat jouw organisatie wordt geraakt door een zero-day-exploit en wat daarvan de gevolgen zijn voor zowel jouw bedrijf als je reputatie. In het algemeen zijn slachtoffers van exploits terughoudend met informatie over de geleden schade, maar er zijn absoluut gevallen bekend van bedrijven die daardoor failliet zijn gegaan.

Drie van de vier succesvolle cyberinbraken door zero-day-exploits

Het Ponemon Institute, een onafhankelijk instituut voor onderzoek naar informatie- en privacy management, rapporteerde dat van alle succesvolle cyberaanvallen en inbraken door hackers maar liefst 76 procent daarvan voor rekening komt van zero-day-exploits.

Daardoor schat het Ponemon Institute alleen al voor het jaar 2022 de totale wereldwijde schade van exploits op het gigantische bedrag van 2.5 biljoen USD. Even voor het beeld: de totale Nederlands economie (BBP) kwam in datzelfde jaar op ongeveer 1 biljoen USD uit.

Voorbeelden van zero-day-exploits

Geen wonder dus dat hackers zo belust zijn op exploits en er ondertussen een waslijst van exploits is. Met deze als enkele bekende voorbeelden:

• Acrobat Reader (2012); een exploit in Adobe’s vlaggenschipproduct Reader stelde wereldwijd meer dan een miljoen computers open voor hackers.
• WannaCry (2017); een exploit die een kwetsbaarheid in Microsoft Windows Server blootlegde en naar schatting 4 miljard USD aan schade veroorzaakte.
• Log4Shell (2021); een exploit in de loggingsoftware van Apache (webservers) die als een schokgolf door de IT-wereld ging omdat hackers hiermee de controle kregen over de systemen van duizenden organisaties over de hele wereld. Veel site- en systeembeheerders maakten overuren om hun systemen weer veilig te maken.
• WhatsApp (2022); een exploit in WhatsApp via de spyware Pegasus waarmee hackers volledige toegang tot computers van de gebruikers kregen.
• Barracuda (2023); een exploit in Barracuda’s email gateway waardoor hackers vrij spel kregen in gebruikerssystemen.
• WinRAR (2025); een exploit in deze populaire Windows archivingsoftware waarmee hackers toegang kregen tot de startup-folder en daar programma’s konden installeren die toegang tot de gehele computer gaf.

Deze voorbeelden zijn helaas maar een topje van de ijsberg en tonen aan dat exploits ook bekende bedrijven als Acrobat en Microsoft overkomen. En dat exploits tot op de dag van vandaag een bedreiging zijn.

Hoe bescherm je je organisatie tegen zero-day-exploits?

De oorzaak van exploits ligt bij ontwikkelaars en daardoor kun je als gebruiker exploits niet voorkomen. Gelukkig kun je je er als gebruiker wel tegen beschermen en de risico’s ervan zoveel mogelijk beperken met deze gerichte maatregelen:

• Voer softwarepatches en -updates zo snel mogelijk door;
• Pas meerdere securitylagen toe;
• Monitor afwijkend netwerkverkeer, dreigingen en verdachte activiteiten;
• Hanteer het zero-trust principe voor je beveiliging.

Deze maatregelen zijn belangrijk voor iedere organisatie. Maar afhankelijk van jouw situatie kun je de nadruk leggen op de maatregelen die cruciaal zijn voor jouw organisatie en bescherming.

Voer patches en updates meteen door

Ondervang eventuele exploits zo snel mogelijk door softwarepatches (fixes) en updates meteen door te voeren als ze beschikbaar zijn. Installeer patches waar mogelijk automatisch en met de hoogste prioriteit voor je kritieke systemen.

Maak dit zogenaamde patch- en updatemanagement onderdeel van je werkprocedures en takenpakketten van medewerkers om zeker te stellen dat je geen patches mist.

Cybersecurityexpert Dave Maasland (het ‘cybermannetje’ bij het tv-programma VI Vandaag) ziet patchmanagement als een essentieel onderdeel van wat hij de digitale weerbaarheid en hygiëne van organisaties noemt.

Pas meerdere securitylagen toe

Voorkom dat hackers meteen overal bij kunnen in je netwerk als ze onverhoopt toch binnenkomen door:

• Je netwerk op te delen in segmenten waardoor je hackers isoleert en voorkomt dat ze direct overal toegang tot hebben.
• Je firewalls en routers maximaal te beveiligen. En ook je endpoints als laptops, desktops, tablets en smartphones.
• Je applicaties in beveiligde sandboxes zoals Docker of AWS te draaien.

Monitor afwijkend netwerkverkeer, dreigingen en verdachte activiteiten

Signaleer eventuele cyberaanvallen zo snel mogelijk zodat je meteen maatregelen kunt nemen door:

• Systemen als Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) toe te passen. Dergelijke systemen maken ook gebruik van AI om aanvallen via bijvoorbeeld afwijkend netwerkverkeer op te sporen.
• Logbestanden en netwerkverkeer actief te monitoren op onbekend en afwijkend netwerkverkeer of verdachte activiteiten.

Hanteer het zero-trust principe voor je beveiliging

Vertrouw niet op je gebruikers. Eventuele hackers doen zich ook als een gewone gebruiker voor. Stel daarom maximale toegangsbeveiliging voor je systemen in met technieken als:

• Two-factor of Multi-factor authenticatie zoals een combinatie van een gebruikersnaam+wachtwoord en een gegenereerde toegangscode uit een speciale authenticatieapp.
• Identiteitsauthenticatie zoals een combinatie van een gebruikersnaam+wachtwoord en een ID-card+reader om toegang te krijgen.

Voorkom schade en bescherm je tegen zero-day-exploits

Zero-day-exploits zijn de meest gewilde en effectieve manier voor hackers om je netwerken en systemen aan te vallen en in te breken: via een exploit kunnen ze vaak voor langere tijd ongestoord hun gang kunnen gaan. Met alle schade van dien, zowel bedrijfseconomisch als aan je reputatie. Neem daarom de nodige maatregelen om je organisatie te beschermen en de risico’s te beperken. Zo snijd je hackers de pas af en maak je van een zero-day-exploit een zero-effect-exploit.