De risico’s van ‘third-parties’ voor websites

De risico’s van ‘third-parties’ voor websites

Publicatie: https://www.ictmagazine.nl/uitgelicht/de-risicos-van-third-parties-voor-websites/

 

De risico’s van ‘third-parties’ voor websites

Cert2Connect maakt essentiële monitoring beschikbaar

Praktisch iedere website maakt gebruik van scripts. In de beginjaren van het internet maakten webbouwers de meeste scripts zelf. Anno 2020 zijn veel scripts kant-en-klaar te hergebruiken. Voor webbouwers is dit een snel en kosteneffectief middel, maar er is ook een keerzijde.

Over deze keerzijde spreken we met Reinier Landsman, partner bij Cert2Connect. “Bedrijven laten hun website doorgaans bouwen en/of onderhouden door experts op dat gebied”, vertelt hij. “Deze leveranciers gebruiken open source code, of scripts, die zo van de plank kunnen worden gehaald. Neem het invoeren van een CAPTCHA als beveiliging tegen spam. Deze zijn gemaakt door zogeheten ‘third-parties’. Op hun beurt maken deze ‘third-parties’ ook gebruik van bestaande code. Vanuit de optiek van de oorspronkelijke opdrachtgever zijn deze scripts afkomstig van ‘fourth-parties’ enzovoort.”

Reflectiz

Een script kan onder meer opdracht geven om andere bestaande scripts te laden. Landsman waarschuwt ervoor dat hoe meer third-party scripts worden gebruikt, hoe ondoorgrondelijker het wordt om te monitoren welke er nu precies draaien op jouw website. “Ook weet je niet meer van wie die scripts oorspronkelijk afkomstig zijn. Dus ondanks dat jij scripts gebruikt van een betrouwbare partner, kan het gebruik van third-party scripts flinke risico’s met zich meebrengen. Want in een script kunnen alle mogelijke opdrachten staan. Als data ineens naar Singapore of China stroomt, terwijl dat normaliter nooit gebeurt, moeten er toch alarmbellen gaan rinkelen. Welk script doet dat? Kun je erop ingrijpen?

Een belangrijke tool in dit kader is het platform van Reflectiz. Deze tool biedt inzicht in waar bepaalde data naartoe gaat, zodat je de verantwoordelijke scripts boven water krijgt. Pas dan kun je controlerende maatregelen toepassen. Het is in feite security monitoring voor websites.”

Geen controle

Een gemiddelde website gebruikt tientallen third-party leveranciers. Voor e-commerce en nieuws websites kan dat oplopen tot honderd stuks of meer. De voordelen zijn duidelijk: uitgekristalliseerde functionaliteit, goedkoop, snel enzovoort. Maar over de risico’s op het gebied van veiligheid en privacy hoor je verdacht weinig.

Standaard web security tools zoals Intrusion Prevention Systems (IPS) of Web Application Firewalls (WAF) helpen om de communicatie tussen de eindgebruikers en de webservers te beschermen. Alleen zijn ze met betrekking tot third party web apps niet zo effectief. Landsman: “De bezoeker van de website genereert connecties met tientallen wereldwijde locaties, en zover reikt de IPS- en WAF-bescherming van de website nu eenmaal niet.

Hierdoor kunnen third party diensten de browsers van je bezoekers infiltreren zonder dat ze daarvoor toestemming nodig hebben en dat kan weer leiden tot ernstige consequenties voor software- en dataplatforms. Third-party risk management verdient daarom de aandacht van Security Officers.”

De grootste risico’s

Partners, leveranciers of service providers in de supply chain vallen buiten de directe scope van de Data Privacy Officers. Zeker in de retail hebben veel partijen in de supply chain toegang tot privacygevoelige informatie en de security systemen. Ongetwijfeld hebben de meesten van hun de eigen security tiptop in orde, en je kunt hele strakke afspraken maken met ze.

Maar ook voor hen geldt dat zij met third-party scripts werken. Eén is genoeg om binnen te dringen. Daarnaast kunnen er fouten in de code zitten, ook in die van third-party leveranciers. Het is niet raadzaam om er volledig op te vertrouwen dat alle third- en fourth-party leveranciers dezelfde veiligheidsmaatregelen hanteren als jij. Het is net als in de hele supply-chain, er zitten altijd een paar sloddervossen tussen.

Ook komt privacybescherming serieus in gevaar wanneer we bedenken dat third-parties zelf gebruikmaken van andere third-party apps. Met andere woorden, hoe goed je eigen processen en security ook in elkaar zitten, daarmee bestrijd je niet het risico van een lek via de lange lijn van third-party scripts. Het wordt daardoor wel heel erg moeilijk om te voldoen aan de GDPR richtlijnen.

Inzichtelijk

Deze third-party risico’s en bedreigingen benadrukken eens temeer het belang van doorwrocht risicomanagement. Identificeer de risico’s, evalueer ze en mitigeer ze. “Maar,” voegt Landsman hieraan toe, “juist doordat de leveranciers van jouw leveranciers voor jou niet zichtbaar zijn, voldoen reguliere cybersecuritymaatregelen niet.”

“Gelukkig maakt Reflectiz de betrokkenheid inzichtelijk van third- en fourth-parties en van wat zich daar weer achter afspeelt. Zodra deze in beeld zijn, kun je er concreet een effectief cybersecurity proces op loslaten, om vast te stellen dat geen van hen beveiligingsrisico’s met zich meebrengen. Ook daar kan Reflectiz bij helpen. De intelligentie van deze software geeft inzicht in wat jouw risico’s zijn, low, high of medium. In plaats van dat je in het duister blijft tasten, kun je nu gedegen en gerichte beslissingen nemen.”

Afgewende bedreigingen

De onschatbare waarde van het Reflectiz platform heeft zich al veelvuldig bewezen. Zo sloeg het platform onlangs alarm omdat een niet-bestaand domein van een website van een grote bank werd gebruikt. Na onderzoek ontdekte het platform dat het een intern domein betrof. Dit was per ongeluk naar de productieomgeving geüpload en stond bovendien te koop voor nog geen 100 dollar per jaar. Als cybercriminelen dit eerder hadden ontdekt, zouden ze op afstand de gebruikers van de site hebben kunnen hacken.

In de lente van 2019 werden diverse websites het slachtoffer van een zogeheten defacement campagne. Hackers die toegang tot de code krijgen, kunnen webpagina’s aanpassen. Het Reflectiz platform ontdekte dat deze aanval voortkwam uit een kwaadaardig third-party script. Cybercriminelen waren doorgedrongen in Nagish, een gangbare en toegankelijke component. Nadat ze het script hadden aangepast konden ze defacement toepassen op Linux-machines. Het Reflectiz platform detecteerde de kwaadaardige code, sloeg alarm en voorzag cliënten van een volledig stappenplan met betrekking tot hun gebruik van Nagish.

Een Fintech bedrijf ontdekte diverse third-party scripts die waren geïnstalleerd op gevoelige delen van de website, onder meer de pagina’s waar wachtwoorden worden gewijzigd. Deze Reflectiz cliënt begon de gedetecteerde scripts te verwijderen, maar één daarvan veroorzaakte enorm veel problemen. Het Reflectiz platform maakte een verwijderingsproces mogelijk voor alle ongewenste en onbeveiligde code.

Bezoek op de Cert2Conect website de pagina 'Third Party Application Security for Websites' voor meer informatie.

 

 

Geïnteresseerd hoe het met je eigen website zit?