De applicaties die het overgrote deel van de huidige hypercomplexe technologiepakketten uitmaken, zijn sterk afhankelijk van code van derden. Helaas worden de aanzienlijke voordelen die deze geprefabriceerde componenten bieden vaak in gevaar gebracht door de ernstige gevolgen voor de veiligheid van architectuur van derden. Het is essentieel voor moderne bedrijven om niet alleen deze risico’s te onderkennen, maar ook actief de stroom aanvallen te helpen tegengaan. Geavanceerde tools, waaronder een WAF-oplossing van de volgende generatie, zijn wellicht de enige manier om het bestaan van derde partijen te garanderen.
1. Code van derden: waarom zou je het wiel opnieuw uitvinden?
Code van derden beschrijft alle regels van een programma die in verschillende toepassingen kunnen worden gereproduceerd. Dit maakt het applicatieontwikkelingsproces eenvoudiger, omdat het recyclen van code de time-to-market aanzienlijk kan verkorten. Maar zelfs als de basis van een app eenmaal is gelegd, kunnen de ontwikkelaars code van derden gebruiken voor het volgen van advertenties, klantrecensies, betalingen, chatbots, tagbeheer, integratie van sociale media of andere hulpbibliotheken die algemene functies vereenvoudigen.
Door het nut en de beschikbaarheid van code van derden is deze in alle uithoeken van het internet geïnfiltreerd: tegenwoordig maakt code van derden tot 70% van elke website uit. In hetzelfde onderzoek zei 99% van de respondenten dat sites die door hun organisatie worden gebruikt en geproduceerd minstens één stukje code van derden bevatten.
Open source beschrijft een soort code van derden, hoewel de term derde partij ook verwijst naar extern ontwikkelde code waarvan de gebruikslicentie mogelijk is aangeschaft. Wat de commerciële prijs van deze code ook mag zijn, bedrijven hebben de sociale en veiligheidskosten te lang genegeerd.
2. Het verborgen gevaar van spookcode
Code van derden leent zich voor de ontwikkeling van zeer toegankelijke sites en applicaties. Hoewel deze no-code- of low-code-omgevingen de toegangsdrempel voor ondernemers en enthousiaste hobbyisten helpen verlagen, is het essentieel om de risico's te begrijpen. Cybercriminelen zijn maar al te bereid misbruik te maken van naïeve of onzorgvuldige ontwikkelaars. Soms is het niet een gebrek aan vaardigheden dat hen in staat stelt te infiltreren, maar de sterke druk om snel ingezet te worden.
Aanvallers gegroepeerd onder de paraplu van Magecart maken sinds 2015 misbruik van codes van derden. Dit misdaadsyndicaat vertrouwt op de diefstal van digitale creditcards, die worden gestolen door in het geheim JavaScript-code op e-commerce-betaalpagina's te injecteren. Magecart heeft een spoor van vernietiging gezaaid met indrukwekkende inzetten: Ticketmaster, British Airways en talloze andere online merken zijn allemaal ten prooi gevallen aan hun aanvallen.
In 2020 vonden twee spraakmakende aanvallen plaats: kinderkledingfabrikant Hanna Andersson en de Britse retailer Sweaty Betty waren het doelwit. Er wordt aangenomen dat beide aanvallen draaiden om schijnbaar onschadelijke site-add-ons. Verborgen in deze regels code voegen Magecart-aanvallers echter een paar belangrijke regels JavaScript toe.
Deze code van derden kopieert vaak legitieme betalingsformulieren op een e-commercesite. Er zijn echter cruciale – kleine – veranderingen aangebracht. Zo worden betalingsgegevens in het geheim naar een server gestuurd die door de aanvaller wordt beheerd. De transactie zelf is nog steeds geautoriseerd, wat betekent dat eindgebruikers in het ongewisse blijven. De aanval op Hanna Andersson bleef wekenlang volledig onopgemerkt – hoewel het een relatief snelle ontdekking was, waarbij andere slachtoffers bijna een jaar in het ongewisse bleven.
De meeste slachtoffers worden alleen gewaarschuwd wanneer gestolen creditcardgegevens op darkweb-marktplaatsen verschijnen. De kosten zijn aanzienlijk: Hanna Andersson werd veroordeeld tot het betalen van $400.000 aan schadevergoeding aan meer dan 200.000 klanten; de exacte kosten voor individuele slachtoffers zijn moeilijker te bepalen, maar door hun naam, verzendadres, factuuradres en betaalkaartgegevens te stelen, kunnen aanvallers ongelooflijke schade aanrichten. Magecart-aanvallen zijn tijdens de Covid-19-pandemie feitelijk in populariteit toegenomen, met een stijging van 20%, terwijl de gemiddelde detectietijd 22 dagen bedroeg.
Magecart vertegenwoordigt mogelijk kwaadaardige code van derden, maar zelfs geteste open-sourcecode kan per ongeluk een van de grootste beveiligingsproblemen van dit decennium veroorzaken. Log4j beschrijft een open-source logbibliotheek die een van de belangrijkste onderdelen van de webarchitectuur is geworden en verantwoordelijk is voor het doorgeven van essentiële loginformatie aan het ontwikkelings- en onderhoudsteam. In 2021 werd echter ontdekt dat de log4j-bibliotheek ernstig kwetsbaar was voor het uitvoeren van code op afstand. Honderden miljoenen apparaten worden dan blootgesteld aan ernstige risico's, omdat de fout relatief eenvoudig te exploiteren is.
Het is niet realistisch om volledig af te zien van code van derden. Meer dan 60% van de websites ter wereld draaien op Apache- en Nginx-servers, terwijl 90% van de IT-managers regelmatig vertrouwt op open source-code van bedrijven. Alle moderne software is opgebouwd uit reeds bestaande componenten, en het opnieuw opbouwen van deze functies zou enorme investeringen in tijd en geld vergen om zelfs relatief eenvoudige applicaties te produceren.
3. Met een pleister kom je niet weg.
Eenmaal geïntegreerd in een applicatie kan code van derden moeilijk te testen zijn, en zelfs nog moeilijker te beveiligen. Oplossingen zijn geheel aan de ontwikkelaars; Zelfs voor actieve, goedbedoelende ontwikkelaars, zoals degenen die de log4j-functionaliteit onderhouden, nemen reparaties een kritische hoeveelheid tijd in beslag.
Wees niet bang: een alomvattende beveiligingsoplossing kan een aantal tools bieden om patches virtueel toe te passen en uiteindelijk aanvallers tegen te houden. Een voorbeeld van zo'n tool is de Web Application Firewall (WAF). Het komt tussen de applicatie en de eindgebruiker en monitort en filtert passerend verkeer. WAF's van de volgende generatie bieden automatische beleidscreatie en snelle regelpropagatie, om expliciet het vangnet uit te breiden dat code van derden nodig heeft.
Terwijl traditionele WAF zich primair richt op het monitoren van externe verbindingen, beschrijft Web Application and API Protection (WAAP) een uitgebreider beveiligingspakket. Het omvat de op firewalls gebaseerde benadering van WAF, terwijl de nadruk meer ligt op API's. Deze stukjes code bieden programmatische toegang tot verschillende applicaties en zijn van oudsher een belangrijk zwak punt in de verdediging van organisaties.
Ten slotte biedt runtime application self-protection (RASP) een overtuigende volgende stap in de richting van geautomatiseerde bescherming. In plaats van buiten de applicatiecode te staan, fungeert RASP als een plug-in, die zich hecht aan de interne onderdelen van de applicatie. Via het interne beeld van een applicatie kan RASP het gedrag ervan monitoren en typische logins en privileges in kaart brengen die zich onder de motorkap voordoen. Zodra een basisgedrag is vastgesteld, kan RASP automatisch verdacht gedrag detecteren – en, belangrijker nog, stoppen.
Met een proactief pakket aan virtuele patchingmaatregelen kan uw beveiliging gelijke tred houden met DevOps, terwijl u de dreiging van cybercriminelen en de daaruit voortvloeiende rechtszaken helpt tegengaan.