De reactie op het Citrix lek. Onnodig paniekvoetbal of terecht?

De reactie op het Citrix lek. Onnodig paniekvoetbal of terecht?

27 January 2020 door in Security

De afgelopen weken stond de media bol van de berichten over een ernstig lek in Citrix software. Het lek leidde ertoe dat, na een voor het Nationaal Cyber Security Centrum (NCSC) uitgebracht advies, een groot aantal organisaties zich genoodzaakt zagen om deze dienstverlening af te sluiten van het internet. Duizenden ambtenaren konden niet meer thuiswerken, complete ziekenhuizen gingen offline en tentamens konden niet plaatsvinden.

Hoe heeft dit precies kunnen gebeuren? Had het voorkomen kunnen worden? En zouden wij voor onze klanten een andere oplossing gekozen hebben? In dit artikel zetten wij onze visie hierop uiteen.

Wat is er gebeurd?

Citrix is een systeem waarmee medewerkers onder andere op afstand kunnen inloggen op bedrijfssystemen, bijvoorbeeld om thuis te werken. In december werd er een ernstig lek aangetroffen waarmee hackers binnen kunnen komen. Ondanks de ernst van het lek, gaf Citrix aan dat ze er nog geen patch voor beschikbaar hadden was en dit nog even op zich zou laten wachten. Er werd wel een workaround gepresenteerd die het probleem zou omzeilen. In januari werd echter bekend dat dat er exploits van het lek in omloop waren en dat de door Citrix geboden tijdelijke oplossing niet in alle gevallen werkte.

Het NCSC adviseerde daarom bedrijven en instanties uit voorzorg de Citrix servers offline te halen. De daaropvolgende dagen hebben vele bedrijven, overheden, ziekenhuizen en onderwijsinstellingen daarom uit voorzorg hun Citrix-netwerk uitgeschakeld.

Enkele dagen later verschenen uiteindelijk de eerste beveiligingsupdates voor Citrix en zijn organisaties begonnen met de systemen weer beschikbaar te maken. Desondanks moeten organisaties wel nagaan of er al in de systemen is ingebroken. Citrix heeft hier inmiddels een tool voor aangeboden.

Wereldwijd 80.000 organisaties getroffen

Ruim 3700 organisaties in Nederland hebben te maken met de kwetsbaarheid. Dat de dreiging voor die organisaties reëel was, werd ook snel duidelijk.

Zo werd er bij het Medisch Centrum Leeuwarden (MCL) daadwerkelijk ingebroken. De hacker kwam volgens het ziekenhuis in de systemen, maar werd gestopt voordat hij bij persoonlijke gegevens kon komen. Uit voorzorg heeft het centrum alle dataverkeer met de buitenwereld afgesloten.

Ook de gemeente Zutphen is slachtoffer geworden. De gemeente zegt dat er geen signalen zijn dat iemand daadwerkelijk toegang heeft gehad tot de systemen of dat er gegevens zijn gestolen.

Gevolgen

Het besluit om afgesloten van de buitenwereld de servers door te laten draaien wordt ook wel “eiland modus” genoemd. Hoewel de schade daardoor beperkt blijft, komt er een hoop ongemak bij kijken en extra kosten. Door het afsluiten van netwerken van de buitenwereld, konden mensen bijvoorbeeld niet meer thuiswerken en als gevolg daarvan werd er zelfs een grotere filedrukte verwacht. Dat zijn maar kleine ongemakken ten opzichte van wat er had kunnen gebeuren. Wat als de impact groter was geweest? Wat als de server niet alleen afgeschermd moest worden, maar ook uitgezet moest worden? Een ziekenhuis zou dan bepaalde apparatuur niet meer kunnen gebruiken.

Risico’s verkleinen

Altijd updaten

Updates zijn er niet voor niks. Door het niet installeren van updates ben je niet alleen kwetsbaarder voor aanvallen, maar je loopt ook achterstand op. Onderhoud wordt veel ingewikkelder, downtime kan langer duren en de risico’s nemen toe. Als er dan een beveiligingslek aan het licht komt en er wordt een patch uitgebracht, dan zal je eerst alle updates moeten uitvoeren voordat je kan patchen.

Monitoren

Zorg ervoor dat jouw basisbeveiliging voor elkaar is. Dat betekent niet alleen het uitvoeren van updates, maar ook het monitoren van de veiligheid. Met behulp van monitoring software hou je ook de veiligheidssituatie in de gaten. Hiermee installeer je “brandmelders” en ben je er eerder bij voordat het al te laat is. Hiermee kan je de reputatieschade beperken, hersteltijd verkorten en juridische consequenties voorkomen (door het datalek te melden bij de Autoriteit Persoonsgegevens).

Realiseer je dat 100% veiligheid niet bestaat. Je kan niet een hele grote “Chinese muur” metselen die alle risico’s tegenhoudt. Er kan altijd een onbekend veiligheidslek zijn, een menselijke fout optreden of een onvolkomenheid bestaan in je beveiligingsproces. Het is ook verstandig om vooraf al een noodplan te hebben en na te denken over wat je gaat doen als de brandmelder te laat of niet is afgegaan.

Wat als er nog geen patch beschikbaar is?

In het geval van het Citrix-lek was er lange tijd geen patch (werkende) beschikbaar om het lek te dichten. Om toch de veiligheid te borgen in de tussentijd zal je dus andere maatregelen moeten nemen. Een hostingpartij zoals Cyso zal er alles aan doen om het risico te verkleinen totdat er een patch beschikbaar is, zodat je niet gedwongen wordt om extra risico’s te nemen of alles preventief uit moet zetten.

Normaal zouden we in een dergelijk geval misschien gekeken hebben naar de inzet van een VPN of extra firewall maatregelen om het attack surface te verkleinen en te voorkomen je dat je systemen open staan voor iedereen en daarmee het lek misbruikt kan worden.

In het geval van Citrix was echter het probleem dat het lek juist optrad in het component dat onder meer de VPN functionaliteit bevatte: de Citrix Gateway. Het plaatsen van een extra VPN daarvoor bleek voor veel organisaties (met duizenden thuiswerkplekken) gewoonweg niet realistisch. De hoeveelheid werk en overlast die dit zou geven voor beheerders en eindgebruikers was waarschijnlijk onwerkbaar op zo korte termijn.

Extra maatregelen via de firewall of een intrusion prevention systeem dan misschien? Hier was de twijfel te groot of er voldoende bekend was om een voldoende betrouwbare oplossing te realiseren. Dit zou neerkomen op het semi-geautomatiseerd tijdelijk pleisters blijven plakken tot het wordt opgelost. De onzekerheid van die oplossing in combinatie met de hoeveelheid werk die het met zich meebrengt, was vermoedelijk de reden dat ook deze optie sneuvelde.

Het loskoppelen van de systemen van het internet was waarschijnlijk de minst slechte keuze in dit geval, hoe zuur ook. Het risico in combinatie met de gevoeligheid van de achterliggende data was gewoonweg te hoog om risico’s te kunnen nemen. Niets doen was geen optie meer. De kans is groot dat wij voor onze klanten tot hetzelfde advies zouden zijn gekomen als het NCSC.

Daarna zouden wij wel direct aan de slag zijn gegaan om echt zo snel mogelijk uit deze situatie te komen en bijvoorbeeld een zo gebruiksvriendelijk mogelijke VPN-oplossing te implementeren zodat men de volgende werkdag al weer aan het werk zou kunnen.

Hoe voorkom je dit soort situaties?

Door een combinatie van factoren (waaronder een aantal fouten van Citrix zelf) is deze bug in de software uitgelopen tot een situatie daardoor er buitengewone maatregelen moesten worden genomen. Het geeft daardoor wel goed stof tot nadenken hoe je dergelijke situaties toch kunt voorkomen of op een alternatieve manier toch alsnog je systemen kunt blijven gebruiken.

Dat komt neer op twee aspecten: voorkomen dat ze zich kunnen voordoen en snel en effectief omgaan met situaties als die zich voordoen. Voorkomen is een onderdeel van het security design. De afhankelijkheid van Citrix was zo groot dat organisaties van één partij afhankelijk waren voor de complete keten. Wij werken daarom met meerdere partijen of zorgen dat er alternatieven beschikbaar zijn als een van de oplossingen niet gebruikt kan worden. Zorg eventueel voor een compleet tweede systeem als stand-by optie.

Daarnaast is wendbaarheid essentieel. Security is een complex vraagstuk omdat de scenario’s die zich kunnen voltrekken zeer divers en onvoorspelbaar zijn. Bij Cyso hadden wij ook niet kunnen voorspellen dat deze Citrix casus zich zo zou voltrekken. Wat wij echter wel kunnen is al onze decennialange ervaring, kennis en middelen inzetten om bij ieder beveiligingsvraagstuk en -incident snel en adequaat te reageren. Wij spreken dan al onze creativiteit aan en bewegen hemel en aarde om de risico’s te verkleinen en onze klanten online te houden.

Wil je meer weten over onze security dienstverlening?

Bekijk onze oplossingen en neem contact op


Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd