Je bedrijf beveiligen tegen SPECTRE/MELTDOWN: een pragmatische samenvatting
SPECTRE/MELTDOWN – In januari werden drie kwetsbaarheden onthuld die moderne processors aantasten en daardoor privégegevens kunnen prijsgeven aan aanvallers.
– CVE-2017-5753 – Bounds Check bypass (Spectre variant 1)
– CVE-2017-5715 – Branch Target Injection (Spectre-variant 2)
– CVE-2017-5754 – Rogue Data Cache Load (Meltdown)
Meer informatie over de impact van deze kwetsbaarheden is te vinden op de spectre/meltdown website.
Tot nu toe zijn er veel artikelen, beveiligingsbulletins, nieuws en artikelen gepubliceerd over hoe deze kwetsbaarheden kunnen worden aangepakt. Dit artikel is bedoeld om deze stroom aan informatie samen te vatten en pragmatische adviezen te geven.
Apparaten van eindgebruikers beveiligen
“Eindgebruikersapparaten zijn het meest kwetsbaar voor Spectre/Meltdown omdat onvertrouwde code gemakkelijk op deze apparaten kan draaien (in de browser, via een macro of een gedownloade executable) en deze kwetsbaarheden kan misbruiken. Ze moeten daarom zo snel mogelijk worden gepatcht.” Pierre Alexis, Cyberveiligheidsadviseur
Hoe eindgebruikersapparaat beveiligen tegen Meltdown?
Installeer gewoon de nieuwste updates van je OS-leverancier. Alle grote OS-smaken hebben nu patches beschikbaar (Windows, macOS, Linux, iOS, Android, enz.) met onmerkbare gevolgen voor de prestaties. Pas gewoon alle nieuwste beveiligingsupdates toe. Houd er voor Windows-updates rekening mee dat Windows de update niet installeert zolang je antivirus niet heeft aangegeven dat het klaar is om de update te ondersteunen (via de toevoeging van een sleutel in het Windows-register). Bijna alle antivirusprogramma’s activeren deze verklaring nu (controleer in deze lijst of dit het geval is). Update eerst je antivirus om er zeker van te zijn dat de melding wordt gedaan. Als je geen antivirus hebt geïnstalleerd, moet je deze verklaring handmatig activeren(zie hier hoe).
Hoe eindgebruikersapparaat beveiligen tegen Spectre?
Eindgebruikersapparaten beveiligen tegen Spectre ligt iets minder voor de hand, omdat een OS-update niet zal helpen. Er zijn twee andere maatregelen nodig:
Voor variant 1: alle risicovolle toepassingen moeten zichzelf patchen. De meest riskante toepassingen zijn webbrowsers. Alle grote webbrowsers zijn nu bijgewerkt met mitigaties tegen Spectre. Update gewoon je browsers naar de nieuwste versie en blijf dit doen in de toekomst, omdat de huidige mitigaties mogelijk niet definitief zijn. De gevolgen voor de prestaties zijn weliswaar niet nihil, maar onmerkbaar voor de eindgebruiker.
Voor variant 2: de microcode van je processor moet worden bijgewerkt via een BIOS-update. Updates zijn momenteel nog niet klaar omdat ze nog instabiel zijn en tot prestatieverlies zullen leiden (mogelijk belangrijk voor ontwikkelaars en technische gebruikers). We moeten daarom wachten op een groene vlag van de processorfabrikanten. Als ze klaar zijn, zullen de updates waarschijnlijk worden verspreid door de hardwarefabrikanten (HP, Dell, Lenovo, enz.) en/of via updates van het besturingssysteem. Controleer regelmatig de beveiligingsbulletins op hun website.
Uw servers beveiligen
Geval één: uw servers bevinden zich in uw eigen infrastructuur
Als uw servers zich in uw eigen infrastructuur bevinden (niet in een cloudomgeving die door meerdere klanten wordt gedeeld), zijn de risico’s van uitbuiting om twee belangrijke redenen relatief laag:
– Ten eerste kan niet-vertrouwde code niet eenvoudig worden uitgevoerd (over het algemeen wordt er geen browser geïnstalleerd en gebruikt op servers; aanvallers moeten eerst rechtstreeks toegang krijgen tot je server om kwaadaardige code uit te voeren).
– Ten tweede, omdat uw servers niet in een gedeelde omgeving draaien, is er geen risico dat een virtuele machine van een andere klant een kwaadaardige code uitvoert die toegang krijgt tot het geheugen van uw virtuele machines met privégegevens.
Ons advies is daarom om de specifieke updates voor Spectre en Meltdown niet blindelings toe te passen, omdat ze tot prestatieverlies kunnen leiden. Beoordeel eerst de relevantie van dergelijke updates.
Belangrijke opmerking: deze aanbeveling is NIET van toepassing op servers die worden gebruikt om virtuele desktops aan te bieden aan eindgebruikers (Citrix, RDP) of waarop een GUI is geïnstalleerd. Dergelijke servers moeten op dezelfde manier worden beschouwd als apparaten voor “eindgebruikers” (zie hierboven).
Geval twee: uw servers bevinden zich in de cloud
Als uw servers in een gedeelde cloudomgeving draaien, loopt u een groter risico, omdat virtuele machines van andere klanten, die zich op dezelfde fysieke server bevinden, (opzettelijk of niet) een kwaadaardige code kunnen uitvoeren die toegang krijgt tot het geheugen van uw virtuele machines met privégegevens.
Ons advies: Het is daarom belangrijk dat u bij uw infrastructuur- of cloudprovider controleert of er patches zijn toegepast op zowel het host-besturingssysteem (Windows, Linux, etc.) als de hypervisor-software (VMWare, VirtualBox, etc.). Alle grote cloudproviders hebben beschikbare stabiele patches toegepast (AWS, Google, Azur, OVH) en volgen het uitbrengen van nieuwe patches of microcode-updates op de voet.
Het is niet verplicht om patches toe te passen op je gast-OS om je applicaties te isoleren van andere klanten die op dezelfde infrastructuur draaien. Ons advies is dan ook om niet blindelings de specifieke updates voor Spectre en Meltdown toe te passen, omdat deze kunnen leiden tot prestatievermindering. Beoordeel eerst de relevantie van dergelijke updates.
Conclusie en samenvatting
Tot slot en afhankelijk van het element in je infrastructuur dat je moet beschermen, hebben we onze aanbevelingen hieronder in een notendop samengevat
Bezoek onze website voor meer informatie.
Over het artikel en de auteur:
– Je bedrijf beveiligen tegen SPECTRE/MELTDOWN – Het artikel is geschreven door Pierre Alexis, Cyber Security Consultant Approach
– LAATSTE UPDATE VAN DIT ARTIKEL: 26 februari 2018.
– Dit artikel gaat over een recent ontdekte kwetsbaarheid. De informatie kan snel veranderen naarmate het evenement vordert. Bezoek deze pagina regelmatig voor de laatste updates over dit onderwerp.
– Disclaimer: deze informatie wordt alleen voor informatieve doeleinden gedeeld en moet zorgvuldig worden gebruikt. Het is niet de bedoeling dat deze informatie het professionele advies van onze experts vervangt.
