Cognizant
Het Amerikaanse beursgenoteerde Cognizant is ooit begonnen als de interne IT beheerder van Dun & Bradstreet. Het is in 1994 op afstand gezet en inmiddels in 166 landen actief. 295.000 medewerkers zorgen voor alle mogelijke IT klussen. Het heeft ook een omvangrijke consultancy tak, maar die lijkt op dit moment niet relevant voor de ontstane crisis. Tot het portfolio behoort ook onderhoud en beheer op afstand. Daarvoor is toegang tot klantsystemen nodig.
Omdat het bedrijf het overzicht wil houden en alles goed moet documenteren maakt het gebruik van omvangrijke ticketingsystemen. Die zijn dan weer deels gekoppeld met de overige processen. Zo kan de medewerker remote toegang krijgen tot het klantsysteem en tegelijk de werkzaamheden administreren. De koppeling is uiteraard ook nodig voor monitoren en bijstellen van automatische processen.
MSP en hosting resellers
Iedere MSP herkent deze taken van Cognizant. Zij werken immers ook met automation tools, ticketingsystemen en vertrouwen op API’s om systemen met elkaar te laten communiceren. Verschil is primair de omvang van de bedrijven.
Hostingresellers zijn wat dat betreft op het eerste gezicht een aparte categorie. Dit zijn bedrijven of personen die server capaciteit bij een provider huren als virtueel platform voor websites van meerdere klanten. De software die zij gebruiken is beperkt. Voor webhosting is minder tooling beschikbaar en nodig.
Doelwit
Al jaren is bekend dat minder alerte houders van reselleraccounts een groot risico vormen. Als gebruikersnaam en wachtwoord van dat ene account is achterhaald kan een veelvoud van websites worden misbruikt. Zoiets gebeurde en gebeurt dan ook regelmatig. Tot een paar jaar terug was het de manier op grootschalige defacement acties door te voeren.
Inmiddels zijn defacements veel minder aan de orde. Andere vormen van cybercrime zijn minder ludiek, maar wel meer lucratief. Of het nu gaat om het bouwen van een botnet of het installeren van cryptoware is niet eens zo belangrijk. Het gaat om de doelwitten die de criminelen op het oog hebben. Waarom 10 verschillende netwerken of websites hacken als er een beheeraccount is dat kan worden achterhaald?
Achterlopen
Om precies die reden zijn organisaties als Cognizant logische doelwitten van dit soort acties. Dat weten ze ook al jaren. MSP’s en helemaal hostingresellers lopen op dit punt achter. MSP’s hebben daar nog een voordeel. De tooling die ze gebruiken en de leveranciers daarvan besteden serieus aandacht aan de veiligheid. Een MSP heeft ook trainingen te volgen, waar aan security de nodige aandacht wordt besteed.
Voor een hostingreseller geldt dat allemaal niet. Die kan met een paar muisklikken zijn carrière starten. Kwalificaties zijn niet nodig en de tooling is gewoon erg beperkt. Voor iedereen die zich met IT veiligheid bezighoudt is het zeer onbevredigend dat deze groep zo veel kan achterlopen. Als het fout gaat dan kan de provider het account blokkeren en een grondige schoonmaak eisen. Voor de klanten van de reseller is het dan al te laat. De websites zijn onbereikbaar of kapot.
De totale schade die daarbij ontstaat is uiteraard maar een fractie van wat de succesvolle besmetting van de interne Cognizant systemen tot nu toe heeft veroorzaakt. Toch mag dat geen reden zijn tot achteroverleunen.
Het risico dat een onprofessionele hostingreseller loopt wordt structureel onderschat. De schade die zijn gedrag kan veroorzaken reikt namelijk veel verder dan het handvol websites van zijn klanten. Een slecht beveiligde reseller omgeving is een perfecte steppingstone naar andere grootschalige besmettingen en aanvallen. Dat is geen fictie of theorie. Er zijn genoeg roemruchte hacks en cryptoware aanvallen waarvoor deze zwakte bewust is gezocht en benut.
