NFIR-topman Arwi van der Sluijs: 'File Integrity Monitoring kan CitrixBleed 3 voorkomen'
Een nieuwe golf van CitrixBleed-aanvallen kan zomaar opduiken, benadrukt Arwi van der Sluijs, topman van cyberbeveiligingsbedrijf NFIR. Tijdens zijn presentatie op het Cybersec Jaarbeurs-event in Utrecht wees hij op een opvallend eenvoudige, maar effectieve verdediging: File Integrity Monitoring. Deze techniek maakt het mogelijk om aanvallen vroegtijdig te detecteren, voordat ze daadwerkelijk impact hebben.
In zijn sessie "How to prevent CitrixBleed 3?" analyseerde Van der Sluijs de voorgangers van deze dreiging. CitrixBleed 1 (2023) en CitrixBleed 2 (2025) veroorzaakten wereldwijd grote verstoringen bij bedrijven en instellingen. Zijn boodschap: de oplossing ligt dichterbij dan je denkt. Volgens Van der Sluijs is de dreiging van een derde variant onvermijdelijk: “De volgende ‘CitrixBleed’ zal anders zijn dan de vorige. Wie blijft vertrouwen op oude patronen, loopt achter de feiten aan. Met File Integrity Monitoring maken we veranderingen zichtbaar zodra ze ontstaan en dát is de sleutel om de impact te beperken,” aldus Van der Sluijs.
'Traditionele detectiemethoden volstaan niet meer'
NFIR stelt dat traditionele detectiemethoden niet meer volstaan, omdat hackers zich blijven ontwikkelen. Het bedrijf adviseert organisaties daarom File Integrity Monitoring (FIM) in te zetten op hun Citrix NetScalers. Dit is overigens geen nieuwe techniek. Het is al 30 jaar een begrip onder Unix- en Linux-specialisten om de integriteit van systemen te bewaken. De methode houdt bij welke bestanden er op een systeem aanwezig zijn, en legt kenmerken zoals bestandslocatie, grootte, inhoud, permissies en hashwaarden vast. Zodra er een wijziging optreedt, bijvoorbeeld door een update, een configuratiewijziging of de toevoeging van een verdacht bestand, genereert FIM direct een melding. Zo ontstaat er een compleet en betrouwbaar overzicht van alle veranderingen die binnen kritieke systemen plaatsvinden.
De onderzoeken die NFIR uitvoerde naar CitrixBleed 2 hebben belangrijke lessen opgeleverd. Zo blijkt dat de standaardinstelling van de security- en auditlogs binnen Citrix NetScalers slechts 25 MB bedraagt. Dit is veel te weinig om forensisch onderzoek adequaat uit te voeren. NFIR adviseert organisaties daarom om logflows extern op te slaan met een retentietijd van minimaal één jaar.
Daarnaast beschikt de NetScaler sinds 2023 over een ingebouwde optie om File Integrity Monitoring te activeren. Door deze functionaliteit in te schakelen en de gegenereerde logs actief te monitoren, kunnen organisaties ongewenst geplaatste malware direct herkennen en tijdig maatregelen treffen. “In Nederland zijn duizenden organisaties die hier hun voordeel mee kunnen doen. Denk aan ziekenhuizen, zorginstellingen, diverse overheidsinstellingen en ons bedrijfsleven.” aldus Van der Sluijs.
Dutch IT events
Alle events
Meer over Security
Over Wouter Hoeffnagel
