Cyberaanvallen verschijnen regelmatig in het nieuws, maar er wordt maar sporadisch aandacht besteed aan de afhandeling van zo’n crisis. Zodra een bedrijf zijn dienstverlening weer voortzet, lijkt de kous af. Een openbaar rapport van Fox-IT, dat zo’n grote cyberaanval onderzocht, geeft dan ook een unieke kijk achter de schermen. Het rapport bevat daarmee waardevolle informatie voor andere organisaties. We kunnen de volgende zeven lessen trekken uit de onderzochte cyberaanval.
Doordat twee phishing e-mails werden geopend, konden hackers het onderzochte systeem binnendringen. Als het gaat om cybersecurity, blijken werknemers helaas nog altijd de zwakste schakel te vormen voor organisaties. IBM toonde al eens eerder aan dat maar liefst 95 procent van de cyberaanvallen begint met een menselijke fout. Incidentele, eenmalige trainingen zijn simpelweg niet opgewassen tegen steeds sluwer wordende cybercriminelen. Continue training en herhaling is noodzakelijk. Alleen zo blijven je medewerkers alert genoeg. Er bestaan daarom speciaal ontwikkelde cybersecurity awareness leerprogramma’s, die bedoeld zijn om de cybersecurity kennis van medewerkers te verbeteren door steeds weer opnieuw nuttige info en praktische tips te laten zien.
Nadat er geklikt was op een phishing e-mail, zal de initiële besmetting waarschijnlijk via een macro in Excel hebben plaatsgevonden. Macro’s voor Office programma’s zijn een bekend risico. Microsoft geeft dit zelf ook al jaren aan. Toch zijn sommige macro’s binnen bedrijven noodzakelijk. Sinds Office 2016 is het daarom mogelijk om als administrator het gebruik van macro’s – en daarmee de risico’s ervan – in te perken. Via Group Policies kun je voor de gehele organisatie een selectie vertrouwde macro’s toestaan, of macro’s in zijn geheel blokkeren.
Als IT-beheerder kun je beter niet je domein administrator account gebruiken om ook servers te beheren. Om je servers te beheren moet je nou eenmaal af en toe inloggen, maar telkens als je inlogt, blijven je credentials ook enige tijd opgeslagen in het geheugen van de server. Als een hacker dan die credentials te pakken krijgt, en je zou overal hetzelfde account gebruiken, heeft een hacker gelijk toegang tot ál je systemen. Dit gaf hackers vrij spel bij de onderzochte cyberaanval. Maar wanneer je voor elke server een eigen account gebruikt, dat alleen specifieke rechten heeft, blijft de schade beperkt als inloggegevens in verkeerde handen vallen. Een andere manier is gebruikmaken van Protected Users Security Groups, waardoor bepaalde (belangrijke) accounts extra beveiligd zijn.
We weten het, updates kunnen voor veel gedoe en downtime zorgen, maar ze worden natuurlijk niet zomaar uitgebracht. We kunnen het daarom niet vaak genoeg herhalen: installeer altijd updates. Ze verhelpen veiligheidsrisico’s en dichten bekende lekken. In dit geval werd bijvoorbeeld de zogenoemde EternalBlue exploit misbruikt om door het netwerk te bewegen, terwijl Microsoft enkele jaren terug al een patch uitbracht voor deze exploit.
Oké, zelfs al zijn je medewerkers op de hoogte en heb je alle updates geïnstalleerd, dan nog kan er altijd een gewiekste hacker door je beveiliging glippen. Toch zijn de meeste aanvallen niet in een uurtje gedaan. Fox-IT merkte bijvoorbeeld op dat er ruim twee maanden tussen de initiële besmetting en de uiteindelijke gijzeling van de software zat. In die twee maanden vond allerlei verdacht verkeer plaats op het netwerk, maar zonder netwerkmonitoring wordt dat niet snel opgemerkt. Het is dan ook aangeraden om zowel intern als uitgaand verkeer te monitoren.
Wanneer het toch mis zou gaan, kan het helpen om tenminste voorbereid te zijn op een cyberaanval. Met een CMDB (Configuration Management Database) weet je welke apparaten en programma’s er allemaal actief zijn binnen je organisatie. Daardoor kun je in geval van nood sneller en gerichter ingrijpen. Ook door vooraf al een incident response plan op te stellen, kan een organisatie sneller ingrijpen. Zie het als de periodieke brand- of ontruimingsoefening, maar dan digitaal.
Bij deze cyberaanval werden ook de online backups versleuteld en bestonden er geen offline backups. Kiezen voor online backups was een bewuste keuze: bij een storing of uitval zijn dit soort backups sneller toe te passen. Ze bleken echter niet bestand tegen een cyberaanval. Idealiter heeft een organisatie dus zowel online als offline backups, aangezien ze voor verschillende situaties geschikt zijn. Zo profiteer je van de snelheid van online backups, en de veiligheid van offline backups. Een beproefde methode om efficiënt backups te maken, is bijvoorbeeld de 3-2-1 regel.
Het moge duidelijk zijn dat een cyberaanval niet door één fout ontstaat. Hackers moeten zich meestal door meerdere ‘lagen’ bewegen. Pas als er genoeg ‘gaten’ gevonden worden, lukt een cyberaanval. Daar was dan ook in dit geval sprake van. Er is geklikt op phishing e-mails. De laatste updates waren niet geïnstalleerd. Het netwerk was onvoldoende gesegmenteerd. En alarmsignalen werden niet opgemerkt, waardoor de hacker zich ongestoord in het netwerk kon begeven en uiteindelijk ransomware kon plaatsen. Kortom, een klassiek voorbeeld van het ‘Zwitsersekaasmodel’.
Het is ontzettend moeilijk om ál die gaten te dichten. Een medewerker kan altijd per ongeluk toch op een phishinglink klikken, en we kunnen genoeg redenen bedenken waarom je die ene update tóch eventjes nog wilt uitstellen. Maar door op meerdere fronten deze strijd aan te gaan, gewapend met deze zeven lessen, verklein je de kans dat een hacker door al die verschillende gaten kan springen. De lessen op dit gebied zijn hard, maar dus zeker waardevol.