Krantenkoppen en uitzendingen als die van Zembla (Gehackt en Gegijzeld) bevestigen het beeld dat ransomware en cybercrime voor het grote publiek, maar ook voor bestuurders en toezichthouders, synoniem zijn geworden.
Eerst waren spionage, privacy-inbreuken en andere datalekken de grootste risico’s, Sinds Covid-19 staat ransomware onbetwist in de schijnwerpers van de media. Met daarbij nieuwe vragen als: moet je al dan niet betalen? En hoe zit het met je cyberverzekering? Wat is eigenlijk de totale schade voor een winkelketen, kliniek of universiteit die wordt stil gelegd?
Terechte vragen, maar ze leiden wel af van een andere wezenlijke vraag die onderbelicht blijft: “welke preventieve maatregelen kan (of liever gezegd moet) ik nemen om de kans op een ransomware-aanval drastisch te verkleinen?”
ON2IT zet deze maatregelen op een rij. Ook nuttig voor bestuurders en toezichthouders die willen weten welke rol zij kunnen spelen: vraag eens hoe het met deze maatregelen ervoor staat in je eigen organisatie.
1. Zet de poort niet open
Het gros van de ransomware-aanvallen start bij het binnendringen van een pc, laptop of smartphone; veelal een medewerker-werkplek. Vanuit daar proberen de hackers de rest van het netwerk te benaderen, kris-kras in het netwerk te bewegen en informatie te verzamelen.
Denk hierbij aan phishing mails, die soms zeer realistisch lijken; bijvoorbeeld een “Curriculum Vitae” bijlage in een mail naar Personeelszaken voor een sollicitatie. Met kwaadaardige code levert die een toegangspunt tot het netwerk.
Het is belangrijk dat deze code niet uitgevoerd kan worden om de aanval af te slaan. Er zijn ondertussen meerdere leveranciers van cybersecurity die oplossingen bieden voor het beschermen van werkplekken, waarbij vooral gekeken wordt naar de gebruikte aanvalstechnieken i.p.v. naar bekende “signatures” die dooreen vorige generatie virus-scanners werd gebruikt.
Deze oplossingen vallen vaak onder de noemer detection and response, of endpoint detection and response.
2. Geen segmentatie: overal vrij spel
Op het moment dat een werkplek er niet in slaagt de “aanval” af te weren, zullen de hackers proberen zich door het netwerk te verplaatsen om op deze manier een zo’n groot mogelijke buit te bemachtigen en zoveel mogelijk informatie te gijzelen. Netwerksegmentatie is een techniek om hiertegen drempels op te werpen.
Netwerksegmentatie is vaak een relatief eenvoudige stap met snel resultaat, als we weten dat een aanval meestal bij de werkplekken van de gebruiker begint.
Een eerste en eenvoudige stap hierin is zorgen dat pc’s, laptops en smartphones van de servers zijn gescheiden. Daarnaast moet je precies vastleggen welk verkeer met de servers en de applicaties die daarop draaien is toegestaan..
Netwerksegmentatie is vaak een relatief eenvoudige stap met snel resultaat, als we weten dat een aanval meestal bij de werkplekken van de gebruiker begint. Vaak kan een bestaande securityoplossing (bijv. firewall) hiervoor gebruikt worden.
3. Wie mag eigenlijk waarom wanneer bij welke data?
Zorg ervoor dat alle toegang naar servers zo specifiek mogelijk wordt ingericht. De Kipling methode – Wie, Wat, Waar, Waarom, Wanneer en Hoe – (5W1H) kan hierbij enorm helpen. De “kwaadaardige” code van de hackers moet immers een manier vinden om te communiceren met de betreffende server. Hoe strikter dit beleid (policy) is ingericht (dus niet alleen op papier) hoe groter de kans dat deze code er niet in slaagt actief te worden.
Hun “verhoogde” rechten op deze systemen zijn dan ook een gewild doelwit van hackers. Die supergebruiker status is heel handig, maar zeker niet gewenst.
4. With great power comes great responsibility
Nummer 1 toegangspunt van hackers zijn de systemen van de “IT guys”. Regelmatig hebben systeembeheerders vanuit hun werkplekken volledige toegang tot de gehele omgeving en zetten hiermee bovengenoemde securitymaatregelen volledig buitenspel.
Hun “verhoogde” rechten op deze systemen zijn dan ook een gewild doelwit van hackers. Die supergebruiker status is heel handig, maar zeker niet gewenst.
Door de juiste segmentatie met het juiste beleid toe te passen, de effectuering ervan continu te valideren, en hierbij ook de werkplekken van de systeembeheerders in mee te nemen, wordt het risico drastisch verkleind en kan een beheerder toch zijn werk doen.
5. Vertrouwen is de grootste kwetsbaarheid
Bovenstaande punten zijn met name gericht op de werkplekken, omdat deze vaak het beginpunt vormen van een aanval. De maatregelen die we hierboven noemen kunnen als start gezien worden van een zogeheten Zero Trust securitystrategie. Deze Zero Trust aanpak wint wereldwijd aanhang, en wordt sinds kort ook door de Nederlandse overheid aanbevolen.
Periodieke validatie, zoals een halfjaarlijkse tandarts controle dat is, zorgt dat wijzigingen die plaatsvinden niet leiden tot nieuwe open deuren in het netwerk.
Zero Trust gaat verder dan de bescherming van werkplekken of smartphones. Een aanval kan ook elders in de infrastructuur beginnen en zichzelf verspreiden. Het is dan ook goed om bovenstaande punten te herhalen in de server-omgeving. Door de focus hierbij op de meest kritieke applicaties en processen te leggen (kroonjuwelen) en deze niet in één keer aan te pakken, blijft het gehele proces behapbaar.
Elke applicatie en elk proces dat je volgens Zero Trust beter beveiligt, betekent een grote verbetering van de algehele security, dus hier kun je echt meters maken. Periodieke validatie, zoals een halfjaarlijkse tandarts controle dat is, zorgt dat wijzigingen die plaatsvinden niet leiden tot nieuwe open deuren in het netwerk.
6. Een halve back-up is geen back-up
Bij de bovenstaande maatregelen ligt de nadruk op preventie van een ransomware-aanval. Mocht het toch misgaan, dan is een back-up onmisbaar om te voorkomen dat je op de eis van de aanvallers moet ingaan. Hoe vaak maken we een back-up en doen we wel eens een restore-test?
Voor een back-up geldt een aantal extra aandachtspunten;
- Idealiter is er een “offline” back-up (dus losgekoppeld van het netwerk) zodat de aanval geen impact heeft op de back-up.
- Als de back-up “online” is, dan is het belangrijk om deze op eenzelfde manier te benaderen als andere gedefinieerde segmenten: beperkt bereikbaar met een strikt technisch toegangsbeleid (ook hier dus weer de “Kiplingvragen” wie, wat, waar, waarom, wanneer en hoe.
- Test de back-up regelmatig, zodat het zeker is dat deze ook teruggezet kan worden indien nodig en er een indicatie is van hoeveel tijd dit kost. Hoe vaker je traint hoe beter je bent voorbereid op de situaties waarin het menens is.
- Zorg dat er een herstelplan is, met prioritering en doorlooptijden. Afhankelijk van de impact van een aanval kan het herstel veel tijd in beslagnemen.
- Mocht herstel nodig zijn, zorg eerst dat duidelijk is, hoe de aanval is ontstaan, zodat eenzelfde aanval niet (meteen) nog een keer gebeurt.
De vraag of het backup-beleid ransomware-proof is zou best op een bestuurders of toezichthouders vergadering gesteld mogen worden.
Moraal: je kunt je wel degelijk wapenen tegen een ransomware-aanval
Dat de media zoveel aandacht besteed aan ransomware impact is goed, maar de nadruk moet meer liggen op de preventie in plaats van het uitsluitend belichten van de gevolgen. IT-professionals, bestuurders en toezichthouders hebben een cruciale rol in de weerbaarheid tegen ransomware. Vooral door kritischer te zijn op jezelf, eigen IT-personeel en externe dienstverleners.
Mocht je vragen hebben n.a.v. dit blog dan staan we je graag te woord.
Rob Maas
Lead Architect
