WannaCry Ransomware: een slimme organisatie is voorbereid

Er is sinds vrijdag veel media-aandacht voor cybersecurity. En niet voor niets: een autofabriek die noodgedwongen de productie stillegt, een telecom multinational die zijn medewerkers oproept alle computerapparatuur uit te zetten en voorlopig niet meer te gebruiken, parkeergarages die niet meer functioneren. En misschien wel het ergst van allemaal: een ziekenhuis waar zich levensbedreigende situaties voordoen, omdat cruciale computersystemen platliggen. Bij het grote publiek rijzen terecht vragen: hoe kan het zijn dat we anno 2017 zo kwetsbaar zijn? Wiens schuld is dit? Krijgt cybersecurity wel voldoende aandacht en financiële middelen [1]? Of is het tijd voor een Cyber Security Delta Plan?

Wat is er gebeurd?

In maart dit jaar wordt bekend dat alle computerapparatuur die op het Windows operating system draait een kritisch lek [2] bevat: de zogenaamde Eternal Blue-kwetsbaarheid [3]. Dit lek is door Microsoft naar buiten gebracht en “opgelost” door het uitbrengen van een patch [4]. Men vond dit lek dermate ernstig dat zelfs voor Windows XP een patch is uitgebracht. Het was voor het eerst sinds 2015 dat dit stokoude, uitgefaseerde operating system aandacht kreeg.

Vervolgens zijn de details publiek gemaakt door The Shadow Brokers. Een hackersgroep waarvan algemeen wordt aangenomen dat ze putten uit de kennis die de NSA heeft ontwikkeld. Kortom: een kwetsbaarheid die het leger van de USA gebruikt om haar digitale leger in positie te brengen (Cyber Warfare). Cybercriminelen gaan aan de slag. Nu het moeilijke werk door de NSA is gedaan, proberen ze voordat die patch overal geïnstalleerd is een virus te schrijven en te verspreiden.

Op 12 mei hebben cybercriminelen inderdaad de malware WannaCry (ook WanaCryptOr genoemd) ontwikkeld en verspreid, die gebruik maakt van dit lek: gijzelsoftware, oftewel ransomware, die binnenkomt via email. Het openen van een PDF-bijlage activeert de malware. Deze versleutelt documenten, op praktisch onkraakbare wijze, zodat ze alleen nog met een wachtwoord te openen zijn. Een slachtoffer kan dat wachtwoord kopen van de cybercrimineel. Het bedrag is relatief schappelijk: meestal tussen de 300 en 600 dollar. Ook cybercriminelen snappen prijselasticiteit en maximaliseren zo hun winst.

Is zo’n aanval eenvoudig uit te voeren?

Ja, helaas wel. Op kleine schaal is het uitbuiten van een dergelijke kwetsbaarheid gemakkelijk te leren voor een gemiddeld opgeleide IT-techneut. Bij ON2IT organiseren we regelmatig workshops waarin een IT-er in één middag bewust wordt van de eenvoud van een hack. Het op grote schaal toepassen van deze technieken is wel ingewikkelder, maar voor cybercriminelen kinderspel: die hebben de taken goed verdeeld. Er is een weelderige ondergrondse handel in stukjes van techniek die nodig zijn om succesvol aan te vallen.

Had dit voorkomen kunnen worden?

Ja. Met name de schaal waarop organisaties nu last hebben van deze aanval is onnodig. Het is bekend waar de kwetsbaarheden zitten in onze systemen. Zo is Windows (SMB/RPC) regelmatig kwetsbaar. Preventieve maatregelen tegen dit soort aanvallen zijn beschikbaar. In het geval van WannaCry zijn maatregelen als een juist gepositioneerde en geconfigureerde firewall met IPS, een mailfiltersysteem dat zero-days tegenhoudt en een moderne anti-malware oplossing op windows werkstations en -servers afdoende om deze aanval te weerstaan.

Zelfs voordat Microsoft het lek bekend maakte, was deze bescherming al aanwezig. Dit verklaart ook waarom ons SOC het afgelopen weekend weliswaar extra controles heeft uitgevoerd, maar verder eigenlijk geen ander werk heeft verricht dan normaal. Aanvallen als deze zijn aan de orde van de dag. Het verschil is dat dit een uiterst breed opgezette aanval is en daardoor de pers haalt. Bij organisaties waar de beveiliging op orde is, is geen reden tot paniek, wel tot waakzaamheid.

Vaak wordt gezegd dat een degelijk patchmanagementproces dit probleem moet oplossen: installeer updates van software doorlopend zo snel mogelijk. Als cybersecurity industrie hebben we deze strategie van het oplossen van lekken min of meer opgegeven, het is niet haalbaar. Je loopt altijd achter de feiten aan. Frequent updates installeren brengt veel werk en beschikbaarheidsvraagstukken met zich mee. En soms kun je een patch eenvoudigweg niet installeren zonder andere zaken defect te maken. Wat is bijvoorbeeld het gevolg van het patchen van een MRI-scanner? Verder weten we dat lang niet alle ontdekte lekken gedicht worden. Maar nog veel belangrijker: lekken zijn pas te dichten als het lek ontdekt is. Veel succesvolle aanvallen gebruiken zogenaamde Zero Day lekken: lekken die pas ontdekt worden op het moment dat er een succesvolle aanval plaatsvindt.

Dat wil niet zeggen dat patchen geen zin heeft. Maar in de praktijk blijkt dit slechts een deel van de oplossing. Lekken kun je ook oplossen door een andere maatregel te nemen die ervoor zorgt dat het lek geen kwaad kan.

Neem de juiste maatregelen op basis van Zero Trust

De juiste cybersecurity-maatregelen treffen is geen sinecure. Maar wat zijn die maatregelen dan? Om hier een antwoord op te geven gebruiken we een security framework [5]: een structurele manier om eisen en toepasselijke wetgeving, in de specifieke omstandigheden van een organisatie, om te zetten naar beleid. Vervolgens vertalen we beleid naar architectuur, architectuur naar maatregelen en maatregelen naar compliance. Belangrijk fundament hieronder is de Zero Trust-strategie. Deze is bij Forrester Research ontwikkeld door John Kindervag. De redenering bij Zero Trust is altijd dat je in beginsel niets of niemand vertrouwt en iemand alleen toegang verschaft wanneer dat nodig is. Default deny. Twee systemen die nooit hoeven te communiceren, kunnen ook niet communiceren. Verder kiezen we ervoor dat we zo veel mogelijk controleren wat er gebeurt. Bijvoorbeeld dat het opslaan van een bestand (wat toegestaan is) ook daadwerkelijk het opslaan van een bestand betreft, en niet het verspreiden van malware. Dat een email ook echt een email is en niet een exploit. Het is daarbij niet een gebrek aan vertrouwen in medewerkers of klanten, maar wel gebrek aan vertrouwen in de apparaten die ze op het bedrijfsnetwerk brengen, de websites die ze bezoeken, de email die ze openen, enzovoort.

Volgens dit principe krijgen gebruikers dus alleen toegang tot gegevens die ze voor hun dagelijkse werk nodig hebben. Door rechten in te stellen binnen applicaties, door services in systemen uit te zetten die niet nodig zijn (hardening) en vooral door al op infra-niveau te zorgen dat toegang alleen mogelijk is indien nodig: het opdelen van het netwerk in segmenten met een firewall ertussen. Als zich dan toch een infectie voordoet, is de impact ervan beperkt tot één zo’n segment. En uiteraard blokkeren en rapporteren we alles waarvan we weten dat het niet in orde is: virussen, netwerkaanvallen, verdacht gedrag, etc.

In dit filmpje wordt Zero Trust verder uitgelegd. [6]

Need-to-know

  • Geen open verbinding tussen verschillende systemen

    In de praktijk komen wij te vaak een open verbinding tegen tussen verschillende systemen. Een succesvolle inbraak op een relatief onbelangrijk systeem heeft daardoor direct enorme gevolgen. Denk maar aan een intern helpdesksysteem wat in hetzelfde netwerk is geïnstalleerd als een systeem met patiëntgegevens of financiële data. En dat zonder firewall die alle communicatie tussen deze systemen simpelweg verbiedt, of op zijn minst controleert. Het bekendste voorbeeld hiervan is de hack bij Target in de VS, al in 2013 [6]. Hier stond een beheerserver voor een koelsysteem in hetzelfde datacenter als de creditcardgegevens, zonder firewall ertussen. Geen segmentatie. Een inbraak op het koelsysteem via een externe beheerpartij, zorgde voor een enorme schade doordat cybercriminelen zich eenvoudig in het datacentrum konden verplaatsen. Dit resulteerde in enorme verliezen. En voor de eerste keer in de geschiedenis is een CEO ontslagen vanwege een datalek.

  • Beperk onnodige gebruikerstoegang

    Regelmatig zien we dat historische gegevens op fileservers toch voor veel personen beschikbaar zijn. Zoals oude projectdata waar de meeste mensen voor hun dagelijkse werk niet (meer) bij hoeven te kunnen. Of gegevens van één afdeling die door meerdere afdelingen geopend kunnen worden. Ook dit vergroot de impact wanneer een enkel systeem onder controle van cybercriminelen is. Maar ook voor hele applicaties komen we dit tegen. Bijvoorbeeld een financieel systeem dat alle gebruikers van een organisatie kunnen openen, terwijl alleen de financiële afdeling daar iets te zoeken heeft. Ook als daadwerkelijk inloggen alleen is voorbehouden aan een kleine groep gebruikers, krijgen gewone gebruikers vaak toch het inlogscherm te zien, waardoor ze kunnen proberen in te loggen. Een cybercrimineel die zichzelf toegang heeft verschaft tot een systeem van een willekeurig iemand, kan dus ook proberen in te loggen. En het omzeilen van het inlogscherm is vaak eenvoudiger dan je zou verwachten.

In het geval van WannaCry is dit allemaal van toepassing: bijna nergens in een datacenter is het nodig dat toegang tot SMB/RPC naar Windows servers openstaat. En al helemaal niet zonder inspectie van dat verkeer. Wanneer een goede segmentatie is doorgevoerd, kan dit virus hooguit op een aantal systemen problemen veroorzaken. Maar niet het hele bedrijf platleggen.

Blijf innoveren

Naast een strategie en een architectuur die tot een robuustere IT-omgeving leiden, zijn er ook veel technologieën die infectie kunnen voorkomen. De eerder benoemde wedloop tussen de cybercriminelen en de cybersecurity industrie zorgt ervoor dat er steeds nieuwe, innoverende technieken ontwikkeld worden. En daarin dient continu geïnvesteerd te worden om de vruchten hiervan te plukken. Maar onbekend maakt onbemind, zeker bij techneuten die eerder voor een andere strategie of oplossing kozen. Zo stuit netwerksegmentatie vaak op bezwaren, bijvoorbeeld vanwege vermeende performance impact of beheersbaarheid. Bij de juiste aanpak zijn dat in de praktijk juist nooit problemen, maar we zien wel dat dit vermoeden de weerbaarheid van organisaties soms in de weg staat.

Daarnaast is de verleiding om cybersecurityprojecten uit te stellen groot. De drukke IT-agenda en beschikbare resources maken dat cybersecurity te vaak een sluitpost is, omdat ze niet direct aanwijsbaar functionaliteit opleveren.

Het is dus van belang een open blik te hebben, goed geïnformeerd te zijn over nieuwe technologieën en deze goed in de praktijk te testen en door te voeren.

Investeer in preventie

Preventie heeft de voorkeur. Altijd. Wanneer we een infectie kunnen stoppen zullen we dat doen. Twee voorbeelden van recente innovaties zijn in het geval van WannaCry van belang:

  1. Moderne endpoint protection

Kort gezegd: de opvolger van antivirus op werkstations en servers is beschikbaar. En deze is wél effectief gebleken tegen elke vorm van ransomware in de afgelopen maanden. Deze innovaties komen, anders dan je wellicht zou verwachten, niet van traditionele antivirusmakers.

We zien gelukkig een grote verschuiving van budgetten voor antivirussoftware naar dit soort oplossingen. [8]

  1. Security Orchestration and Automation

Aanvallers hebben hun wapens geautomatiseerd. Onze verdediging moet ook automatisch zijn. En dat bereiken we met Security Orchestration and Automation. We noemen dit “Rules of Engagement”, naar analogie van wat in militaire kringen gebruikelijk is. Wanneer we ergens een indicator zien van verkeerde zaken, grijpen we geautomatiseerd in. Een voorbeeld: zien we een apparaat op het netwerk dat zich gedraagt als een geïnfecteerd systeem? Dan blokkeren we dat apparaat zodat het niet verder kan communiceren en blokkeren we de accounts van gebruikers die op dat systeem ingelogd zijn. En daarna bellen we u om het probleem definitief op te lossen.

Kortom, neem de juiste maatregelen en wees voorbereid op de toekomst.

[1] https://tweakers.net/nieuws/124659/nederland-heeft-geld-en-coordinatie-nodig-voor-verbeteren-digitale-beveiliging.html
[2] https://www.ncsc.nl/actueel/nieuwsberichten/actief-misbruik-van-shadowbrokers-exploits.html
[3] https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/
[4] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[5] https://on2it.net/richt-uw-it-security-beter-in-met-behulp-van-het-on2it-security-framework/
[6] https://youtu.be/D7dlxg0F4F8?t=159
[7] http://www.computerworld.com/article/2487425/cybercrime-hacking/target-breach-happened-because-of-a-basic-network-segmentation-error.html
[8] https://www.Traps.nu