Security: leer van andermans fouten

Je hoeft niet lang na te denken om je een aantal cybercrime-incidenten te herinneren die leidden tot significante schade of verstoringen voor de betrokken organisaties. NotPetya, die het Rotterdamse havengebied deels platlegde, kunnen de meesten zich nog goed herinneren of de ransomware WannaCry die Q-park raakte. Bedrijven leren vaak op de harde manier - wanneer een incident al is gebeurd - hoe ze beter konden reageren of hoe ze zich beter hadden kunnen voorbereiden.

Natuurlijk is het prettiger om van de fouten te leren die anderen hebben gemaakt dan van je eigen fouten. Zo kan je bijvoorbeeld leren hoe je signalen van doelgerichte cyberaanvallen niet gaat missen.

Uit onderzoek blijkt dat cyberdreigingen zoals WannaCry en NotPetya gemiddeld 380 dagen onopgemerkt blijven in de it-netwerken van een organisatie. Criminelen hebben dus maanden, soms zelfs jaren, toegang tot de getroffen systemen. Een van de oorzaken die het de aanvallers gemakkelijker maakt is het gebrek aan zicht binnen organisaties. Bij gemiddeld één op de twee bedrijven is er sprake van onvoldoende zicht op het endpoint of het netwerk. Onderzoek naar cyberaanvallen brengt diverse momenten in kaart die kunnen worden gezien als een gemiste kans om een cyberdreiging te stoppen. Hieronder schets ik drie typische situaties die wij tegenkomen in onderzoeken naar cybercrime en leg uit hoe u deze kunt voorkomen.

Situatie 1
- Op de computer van een hr-medewerker bij een financiële dienstverlener troffen wij malware aan. Deze malware had als doel de wachtwoorden van gebruikers voor diverse applicaties te achterhalen.
- Wij installeerden een endpoint-agent om onderzoek te doen naar de aangetroffen malware.
- De endpoint-agent detecteert en verwijdert de malware op de computer van de hr-medewerker maar treft op vijftig andere computers ook cyberdreigingen aan.

In de hierboven geschetste situatie is er onvoldoende toezicht op het endpoint. Een van de eerste stappen bij het onderzoeken en tegengaan van bedreigingen is om meer zicht te krijgen op de endpoints. Met beter zicht op de endpoints kunt u verdachte activiteiten op alle systemen binnen het netwerk sneller opsporen. Dit helpt u sneller te begrijpen welk risico het bedrijf loopt. Een goed toezicht is belangrijk, maar u hebt ook genoeg context nodig om te interpreteren wat u ziet. Reageren op alle waarschuwingen en uitzoeken welke daarvan belangrijk zijn, neemt veel tijd in beslag. Dit kan responsteams afleiden van hun kerntaak, het stoppen van de belangrijkste cyberdreigingen.

Situatie 2
- Wij installeerden bij een transportbedrijf software om de verspreiding van malware tegen te gaan.
- Uit het logboekoverzicht van het transportbedrijf bleek echter dat er al tools waren geïnstalleerd die de aangetroffen malware reeds hadden geïdentificeerd.
- Deze tools waren echter niet goed geconfigureerd om de ransomware te blokkeren of in quarantaine te plaatsen.

In dit voorbeeld blijkt het transportbedrijf over de juiste tools te beschikken om de malware te stoppen. De aanwezige anti-malware tools zijn echter niet goed op elkaar afgestemd waardoor de malware niet is geblokkeerd. Dreigingen binnen de omgeving betekenen waarschijnlijk dat er tekortkomingen zijn in bestaande preventie- en detectiecontroles. Goed zicht en begrip van wat normale activiteit is in uw omgeving helpt deze uitdaging aan te gaan. Het verhoogt ook de kansen om geavanceerde bedreigingen eerder te herkennen. Op zijn minst zorgt beter toezicht ervoor dat de incidentrespons sneller verloopt wanneer cyberdreigingen eenmaal zijn opgemerkt.

Situatie 3
- Een productiebedrijf wordt getroffen door een cyberaanval.
- Op alle endpoints zijn anti-malware tools geïnstalleerd die goed op elkaar zijn afgestemd.
- De anti-malware tools waarschuwen dat er malware is aangetroffen.
- Binnen het bedrijf is alleen niets of niemand verantwoordelijk voor het onderzoeken van de waarschuwingen.
- Zodoende blijft de malware maandenlang onopgemerkt totdat een beheerder het incident toevallig ontdekt.

In dit voorbeeld zijn de middelen aanwezig om cyberdreigingen tegen te gaan. Toch moet de waarde van mensen en processen niet ondergeschikt gemaakt worden aan de waarde van it. Een groot deel van de schadelijke activiteiten die tijdens de bestrijding van incidenten aan het licht komt, kan worden voorkomen als de waarschuwingen tijdig worden gesignaleerd en opgevolgd. Organisaties moeten zorgen dat de logboeken voor dreigingsdetectie regelmatig worden gecontroleerd. Dit kunt u zelf doen, door bijvoorbeeld een tool die is geconfigureerd om e-mailwaarschuwingen naar een beheerder te sturen. Of u werkt samen met een managed security services-provider (mssp) die de infrastructuur van uw bedrijf voor u in de gaten houdt.

Conclusie

Voor alle drie voorbeelden geldt: Hoe langer een dreiging onopgemerkt blijft, hoe groter het risico voor uw bedrijf. Onopgemerkte cyberdreigingen brengen vaak hogere kosten met zich mee, zorgen voor meer storingen en leiden tot meer verlies van data. Daarom is het zaak om het toezicht in uw organisatie te verbeteren. Ook hier geldt: voorkomen is beter dan genezen.