Is uw bedrijf klaar voor de cyberdreiging?
Het was een druk jaar voor cybersecurity. Van ransomware over IoT-botnets tot Noord-Koreaanse spionnen: nu technologie steeds belangrijker wordt in het dagelijks leven van bedrijven en politiek, gaat de cybercrime gewoon mee. Bent u er klaar voor?
In een zaaltje in het Mechelse houdt F-Secure zijn tweede ‘academy’ ooit. In het publiek: klanten, freelance securityspecialisten en de it-verantwoordelijken van grote en kleine organisaties. Een tuincentrum, regionale overheidsinstellingen, sociale diensten. En waar ze voor komen, is een checklist. “Je hebt veel oplossingen en veel verkopers die elk met producten komen aanzetten voor verschillende problemen,” zegt Aart Jonkers, corporate sales manager Benelux bij F-Secure, “dat gaan we niet doen. Bedoeling is om te leren wat je moet doen om jezelf te beveiligen.”
Wat maakt van u een doelwit?
Wie het nieuws wat volgt, weet dat de it-verantwoordelijken hier alvast een stevige kluif hebben aan die beveiliging. Zeker bij een kleiner bedrijf met minder middelen, waar de it-verantwoordelijke misschien ook de marketing moet doen. Al hangt veel af van hoe je het bekijkt. “Je moet beginnen met de vraag te stellen: wat maakt van jouw bedrijf een doelwit?” zegt Andy Patel van F-Secure. “Geld? Intellectual property? Bij aanvallers denken we al snel aan criminelen of script kiddies. Er zijn ook actoren als naties en hacktivists, mensen met een plan en geavanceerde tools. Maar niet iedereen gaat daardoor aangevallen worden.” De modale Belgische kmo, zo hopen we, heeft weinig te vrezen van cyberspionnen uit Noord-Korea. Maar misschien wel van lekken waar u niet meteen aan denkt. “Ongelukkige werknemers, concurrenten, maar ook insiders”, merkt Patel op. “Een lek kan net zo goed gebeuren omdat iemand in het bedrijf een fout maakt.”
Iedereen mee in het bad
Want ja, die phishing mails, die blijven werken. “Tot 40 procent van de mensen klikt op een phishing mail. En in een bedrijf heb je er maar eentje nodig, ” zegt Martijn Wijnberg van e-learningbedrijf B One development. Voor hem is het vooral kunst om medewerkers bewust te maken, en ze ook bewust te houden. “We zitten in de business van e-learning. Vroeger brachten wij dan een cursus en een security awareness campagne. En dan waren we helemaal bewust van security. Maar twee maanden later is niemand daar nog mee bezig. Maar als we iets leren, dan zit daar een vergeetcurve in. Je moet dat herhalen, zodat het langer blijft hangen. Uiteindelijk willen we naar een verandering van gedrag, ” zegt Wijnberg. Dat kan met simpele middelen zoals mailcampagnes wanneer er weer een nieuw ransomware rondwaart, of met meer creatieve manieren zoals valse phishing mails die medewerkers naar een infopagina sturen als ze erin trappen.
Beveilig ook het interne netwerk
Geen enkele oplossing is echter 100 procent waterdicht. De perimeter beveiligen is al lang geen afdoend antwoord, horen we van verschillende security experts. “De webservers, de firewall, de systemen die naar buiten communiceren, die zijn meestal goed beveiligd en die worden ook heel de tijd aangevallen”, zegt Andy Patel. “Maar ga er niet vanuit dat een aanvaller niet voorbij je perimeter komt. Bedrijven beveiligen hun interne systemen vaak niet op dezelfde manier als die systemen die naar buiten communiceren.” Hij geeft het voorbeeld van de Target supermarkten in de VS, waar 40 miljoen kredietkaartgegevens werden gestolen. “Het hele interne netwerk was open”, zegt Patel, “de aanvallers konden doen wat ze wilden. Ze konden de kassa’s van de ene winkel aansturen vanaf een weegschaal aan de slagerstoog in een andere winkel.”
Hou uitgaand verkeer tegen
Een heel specifieke tip die we nog niet vaak gehoord hebben, draait om het beschermen van de data zelf. “We zijn een oorlog aan het vechten die we moeilijk kunnen winnen,” zegt Pieter Van der Hulst van fraudedetectiebedrijf I-force. “We moeten om de ‘bad guys’ buiten te houden elke mogelijke fout repareren. Die mannen moeten maar één gat vinden, wij moeten het netwerk honderd procent waterdicht houden.” Daarom is het zo belangrijk om ook aan detectie te werken, zegt Van der Hulst: “Aanvallers willen onze data. Aanvallers die op een desktop of zelfs een server zitten is op zich geen probleem, zolang ze niet met data aan de haal gaan. We moeten snel zijn om hen te vinden en zorgen dat ze niet aan de ‘kroonjuwelen’ kunnen.” Wat zijn die kroonjuwelen? Vooral de active directory, volgens Van der Hulst. “Daarmee kan je nieuwe gebruikers aanmaken, oude gebruikers terugzetten enzovoort. De schade die je daarin kunt toebrengen is enorm.”
Daarom pleit hij voor netwerkmonitoring en encryptie. Ook: zorgen dat die data niet zomaar van het netwerk kan worden doorgestuurd. “Hoe gebeurt data exfiltration? Via e-mail, via vpn, soms gewoon via de printer of een usb-stick. Als it-departement moet je je afvragen of je dat toelaat. Mogen je werknemers bijvoorbeeld Gmail gebruiken? Dat is communicatie die versleuteld door de firewall heen gaat, zonder dat jij kan kijken wat er verstuurd wordt. Laat je dat toe?”
Van der Hulst geeft alvast één algemene tip: “Als je als ondernemer wakker ligt van datadiefstal is er één ding dat je zeker moet doen. Standaard alle uitgaande verkeer op je firewall blokkeren. Minstens. Je kan daarna specifieke protocollen toelaten, maar begin daar al mee. En dan zien wat je met een breach doet en hoe je daar snel op kan reageren. Binnen geraken hackers wel, maar vandaar moeten ze naar andere computers en naar de servers.”
Jump suit
En dan gebeurt het. U wordt wakker en alle alarmbelletjes in de serverkamer gaan af omdat het bedrijf gehackt werd. Of, meer realistisch misschien, iemand vindt uw bedrijfsgeheimen in een info dump op het dark net. “Het duurt gemiddeld acht maanden voor een bedrijf merkt dat het gehackt is. Meestal moeten wij hen ervan overtuigen dat ze een hack hebben gehad, ” zegt Tom Van de Wiele, principal security expert bij F-Secure. En dan is het een kwestie van niet te panikeren. “Zo ga je vaak bewijzen vernietigen. We vragen bijvoorbeeld om geen pc’s uit te zetten. De meeste malware blijft in het geheugen draaien, die gaat niet naar disk schrijven, om niet gevonden te worden. Dat betekent dat een pc afzetten alle bewijzen vernietigt. Wel moet je de pc van het netwerk halen. Zeker als je met ransomware zit.”
Van de Wiele geeft het zaaltje tips om zich ook op het ergste voor te bereiden. “Om een incident te onderzoeken heb je ‘jump suits’ nodig, een virtuele aktetas met alle procedures en tools erin. Daarin moet een protocol zitten met welke software je draait om het incident te onderzoeken, in welke volgorde, en hoe je de beslissing maakt om te escaleren.”
Hij drukt erop dat, zeker in die eerste uren en dagen, alle feiten moeten worden opgelijst. “Zoals: zijn er mensenlevens in gevaar, of is het business? Heel vaak draait een cyberincident rond financiën, maar we hebben ook al een incident in een voedingsmiddelenfabriek gehad. Dat was een afperser die ermee dreigde om voedsel te vergiftigen. Da’s een andere zaak dan ransomware.”
Om het juiste onderzoek te voeren is het ook belangrijk, zegt Van de Wiele, om alle relevante informatie te verzamelen. Was er recent een IPO? Is er iemand ontslagen? En vooral: niet te snel tot conclusies komen. “Ik was onderdeel van een team dat incident management ging doen bij een bedrijf dat er zeker van was dat het aangevallen werd door de Chinese overheid. Op alle computers hadden ze ondersteuning gevonden voor Chinese toetsenborden. Dat bleek uiteindelijk iemand uit Letland, die zo een afleidingsmanoeuvre creëerde. Da’s enkele lijntjes code, en het onderzoek ging helemaal de verkeerde kant uit.”
Voor dat onderzoek trekt u bovendien best genoeg mensen uit. “Voor het incident response team heb je minstens drie mensen nodig, ” zegt Van de Wiele. “Je kan niet om de twee uur statusrapporten aan het management presenteren en tegelijk interviews doen. Je hebt dus een IR lead nodig, en een IR reporter die alle informatie krijgt en rapporten schrijft. En tot slot is er IR technical, de technische mensen die het eigenlijke onderzoekswerk moeten doen. Laat die met rust. Laat hen gewoon hun werk doen.”
Health check
Geen enkel bedrijf hoopt het ooit nodig te hebben, maar Van de Wiele pleit toch voor een stevige voorbereiding, waarbij al heel wat informatie verzameld wordt. “Doe een incident response health check”, zegt hij. “Hoe lang zou het duren om dit soort informatie te produceren? Waar zijn de logs? Waar hebben we logs van? Hoe lang duurt het om die te produceren? Heb je een advocaat nodig om bepaalde logs te bekijken? Hoe snel kan die hier zijn, want zonder hem kan je niet verder.”
Nog eentje? “Zorg dat je weet wie je nodig hebt om het incident te onderzoeken”, zegt Van de Wiele. “Want je gaat mensen weghalen van hun familie en kinderen. Die sys admin die dat moet onderzoeken, hoe lang verwacht je dat die werkdagen van 14 uren klopt? En verwacht je hem dan de volgende dag op kantoor voor zijn dagtaak? Want dat gaat niet lukken.” Het valt op hoe erg Van de Wiele op de menselijke kant van zo’n crisis hamert. Een bedrijf heeft zijn mensen op zo’n moment dan ook hard nodig. “Die ene persoon die alles weet, die gaat een burn-out krijgen”, weet hij. “En als die zijn telefoon niet meer opneemt, heb je een probleem. Je moet er dus voor zorgen dat je de informatie hebt, zodat je onderzoek verder kan lopen.”
Els Bellens
“Die ene persoon die alles weet, die gaat een burn-out krijgen, en als die zijn telefoon niet meer opneemt, heb je een probleem”
Fout opgemerkt of meer nieuws? Meld het hier