Meer dan twee jaar zijn verstreken sinds Wannacry. Maar ransomware-aanvallen zijn al enige tijd weer in opmars. Maar hoe is het zo ver gekomen? Dit is vaak te wijten aan een verkeerde houding van bedrijven ten aanzien van hun cyberbeveiliging. Een commentaar van Frank Ruge, Infoblox.
Eind juni 2019 werd de Hamburgse juweliersketen Wempe het slachtoffer van een overval. Maar de aanval vond niet plaats zoals wij die kennen uit bijvoorbeeld Westerns – er was geen luid gehinnik van paarden, zware cowboylaarzen en het klikken van revolvers. Alles speelde zich af op de achtergrond, meer bepaald in de digitale ruimte.
Cybercriminelen vielen het interne systeem van de juweliersketen aan en blokkeerden het met speciale software. Hun eis: alleen als een grote som bitcoins werd betaald, zou het bedrijf weer toegang krijgen. Een klassieke ransomware aanval. Maar de aanval zelf is niet het meest beangstigende. Het is eerder de manier waarop het werd afgehandeld: De eis werd ingewilligd en betaald. En dit is verre van een geïsoleerd geval.
In juni 2019 hebben de autoriteiten van Riviera Beach, een stad in de Amerikaanse staat Florida, bijvoorbeeld een ransomware-eis van 600.000 dollar betaald. Begin vorig jaar betaalde een ziekenhuis in de Amerikaanse staat Indiana 60.000 dollar. De aanvallen hebben ook het Duitse federale bureau voor informatiebeveiliging (BSI) ertoe genoopt een verklaring af te leggen. Het waarschuwt tegen gerichte ransomware-aanvallen op bedrijven.
Dubbel houdt niet beter
Maar hoe heeft het zo ver kunnen komen? Dit is vaak te wijten aan een verkeerde houding van bedrijven ten opzichte van hun cyberbeveiliging.
Velen nemen hun toevlucht tot paniekaankopen en investeren in talloze beveiligingsoplossingen – uit angst om de controle over hun netwerk of hun gegevens te verliezen. Maar het beproefde motto “dubbel is beter” is niet van toepassing op cyberbeveiliging. In feite creëert deze methode een lappendeken. De beveiligingsmaatregelen mogen dan verstrekkend zijn en veel bestrijken, de instrumenten hinderen elkaar vaak: de toegang wordt geblokkeerd, machtigingen worden ontnomen of ze werken elkaar tegen. Het resultaat? Bedrijven benadelen zichzelf en maken het criminelen makkelijker om toegang te krijgen tot hun netwerk.
Het transparante netwerk
Dus waar moeten bedrijven op letten? In de eerste plaats moet het eigen netwerk van de onderneming bekend zijn bij degenen die verantwoordelijk zijn voor IT. Elk apparaat, elke gebruiker en elke activiteit moet worden geregistreerd in het activiteitenlogboek. Bepaalde processen moeten worden geautomatiseerd – om de toch al overbelaste IT-afdelingen werk uit handen te nemen. Zo kunnen bijvoorbeeld onafhankelijke scanners voor kwetsbaarheden worden gebruikt om het eigen netwerk te controleren. Bovendien moeten bedrijven beter worden opgeschaald om malware, ransomware, phishing, botnets, enz. op te sporen. Daar zijn miljoenen indicatoren voor. Firewalls en IPS-systemen zijn echter geoptimaliseerd voor prestaties en kunnen slechts zo’n 100.000-200.000 entries filteren. De vraag is: op welke indicatoren moet de veiligheidsbeambte filteren? De waarschijnlijkheid van het raken van de juiste inzendingen ligt in soortgelijke regionen als het wedden op het juiste nummer bij roulette. Daarom moeten controlemechanismen worden opgezet op het controleniveau in plaats van op het gegevensniveau, zoals in het DNS-protocol. Hierdoor kunnen miljoenen indicatoren worden onderschept en kunnen met name 0-day-aanvallen, bijvoorbeeld via phishing, worden opgespoord en geblokkeerd.
Het is ook belangrijk dat er verbindingen zijn tussen de afzonderlijke verschillende werkgebieden en oplossingen. Firewall- en antivirussoftware, bijvoorbeeld, kunnen hun informatie in een SIEM-systeem invoeren. De IT-manager kan hier dan mee aan de slag en snel zien of het een urgent incident is.
Een andere maatregel is managed services, die vooral interessant zijn voor kleine en middelgrote ondernemingen. Hierbij wordt ofwel de gehele IT van het bedrijf (of delen ervan) uitbesteed aan externe verantwoordelijke partijen en wordt de verantwoordelijkheid aan hen overgedragen.
Conclusie
Ransomware-aanvallen worden weer populairder. Om ervoor te zorgen dat bedrijven geen schade lijden, mogen zij in geen geval ingaan op losgeldeisen van cybercriminelen. Betrokken partijen moeten altijd de BSI-richtlijnen volgen:
- Bescherm uzelf tegen primaire infecties door bijvoorbeeld uw werknemers bewust te maken van mogelijke bronnen van gevaar.
- Controleer uw verbindingen met uw klanten en informeer hen over incidenten.
- Maak regelmatig back-ups die kunnen worden gebruikt om systemen te herstellen. Sla ze offline op een apart netwerk op.
- Ga niet in op eisen van daders en meld incidenten aan het incidentenmeldcentrum van de Alliance for Cyber Security.
Over de auteur: Frank Ruge is sinds augustus 2019 de nieuwe Vice President EMEA bij Infoblox. Ruge kijkt terug op meer dan 20 jaar ervaring in IT en marketing – sinds 2015 was hij Senior Director Central Europe bij Infoblox. Daarvoor werkte hij in verschillende functies, waaronder 16 jaar bij Cisco Systems en verschillende start-ups.
>