Veel bedrijven vertrouwen op de cloud en managed services. Na de laatste aanvallen rijst de vraag hoe de schade kan worden afgewend, welke voorzorgsmaatregelen zinvol zijn en waarom het idee om je helemaal terug te trekken in je eigen muren misschien niet zo’n goed idee is.
Thomas Uhlemann, Security Evangelist bij Eset
Een eerste aanvalsstatistiek
Een eerste statistiek van Kaspersky laat de wereldwijde verdeling van aanvalspogingen zien. Tegen de avond van 5 juni 2021 telden de onderzoekers meer dan 5.000 besmettingspogingen in Europa, Noord- en Zuid-Amerika. De meeste aanvalspogingen vonden plaats in de volgende vijf landen:
- Italië (45,2 procent),
- de VS (25,9 procent),
- Colombia (14,8 procent),
- Duitsland (3,2 procent) en
- Mexico (2,2 procent).
Wereldwijd zijn waarschijnlijk tussen de 800 en 1.500 bedrijven in 17 landen getroffen, gaf Fred Voccola, chief executive van Kaseya, toe aan persbureau Reuters, waaronder enkele in Duitsland, volgens de BSI. “IT-dienstverleners en andere bedrijven in Duitsland zijn ook getroffen. Volgens de huidige stand van kennis zijn enkele duizenden IT-apparaten versleuteld. Kritieke infrastructuren of de federale overheid zijn volgens de huidige kennis niet getroffen.”
Sneeuwbaleffect
Zoveel mogelijk schade aanrichten met minimale inspanning is het verklaarde doel van hackers en dergelijke aanvallen op de toeleveringsketen. Een aanval op een systeem als dat van Kaseya is het logische gevolg. Aangezien veel MSP’s het gebruiken, kan er een sneeuwbaleffect ontstaan. Hoewel Kaseya spreekt van ongeveer 50 eigen klanten die door de aanval werden getroffen, werden veel van hun klanten op hun beurt getroffen. Dit brengt het totaal op de eerder genoemde 800 tot 1.500 bedrijven die momenteel geconfronteerd worden met de ransomware en gevraagd worden losgeld te betalen om hun gegevens weer te kunnen ontsleutelen.
Ulrich Mertz, directeur van Rangee, een bedrijf dat bewust niet vertrouwt op de cloud, betreurt het daarom dat “de offline-oplossing die jarenlang betrouwbaar heeft gefunctioneerd en veilig achter de firewall opereerde, onlangs helaas uit de mode is geraakt”. Hij concludeert: “Deze ‘over-alles-beschikbare-technologie’ is een aantrekkelijk doelwit voor cybercriminelen en trekt al snel ongewenste bezoekers aan. Bedrijven doen er daarom goed aan om voor elke beheerdienst die wereldwijd wordt geleverd, zorgvuldig na te gaan of deze dienst daadwerkelijk toegevoegde waarde oplevert – of dat de offline-oplossing met dezelfde functies misschien niet waardevoller is omdat deze passieve veiligheid biedt.”
Deze afweging maken is zeker zinvol, maar in veel gevallen is het gewoon geen reële optie. Loopt degene die vertrouwt op de cloud en MSP dan automatisch meer risico? En: hoe kunnen veiligheidsrisico’s tot een minimum worden beperkt?
Hoe de bescherming te verhogen
Kaspersky volgt een soortgelijke lijn. De provider ziet ook het opzetten van systemen voor endpoint detectie en respons als een belangrijk element van bescherming.
Daarnaast worden de volgende aanbevelingen gedaan:
- Deel geen remote desktopservices op openbare netwerken, tenzij dit absoluut noodzakelijk is. Hiervoor moeten altijd sterke wachtwoorden worden gebruikt.
- Installeer onmiddellijk beschikbare patches voor commerciële VPN-oplossingen die externe medewerkers toegang bieden en als gateways naar het netwerk fungeren.
- Houd software up-to-date op alle gebruikte apparaten om te voorkomen dat ransomware kwetsbaarheden kan misbruiken.
- Streef in de verdedigingsstrategie vooral naar detectie van laterale bewegingen en exfiltratie van gegevens naar het internet. Bijzondere aandacht moet worden besteed aan uitgaand verkeer om verbindingen van cybercriminelen op te sporen.
- Sla gegevens regelmatig op door middel van back-ups, zodat deze in geval van nood snel toegankelijk zijn.
- Altijd toegang tot bijgewerkte informatie over bedreigingen om de werkelijke TTP’s te kennen die worden gebruikt door bedreigingsactoren.
- Train werknemers regelmatig op het gebied van cyberbeveiliging
Perfecte zwendel
Dat het onderscheppen van dergelijke aanvallen niet eenvoudig is, blijkt ook uit een verklaring die beveiligingsleverancier Sophos in juni publiceerde: “REvil, ook bekend als Sodinokibi, is een volwassen en wijdverbreid Ransomware-as-a-Service (RaaS) aanbod. Criminele klanten kunnen de ransomware van de ontwikkelaars leasen en met hun eigen parameters op de computers van hun slachtoffers plaatsen. De specifieke aanpak en impact van een aanval met REvil ransomware is dus zeer variabel en hangt af van de tools, gedragingen, middelen en capaciteiten van de aanvaller die de malware huurt.”
Ook Dr. Bernd Rohleder van Bitkom zegt hierover: “Met de recente aanval op het IT-bedrijf Kaseya wordt een bijzonder verraderlijke truc gebruikt om bedrijven over de hele linie aan te vallen.” De branchevereniging vermoedt dat sabotage, gegevensdiefstal of spionage de Duitse economie in 2019 al een totale schade van meer dan 100 miljard euro hebben toegebracht. “Veel bedrijven zijn kwetsbaarder geworden voor cybercriminaliteit als gevolg van de pandemie en de ongeplande overstap naar kantoren aan huis. We verwachten dat de schadetotalen en het aantal getroffen bedrijven in 2020 aanzienlijk hoger zullen liggen dan in het voorgaande jaar.”
Aanvulling op het onderwerp
Commentaar: gegevens uitbesteden, ja – verantwoordelijkheid, nee!
In het licht van de massale REvil-aanval is de eerste impuls vaak om vraagtekens te zetten bij de cloud en de MSP-activiteiten. Zonder beheerde diensten en de clouddiensten had deze aanval immers niet met zo’n kracht kunnen plaatsvinden, nietwaar? Het is een feit: hackers zijn er al zolang er IT-systemen bestaan. De eerste gedocumenteerde aanval op een computersysteem dateert van 1983. In die tijd brak een 17-jarige in op het ARPA-Net, het netwerk dat was voorbehouden aan het leger, grote universiteiten en bedrijven. In hedendaagse termen, was dit een aanval op kritieke infrastructuur. Toch kon dit de triomftocht van IT en het internet niet tegenhouden. Te veel voordelen zouden anders verloren zijn gegaan. En wie zou willen zonder mobiel werken, tijd- en plaatsonafhankelijke samenwerking, automatische gegevensanalyse – de lijst kan nog wel even doorgaan.
Als een inbreker erin slaagt bij u thuis in te breken, zou u er niet aan denken te verhuizen naar een flat op de 20e verdieping van een flatgebouw. Dat is iets waar je over na moet denken: Waar zat het zwakke punt? Welke veiligheidsmaatregelen kan ik nog nemen? Met andere woorden: neem je verantwoordelijkheid voor je eigen veiligheid.
Hetzelfde geldt voor cloud- en MSP-omgevingen. Geen enkele onderneming overweegt lichtvaardig gegevens en systemen uit te besteden. Daar zijn meestal zwaarwegende redenen voor. Maar wat in geen geval mag worden verwaarloosd, zijn veiligheidsconcepten. Omdat ze helpen om schade te voorkomen. De gedragsanalyse-instrumenten van de veiligheidsaanbieders waren deze keer ook snel doeltreffend. Veel bedrijven konden hun servers dan ook tijdig afsluiten om zich tegen de ransomware-aanval te beschermen. Een analyse van de aanval in combinatie met een herziening van het eigen beveiligingsconcept is een betere keuze dan het demoniseren van cloud- en beheerde diensten op zich.
U bent verantwoordelijk voor uw eigen gegevens
Eric Waltert, Regional Vice President DACH bij Veritas: “De ransomware-aanval op Kaseya VSA is een pijnlijke herinnering dat bedrijven drie verschillende soorten gegevens goed in de gaten moeten houden om zich te beschermen tegen cyberaanvallen: Gegevens die ze zelf bezitten en hosten; gegevens die ze zelf bezitten en voor hen hosten; en gegevens die ze niet bezitten, maar waarvan ze afhankelijk zijn voor het succes van hun bedrijf.”
Te weinig bedrijven, aldus Waltert, “realiseren zich dat ze zelf verantwoordelijk zijn voor de beveiliging van hun gegevens in de cloud en hun SaaS-dienst. In plaats daarvan denken zij ten onrechte dat de dienstverleners het voor hen doen. Bovendien moeten bedrijven voor al die gegevens waarop zij vertrouwen, druk uitoefenen op hun toeleveringsketen en in het kader van hun contractonderhandelingen eisen dat de leveranciers het hoogste niveau van gegevensbescherming kunnen bieden.”