4 minute read
7 lessen die ook jij kunt trekken uit andermans cyberaanval
lessen die ook jij kunt trekken uitandermans cyberaanval 7
Cyberaanvallen verschijnen regelmatig in het nieuws, maar er wordt maar sporadisch aandacht besteed aan de afhandeling van zo’n crisis. Zodra een bedrijf zijn dienstverlening weer voortzet, lijkt de kous af. Een openbaar rapport van Fox-IT, dat zo’n grote cyberaanval onderzocht, geeft dan ook een unieke kijk achter de schermen. Het rapport bevat daarmee waardevolle informatie voor andere organisaties. We kunnen de volgende zeven lessen trekken uit de onderzochte cyberaanval.
Advertisement
1: Train werknemers voor meer cyber security awareness
Doordat twee phishing e-mails werden geopend, konden hackers het onderzochte systeem binnendringen. Als het gaat om cybersecurity, blijken werknemers helaas nog altijd de zwakste schakel te vormen voor organisaties. IBM toonde al eens eerder aan dat maar liefst 95 procent van de cyberaanvallen begint met een menselijke fout. Incidentele, een malige trainingen zijn simpelweg niet opgewassen tegen steeds sluwer wordende cybercriminelen. Continue training en herhaling is noodzake lijk. Alleen zo blijven je medewerkers alert genoeg. Er bestaan daarom speciaal ontwikkelde cybersecurity awareness leerprogramma’s, die be doeld zijn om de cybersecurity kennis van medewerkers te verbeteren door steeds weer opnieuw nuttige info en praktische tips te laten zien.
2: Sta het gebruik van macro’s niet of beperkt toe
Nadat er geklikt was op een phishing e-mail, zal de initiële besmetting waarschijnlijk via een macro in Excel hebben plaatsgevonden. Macro’s voor Office programma’s zijn een bekend risico. Microsoft geeft dit zelf ook al jaren aan. Toch zijn sommige macro’s binnen bedrijven noodzake lijk. Sinds Office 2016 is het daarom mogelijk om als administrator het gebruik van macro’s – en daarmee de risico’s ervan – in te perken. Via Group Policies kun je voor de gehele organisatie een selectie vertrouwde macro’s toestaan, of macro’s in zijn geheel blokkeren.
3: Gebruik aparte accounts voor domeinbeheer
Als IT-beheerder kun je beter niet je domein administrator account gebruiken om ook servers te beheren. Om je servers te beheren moet je nou eenmaal af en toe inloggen, maar telkens als je inlogt, blijven je cre dentials ook enige tijd opgeslagen in het geheugen van de server. Als een hacker dan die credentials te pakken krijgt, en je zou overal hetzelfde account gebruiken, heeft een hacker gelijk toegang tot ál je systemen. Dit gaf hackers vrij spel bij de onderzochte cyberaanval. Maar wanneer je voor elke server een eigen account gebruikt, dat alleen specifieke rech ten heeft, blijft de schade beperkt als inloggegevens in verkeerde handen vallen. Een andere manier is gebruikmaken van Protected Users Security Groups, waardoor bepaalde (belangrijke) accounts extra beveiligd zijn.
4: Installeer altijd updates
We weten het, updates kunnen voor veel gedoe en downtime zorgen, maar ze worden natuurlijk niet zomaar uitgebracht. We kunnen het daarom niet vaak genoeg herhalen: installeer altijd updates. Ze verhel pen veiligheidsrisico’s en dichten bekende lekken. In dit geval werd bij- voorbeeld de zogenoemde EternalBlue exploit misbruikt om door het netwerk te bewegen, terwijl Microsoft enkele jaren terug al een patch uitbracht voor deze exploit.
5: Netwerk- en logmonitoring implementeren
Oké, zelfs al zijn je medewerkers op de hoogte en heb je alle updates geïnstalleerd, dan nog kan er altijd een gewiekste hacker door je beveili ging glippen. Toch zijn de meeste aanvallen niet in een uurtje gedaan. Fox-IT merkte bijvoorbeeld op dat er ruim twee maanden tussen de initi ële besmetting en de uiteindelijke gijzeling van de software zat. In die twee maanden vond allerlei verdacht verkeer plaats op het netwerk, maar zonder netwerkmonitoring wordt dat niet snel opgemerkt. Het is dan ook aangeraden om zowel intern als uitgaand verkeer te monitoren.
6: Wees voorbereid op een aanval
Wanneer het toch mis zou gaan, kan het helpen om tenminste voorbereid te zijn op een cyberaanval. Met een CMDB (Configuration Management Database) weet je welke apparaten en programma’s er allemaal actief zijn binnen je organisatie. Daardoor kun je in geval van nood snel ler en gerichter ingrijpen. Ook door vooraf al een incident response plan op te stellen, kan een organisatie sneller ingrijpen. Zie het als de perio dieke brand- of ontruimingsoefening, maar dan digitaal.
7: Maak offline backups
Bij deze cyberaanval werden ook de online backups versleuteld en bestonden er geen offline backups. Kiezen voor online backups was een bewuste keuze: bij een storing of uitval zijn dit soort backups sneller toe te passen. Ze bleken echter niet bestand tegen een cyberaanval. Idealiter heeft een organisatie dus zowel online als offline backups, aangezien ze voor verschillende situaties geschikt zijn. Zo profiteer je van de snelheid van online backups, en de veiligheid van offline backups. Een beproefde methode om efficiënt backups te maken, is bijvoorbeeld de 3-2-1 regel.
Het moge duidelijk zijn dat een cyberaanval niet door één fout ontstaat. Hackers moeten zich meestal door meerdere ‘lagen’ bewegen. Pas als er genoeg ‘gaten’ gevonden worden, lukt een cyberaanval. Daar was dan ook in dit geval sprake van. Er is geklikt op phishing e-mails. De laatste updates waren niet geïnstalleerd. Het netwerk was onvoldoende geseg menteerd. En alarmsignalen werden niet opgemerkt, waardoor de hacker zich ongestoord in het netwerk kon begeven en uiteindelijk ransomware kon plaatsen. Kortom, een klassiek voorbeeld van het ‘Zwitsersekaasmodel’. ‹
