Afgelopen december las ik voor het eerst over een ransomware-variant die niet alleen je bestanden gijzelt maar ook nog eens dreigt met het publiceren van jouw data als je niet betaalt. Met andere woorden was je niet van plan te betalen omdat je voldoende maatregelen had getroffen, word je nu gedwongen alsnog te betalen om te zorgen dat je data niet op straat komt te liggen.
Waarom lijken deze aanvallen nu zo effectief en waardoor hebben zelfs grote bedrijven zoals de Universiteit van Maastricht of het GWK er last van? Om deze vraag te beantwoorden, is het goed eerst te kijken hoe ransomware nu in de basis werkt. Ondanks de indruk die soms gewekt wordt, is een dergelijke besmetting over het algemeen niet bijzonder geavanceerd.
Een ransomware-besmetting begint vaak vrij onschuldig met een e-mail met daarin een Office-document met een macro. De macro haalt een nieuw stukje software op wat daadwerkelijk zorgt voor het versleutelen van bestanden. Daarnaast zijn er varianten gespot die uitgeschakelde computers inschakelen om de impact te maximaliseren.
Impact verkleinen
Helemaal voorkomen lijkt een utopie, echter zijn er wel zaken die organisaties kunnen doen om de kans en impact van een ransomware-besmetting te verkleinen. Onderstaand een aantal maatregelen dat de kans en impact significant verkleint:
Software-updates
Zorg ervoor dat je systemen bijgewerkt zijn. Indien ransomware niet via e-mail binnenkomt, is de kans vrij groot dat het actief een kwetsbaarheid probeert uit te nutten die aanwezig is binnen de infrastructuur. Vergeet bij het patchen ook niet de netwerkcomponenten. Een vulnerability-scanner kan helpen bij het inventariseren van de kwetsbaarheden en draagt in de regel ook de oplossing aan.
Het klinkt cliché maar reduceer en reguleer de rechten binnen de infrastructuur. Gebruik meerdere accounts voor de beheerders afhankelijk van de werkzaamheden. Online is veel te vinden over zogeheten ‘delegation control’, zoals uitgebreid beschreven door Huy Kha in zijn Active Directory Security Fundamentals.
Endpoint-security
Anti-virusoplossingen spelen nog steeds een essentiële rol in het reduceren van kans en impact. De juiste oplossing correct geïmplementeerd en actief beheerd, betekent het verschil tussen een besmetting of niet.
Netwerksegmentatie
Indien je netwerk logische scheidingen kent en hier firewalls tussen geplaatst zijn, kan je de kans op verspreiding reduceren. Daarnaast is het verstandig een mechanisme en een proces in te richten waarmee je snel al het verkeer tussen segmenten kan blokkeren; een zogeheten kill switch.
Security-monitoring
Weet wat er speelt binnen jouw organisatie! Door logdata te centraliseren en actief use cases in te richten, krijg je zicht op wat er zich afspeelt binnen jouw organisatie en kun je tijdig bijsturen indien afspraken niet nageleefd worden.
Maar wat je ook doet/regelt – het vroegst mogelijke moment waarop je kunt detecteren of er een probleem is (of aan staat te komen) is bij het opzetten van een verbinding tussen twee endpoints!
Tot nu heb ik weinig of geen organisaties gezien die deze mogelijkheid benutten. En dat terwijl de TCO een fractie is van (bijvoorbeeld) een op SIEM-gebaseerde vorm van log-monitoring.
Meer weten? Stuur me een PM en kom graag langs om tekst-en-uitleg te geven: will@it-visibility.net.
Het spreekwoordelijke tipje van de sluier:
https://it-visibility.net/3-easy-steps-to-keep-hackers-and-ransomware-out/
Wilhelmus Leonardus Moonen,
Je kunt je oude drol verven maar daarmee wordt het nog geen roomsoes, ik hoef geen PM te sturen om te weten dat je middeleeuwse oplossing van het bewaken van een toegangspoort in de stadsmuur geen oplossing biedt nu iedereen in de luchtkastelen van de cloud woont. De anatomie van een hack middels de ‘stepping stone’ van een gateway legde ik je jaren geleden uit middels een whiteboard sessie over enkele zwakheden in het TCP/IP model.
Een belangrijke component in een ‘Zero Trust’ framwerk is IA(AA)M en ik zet autorisatie & audit even tussen haakjes omdat de meeste oplossingen uiteindelijk alleen maar generieke access geven op basis van een makkelijk over te nemen ID zoals we zien met de MiTM aanvallen, één van de zwakkere punten van Active Directory.
P.S.
De redactie moet de regels handhaven of ze aanpassen want de Kamer van Koophandel laat zien dat IT Visibility je eigen bedrijf is, een ‘one horse-pony show’ waardoor de zorg om een continuïteit van de dienstverlening op een ander vlak komt te liggen. Afpersing is alleen mogelijk als je af te persen bent want inzichtelijkheid in de waardeketens gaat om meer dan de techniek, afhankelijkheid is dus een risico.
Bedankt voor je reactie en bevestiging van de aanpak OudLid.
Wel bijzonder dat je je toenmalige whiteboard sessie ineens ziet als een “oude drol”. Terwijl de materie en meerwaarde meer dan ooit relevant is in het hedendaagse tijdperk van breed ingezette digitalisering, de vele luchtkastelen en achterliggende contracten/SLA’s… 🙂
Zo ook voor MS-AD: er zijn inderdaad betere alternatieven om iemands digitale identiteit vast te leggen, te bewaken en te valideren. Maar in het kader “voor elke oplossing een probleem”: ook die alternatieven hebben zo hun tekortkomingen; al dan niet gerelateerd aan MiTM-achtige hackpogingen. Waardoor prijs en bruikbaarheid uiteindelijk bepalend zijn voor de keuzes die mensen (als onderdeel van een bepaalde organisatie) maken.
Tot slot continuïteit: dat gaat inderdaad verder dan techniek. En met diezelfde “techniek” als referentiekader: de resultaten van een “digitale” zoekactie op basis van KvK-nummers is dan ook nauwelijks betrouwbaar te noemen als het gaat om de mate waarin die continuïteit op enig moment geborgd is. Dat inzichtelijk krijgen begint met een goed gesprek bij een dito kop koffie!
WLM,
Om te beginnen met je laatste alinea, één van de meeste voorkomende oorzaken van discontinuïteit in de keten is de personele invulling omdat het uurtje-factuurtje werk niet zo schaalbaar is. De laatste opinie van Henri ging hierover, wegens ‘succes’ gesloten is een risico wat de klanten af willen dekken. En stellen dat de Kamer van Koophandel onbetrouwbaar is als startpunt gaat voorbij aan de mogelijkheden voor datasythese via openbare registers. Het spreekwoordelijk tipje van de sluier, ik kijk welke rechtspersonen op een adres geregistreerd zijn via de achterdeur om de juridische MiTM-hacks hierin te voorkomen.
Aangaande je opmerking over achterliggende contracten, jouw oplossing laat volgens mij nog wat te wensen over als het om de jurdische aspecten van microservices in de cloud gaat. De zoekstring zoals GDPR leverde op je website namelijk niks op terwijl het ‘GRC’ aspect van de verwerkersovereenkomsten interessant hierin is. Want afpersing gaat namelijk om het zwijgen over een datalek en hier wordt het verhaal interessant als je klem komt te zitten tussen de meldplicht. Ik bevestig je aanpak dan ook niet want deze gaat om onderhandelingen van vertrouwen in een GRC-framewerk wat geen triple-A garantie biedt.
MS-AD of andere (L)DAP alternatieven als directory service voor het vastleggen van een identiteit is prima, de organisatorische zwakte zit in het onderhoud van de ‘delegation of control’ zoals ik duidelijk maakte tijdens de whiteboard sessie. Gezien je reactie is hiervan nog wel iets van blijven hangen want op de ‘stealth-modus’ hadden jouw producten geen antwoord, hetzelfde geldt voor de invisible IT van ‘Shadow IT’ welke je alleen via een goed gesprek bij koffie ter sprake kunt brengen als je weet hoe de hazen lopen.
Hoi Ewout (of zo je wil: OudLid),
Allemaal valide punten. Tis alleen, als 100% zekerheid en veiligheid de norm gaat zijn, dan blijft er weinig over. Letterlijk en figuurlijk de stekker eruit trekken is dan eigenlijk de enige oplossing.
In alle andere gevallen lijkt me een gezonde wisselwerking tussen techniek en processen/procedures veel handiger. Dat begint met bewustwording en inzicht.
Een puur organisatorische insteek met o.a. verwerkersovereenkomsten, allerhande GDPR/juridische toetsingen en aansprakelijkheidsstellingen lijkt me nauwelijks zinvol. Het zwaartepunt ligt dan bij het voorkomen van boetes; wat weer draait over de as van een juridisch welles/nietes spel.
Bij een puur technische insteek geldt eigenlijk hetzelfde. Het zwaartepunt ligt meestal bij het opsporen van “malware/ransomware”. Met in het verlengde een focus op “damagecontrol”; waaronder het voorkomen van aansprakelijkheidsstelling en boetes.
De aspecten bewustwording en inzicht zijn een aantal jaren terug de belangrijkste drivers geweest achter de start van IT visibility en de samenwerking met een aantal gelijkgestemden.
.
Aan de organisatiekant is dat gebaseerd op een GRC-aanpak die inzichtelijk maakt hoe het staat met de kansen, risico’s en verbeterpunten rondom de huidige bedrijfsvoering en de inzet van IT-middelen.
Aan de technische kant is dat gebaseerd op een op endpoints gebaseerde aanpak die eenzelfde inzicht geeft rondom de inzet van allerhande cloud-smaakjes, apps en microservices (waaronder shadow-IT). Dat inzicht wordt vervolgens gelinked aan de relevante delen in de bedrijfsvoering.
Op die manier wil ik, met IT visibility als vehicle, een bijdrage leveren aan een veiligere werkomgeving; met in het verlengde een veiligere samenleving. Kernelementen daarin zijn “de mens” en “automatisering-van-de-automatisering”.
Waarbij “de mens” betrekking heeft op de teams binnen een gegeven klantenorganisatie, onze eigen mensen en de gelijkgestemden waarmee nauw wordt samengewerkt.
En waarbij “automatisering-van-de-automatisering” betrekking heeft op een reproduceerbare en schaalbare invulling van zowel de organisatorische als de technische kant.
🙂
WLM,
Je GRC-aanpak is opmerkelijk want een begrip als governance gaat vooral om de intrinsieke betrouwbaarheid van de bedrijfvoering. Of je regels zoals de GDRP/AVG zinvol vindt of niet is niet interessant want overtredingen leiden vooral tot imagoschade met als grootste risico een verlies aan vertrouwen. Juridische aspecten van een verwerkersovereenkomst omvatten meer dan aansprakelijkheid, je stelt vooral zeker dat er passende technische en organisatorische maatregelen genomen worden. Het gebruik van netwerk versluiering en data versleuteling kan een onderdeel van de te nemen maatregelen zijn. Wakker worden Wilhelmus want de GDPR/AVG is een zegen voor IT Visibility.