Managed service providers (msp) vormen een aantrekkelijk doelwit voor criminelen. Want via de toegang tot één systeem kunnen aanvallers ransomware planten in duizenden andere bedrijven. Het is dus essentieel dat msp’s hun it-beveiliging kritisch bekijken, en alle mogelijke maatregelen treffen om een soortgelijke ransomware-aanval te voorkomen. Dit stelt Dave Maasland, directeur van it-beveiligingsbedrijf Eset Nederland.
Maalsland deelt in een persbericht van het bedrijf een aantal aandachtspunten naar aanleiding van de Kaseya-hack. Volgens hem behoort beheersoftware zoals het gehackte systeem van Kaseya tot de gevoelige tools. Deze programma’s moeten veel rechten hebben om te functioneren, en dat maakt het bijvoorbeeld lastig om systemen te segmenteren. Als je eenmaal binnen bent kan je gemakkelijk van het ene systeem naar het andere overspringen.
Maasland: ‘Wanneer msp’s software zoals Kaseya gebruiken als een stukje gereedschap, moeten ze zich dan ook realiseren hoe kritiek deze is. En dat betekent dat niet iedereen makkelijk toegang zou moeten krijgen. Ja, het is handig als er een engineer on-call is die op afstand toegang heeft. Maar juist via zo’n log-inscherm werd het Kaseya-systeem binnengedrongen.’
Afscherming
De ransomware-aanval van Kaseya verliep via een kwetsbaarheid in de code. Maar als deze niet makkelijk bereikbaar is, dan valt er ook geen kwetsbaarheid uit te buiten. Msp’s doen er dus goed aan om hun kritieke systemen goed afgesloten én afgeschermd te houden voor de buitenwereld.
Maasland: ‘Sloten zijn te kraken, maar alleen als je bij de deur kan komen.’ Neem je als msp externe beheertools op in je gereedschapskist, dan moet je goed stilstaan bij de impact op de veiligheid van je systeem. Kaseya vraagt bijvoorbeeld of je bepaalde mappen en bestanden kunt uitsluiten van anti-virusscans en firewalls. Daarmee kunnen deze tools weliswaar gemakkelijker worden geïmplementeerd, maar zo zet je natuurlijk wel de deur open voor een aanval. Denk dus goed na voordat je tools vrijwaart van controle. Daarnaast kun je je security mogelijk ook nog verbeteren door de bewerk- en ïnstallatierechten van deze tools te blokkeren.
Kortom, behandel alle externe leveranciers of software van derden als onderdeel van de eigen organisatie en audit deze ook. Wanneer je externe softwaretools integreert, met name opensource-code, moet je ervoor zorgen dat deze wordt gecontroleerd en bijgewerkt zodra nieuwe versies beschikbaar komen.’
Tools van anderen
Maaslands tips richten zich op msp’s, dienstverleners die weer afhankelijk zijn van de tools van anderen. Als die tools worden gehackt, belandt niet alleen hun informatie maar ook de informatie van hun klanten in verkeerde handen. Een fout in deze externe tools kan dus de hele vertrouwensketen doorbreken.
De Eset-directeur gaat ook in op het belang van goede backups. Als ransomware toeslaat, is dat vaak de enige manier om de versleutelde data te herstellen zonder losgeld te betalen. Maar een enkele backup op dezelfde hardware is niet voldoende. Maasland: ‘Zorg voor verschillende kopieën, bewaar deze op verschillende media, op gescheiden locaties en overweeg ook offline kopieën te bewaren.
Door backups goed te segmenteren, vergroot je de kansen op succesvol data-herstel. En vergeet niet de integriteit van alle backups doorlopend te testen – ook deze bestanden kunnen beschadigd raken. In het verlengde hiervan is het ook belangrijk om regelmatig te testen of het herstel van backups goed functioneert, zodat je niet voor nare verrassingen komt te staan.’