Zo bescherm je je organisatie tegen cyberdreigingen als de pleuris uitbreekt in de wereld – 12 stappen
Oorlog of geen oorlog, elk ...
Oorlog of geen oorlog, elk conflict in de wereld heeft tegenwoordig een enorme digitale dimensie: naast fysieke aanvallen zijn digitale aanvallen niet meer weg te denken van het strijdtoneel. Zo ook nu.
De cyberadviezen en waarschuwingen vliegen je om de oren. Het risico als je je laat leiden door interventies of halve waarheden, is duurste geval overbeveiliging en in het meest risicovolle geval onderbeveiliging.
Eerlijk is eerlijk: je wil je zaakjes beschermen, als eigenaar, IT-manager of CISO.
Wat is het juiste? Wat moet nu meteen? Waar begin je? Waar komt de meest urgente en gevaarlijke dreiging vandaan? Hoe verhoog ik onze weerbaarheid? Dit artikel helpt jou als IT-manager of CISO om de juiste beslissingen te nemen. We laten je zien hoe een hacker te werk gaat en wat jij kunt doen om je organisatie te beschermen tegen kwaad en erger.
Wie wil mij aanvallen?
Hoewel op dit moment geen aanwijzingen zijn van wijdverspreide aanvallen tegen Nederlandse bedrijven, is de kans op opportunistische en ideologische aanvallen niet uitgesloten. Een groep opportunistische hackers zou bijvoorbeeld een malware kunnen ontwikkelen om bedrijven aan te vallen. Daarnaast kunnen ook staatsgroepen toegang proberen te verkrijgen tot kritische infrastructuur en de vitale infrastructuur.
Hoe kan ik gehackt worden?
Een hacker gaat altijd óf algemeen óf specifiek te werk:
- Bij algemene aanvallen wordt een bekende of onbekende kwetsbaarheid in een product gebruikt die vele bedrijven gebruiken, zoals Citrix of emailsoftware als Microsoft Exchange. Vele IP-adressen worden dan gescand en aangevallen. Daarnaast kunnen vele emailadressen aangeschreven worden met een phishing e-mail.
- Een andere manier van hacken is specifiek, waarbij een of enkele bedrijven uitgekozen worden tot doelwit. De hacker verkent dan eerst het doelwit, waarbij ook de infrastructuur, externe applicaties en de gebruikers geanalyseerd worden. Na het verkennen kunnen kwetsbare systemen gevonden worden die geëxploiteerd kunnen worden, of specifieke gebruikers kunnen gehackt worden door middel van phishing.
Nadat de hacker toegang krijgt tot een systeem – via een algemene of een specifieke manier – zal die proberen om de initiële rechten te verhogen, nadat een persistente connectie naar de command and control (C2)[1] server van de aanvaller is opgezet. Via deze C2-server kan de hacker de aanval op afstand doorzetten. Binnen het interne netwerk gaat de aanvaller voor de pot met goud: servers en applicaties die belangrijke informatie bevatten. Of – als het doel is om controle over het netwerk te verkrijgen – gaat die op zoek servers en applicaties waarmee hij dat kan bewerkstelligen. Zo’n aanvaller zal niet zomaar voor Domain Admin of de hoogste rechten gaan als dat niet nodig is, aangezien op deze rollen soms veel beter gemonitord wordt. Nadat de aanvaller via verschillende wegen de rechten verhoogd heeft, kan de aanvaller computers en servers overnemen, ransomware installeren of gevoelige informatie stelen.
[TECH] Hoe kan ik me beter beveiligen?
Door het opvolgen van deze twaalf tips maak jij je bedrijf weerbaarder tegen cybersecurity-aanvallen.
- Een firewall is de eerste verdedigingslinie binnen netwerk security. De firewall bewaakt inkomend en uitgaand netwerkverkeer en bepaalt welk verkeer wordt toegestaan of geblokkeerd op basis van een gedefinieerde set securityregels. Het is een barrière tussen beveiligde en beheerde vertrouwde interne netwerken en niet-vertrouwde externe netwerken, zoals het internet. Monitor heel goed welke servers met welke poorten en adressen een connectie maken. Zo hoeft een demilitarized zone (DMZ), een netwerksegment dat zich tussen het interne en externe netwerk bevindt, zelf geen connecties te maken met buitenaf, maar reageert het op verkeer vanaf de buitenwereld. Als een DMZ zelf connecties initieert met de buitenwereld kan dit een indicatie zijn van connecties naar de C2-server van de aanvaller! Initiatie van connecties vanuit de DMZ hoeft overigens niet altijd kwaadwillig te zijn. In enkele situaties en specifieke netwerkindelingen kan vanuit de DMZ ook een connectie geïnitieerd worden. Onderzoek goed of het verkeer legitiem is en monitor goed of er nieuw verkeer bij komt naast het betrouwbare verkeer.
- Hoewel je misschien bezorgd bent over Russische aanvallen, raak niet in een tunnelvisie voor Russische IP-adressen! Iedereen kan een server afhuren in Nederland of Noorwegen of waar dan ook ter wereld. Hackers kijken ook naar het nieuws, dus zijn zich bewust dat een IP-adres uit Rusland op dit moment verdacht kan zijn. Daarom gebruiken ze trucs, proxies en afgehuurde servers om via andere IP-blokken aan te vallen.
- Het gebruik van multi-factor authentication (MFA) is van cruciaal belang. Zorg ervoor dat alle accounts voorzien zijn van MFA. Het gebruiken van een security key is erg handig, maar authenticator-apps zijn ook een betrouwbare optie.
LET OP: Het gebruik van push notificatie gebaseerde MFA is niet altijd aan te raden. Deze MFA-methode houdt in dat een gebruiker zijn toegang goedkeurt door akkoord te geven (te “pushen”) op een melding vanuit een mobiele MFA-applicatie. Het gevaar hiervan is dat hackers net zo vaak inloggen totdat iemand per ongeluk de push notificatie goedkeurt.
- Vergeet de basishygiëne-maatregelen niet:
- Blijf systemen updaten en check de gebruikersrechten. Alle accounts moeten de laagst mogelijke rechten hebben die ze nodig hebben. Gebruikers met te veel rechten zouden bijvoorbeeld kritieke beveiligingsmaatregelen in de Windows-systemen kunnen deactiveren, waardoor het voor een aanvaller gemakkelijker wordt om binnen te dringen.
- Zorg ervoor dat het netwerk correct is gesegmenteerd. Dit voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk.
- Zorg voor een compleet kwetsbaarhedenbeheerprogramma (vulnerability management) waarmee je 24/7 inzicht hebt in kwetsbaarheden.
- Phishing staat al jaren in de top 3 van cyberrisico’s bij bedrijven – het is dan ook een van de effectiefste vormen van cybercrime. Zorg ervoor dat je medewerkers alert zijn op dit type aanvallen: hoe kunnen ze een phishingmail herkennen. Phishing gebeurt niet alleen via e-mail, maar kan ook via social media zoals LinkedIn of telefonisch uitgevoerd worden. Zorg er ook voor dat medewerkers een mogelijke phishingaanval intern kunnen melden. Na validatie, informeer je medewerkers zodat niemand in de phishingmail trapt of als iemand per ongeluk dat gedaan heeft, zich kan melden voor de mitigerende stappen om de schade te beperken.
- Controleer of back-ups daadwerkelijk aanwezig zijn. Bewaar back-ups op een veilige plek zonder directe toegang vanuit je interne netwerk. Als de back-ups direct aan het netwerk verbonden zijn en toegankelijk zijn, kan een hacker die back-ups ook via ransomware versleutelen.
- Een DDoS-aanval, waarbij cybercriminelen opzettelijk enorme hoeveelheden data naar een server zenden, kan grote gevolgen hebben voor de beschikbaarheid van je diensten. Bepaal wat de cruciale onderdelen van je dienstverlening zijn en onderzoek vervolgens waar deze kwetsbaar zijn. Zorg samen met je internetprovider of hostingpartij voor goede maatregelen en afspraken. Overweeg een (betaalde) Anti-DDoS oplossing zoals Akamai, Cloudflare of AWS Shield bij het gebruik van AWS.
- Zorg ervoor dat je weet welke processen normaal zijn. Onderzoek heel goed welke Windows-processen binnen jouw bedrijf gebruikt worden en welke applicaties toegestaan zijn. Een best-practice is het plaatsen van toegestane applicaties op een whitelist. Andere applicaties kunnen dan niet zomaar gebruikt worden binnen een Windows-omgeving. Dit lijkt wellicht moeilijk, maar er zijn al verschillende tools hiervoor beschikbaar. Windows SRUM en verschillende Endpoint Detection and Response (EDR)-producten kunnen je hierbij helpen door de processen en applicaties die de afgelopen dagen tot weken gebruikt zijn, te registreren. Die lijst kan je helpen om de systemen te beveiligen, zonder bedrijfsprocessen te verstoren. Ook voor Linux zijn opties beschikbaar, zoals AuditD en Sysmon.
- Een geavanceerde EDR-oplossing is van cruciaal belang om virussen en malware te ontdekken. Zorg ervoor dat EDR optimaal is ingericht en dat je weet hoe systemen in quarantaine gezet kunnen worden, al dan niet automatisch, in het geval van verdacht gedrag. Onderzoek ook het inzetten van een Incident Detection & Response (IDR)-oplossing: een securitymaatregel die indringers al vroeg in de aanvalsketen herkent waardoor er direct ingegrepen kan worden om “erger” te voorkomen. Een IDR zorgt ook voor direct inzicht in oorzaak en impact bij een cyberincident.
- Zet een duidelijk Incident Response (IR)-plan op. Dan weet je welke stappen genomen moeten worden als een of meerdere systemen gehackt worden. Op zo’n moment is experimenteren en panikeren erg kostbaar, daarom is het goed om van tevoren een uitgebreid, gevalideerd en getest plan klaar te hebben. Als je zo’n plan opzet, zorg er ook voor dat het getest wordt binnen de interne organisatie. Een brandoefening vindt ook elk jaar plaats!
Bekijk ook ons ultieme stappenplan hoe te herstellen na een ransomware-aanval.
- Controleer of en hoe goed je systemen gelogd worden. De logs moeten lang genoeg bewaard worden op een veilige plek om ervoor te zorgen dat aanvallen onderzocht worden als er vreemd gedrag geconstateerd wordt. Zonder logging kan je niks terugvinden en ben je als organisatie eigenlijk blind in je digitale infrastructuur.
- Maak goede afspraken met cybersecuritybedrijven en Digital Forensic and Incident Response (DFIR)-teams. Het is belangrijk om een betrouwbare partner te hebben die tijdig kan schakelen bij een incident.
Helaas is er geen 100% op maat gemaakte checklist voor digitale veiligheid. Organisaties en netwerken zijn dynamisch en allemaal uniek. Begin met het in kaart brengen van je bedrijfskritische processen (Waar kan je geen dag of geen uur zonder? In welke keten zit je?) en toets je risicobeeld (Wat is ons aanvalsoppervlak? Hoe kijken hackers naar ons?). Neem met deze informatie in de hand direct maatregelen om hackers het zo moeilijk mogelijk te maken. Ook als een initiële hack plaatsvindt, kan je ervoor zorgen dat de hacker niet verder in het netwerk kan en je netwerk via ransomware onbeschikbaar wordt.
Een onafhankelijk advies nodig?
Het belangrijkste is: zorg dat je inzicht hebt en een plan. Heeft jouw organisatie daar hulp bij nodig? Wij denken graag kritisch met je mee over wat je nu te doen hebt en op welke laag van je organisatie. We geven je onze visie op jouw huidige situatie en als je dat wil, doen we je een aanbod. Kunnen wij je niet helpen, dan verwijzen we je door.