Martijn Kregting - 08 maart 2022

Fujitsu: Een ransomware-aanval hoeft slechts één keer succesvol te zijn

Fujitsu: Een ransomware-aanval hoeft slechts één keer succesvol te zijn image

De groei van het gebruik van cloud-producten en diensten neemt door de digitale transformatie steeds sneller toe. Covid-19 heeft hier vooral op het gebied van hybride werkomgevingen een extra slinger aan gegeven. Hoewel er nog veel meer IT-toepassingen on premise staan dan in een cloud-omgeving, verandert deze balans ten faveure van een multi- of hybride cloud-portfolio: voor data, toepassingen, netwerken en infrastructuur. Deze ontwikkeling maakt het aanvalsoppervlak voor cybercriminelen navenant groter. Vertrouwen op externe partijen is goed. Maar zelf – waar nodig in samenwerking met externe experts - je cybersecurity regelen is beter, meent Udo Wuertz van Fujitsu.

“Organisaties denken vaak dat als zij hun IT vanuit de cloud afnemen, de aanbieder van cloud-infrastructuur of -toepassingen zorg draagt voor afdoende security”, begint Udo Wuertz, Deputy Chief Data Officer (CDO) BLP, EMEA bij Fujitsu. “Natuurlijk zullen zij hun klanten zo goed mogelijk willen beschermen tegen de impact van malware.”

Maar, meent Wuertz, dit is wel een gedeelde verantwoordelijkheid. Organisaties kunnen niet achterover leunen, zeker niet in een tijd waarin aanvallen met ransomware schering en inslag zijn en de impact ervan steeds groter wordt. Bovendien is beveiliging van toepassingen en data die ergens in een datacentrum draaien niet afdoende. Elke laptop kan een ingang zijn voor een aanval met ransomware.

“Er hoeft maar één werknemer te zijn die ergens een usb-stick ziet liggen en die voor zichzelf wil gebruiken. Als die daar bewust is neergelegd door een cybercrimineel, kan zo via die ene laptop ransomware zijn weg zoeken via alle zwakke plekken in een bedrijfsnetwerk. Of een medewerker gebruikt zijn of haar thuisnetwerk om online te gaan zonder VPN en wordt zo gehackt, met hetzelfde gevolg.”

Basissecurity niet altijd gelijk
Ook is veel van de basissecurity in cloud-omgevingen afhankelijk van het soort contract dat een onderneming met de aanbieder ervan heeft gesloten, of het een private cloud-omgeving is, een publieke clouddienst van Microsoft 365 of Salesforce, een gedeelde omgeving in een datacentrum, et cetera. Ervan uitgaan dat het wel op orde zal zijn, is niet de beste strategie.

“Je kunt verwachten dat een grote aanbieder zoals Microsoft e-mails van Office 365-gebruikers eerst scant op malware voordat ze doorgestuurd worden. Dergelijke grote aanbieders van clouddiensten hebben meer financiële armslag en kennis om dit soort security-elementen in te bouwen dan kanaalpartijen of eindgebruikers. Maar je moet voor een integrale security de hele technologiestack bekijken. En die is slechts zo sterk op security-gebied als de zwakste schakel.”

Zwakste schakel
Helaas is die zwakste schakel heel vaak nog de werknemer. Een organisatie kan nog zoveel beleid doorvoeren op security-gebied, dat is onvoldoende om de mens als zwakste schakel te elimineren. “Dat kun je beperken door aan trainingen en bewustwording te doen, maar dan nog kan iemand een keer een fout maken. Dat kan die gevonden usb-stick zijn, een moment van onoplettendheid bij het klikken op een link op een website, of het gebruik van shadow IT.”

Ransomware gaat vaak ook niet meteen tot de aanval over, maar zoekt zich een weg door het netwerk om zoveel mogelijk devices te besmetten. Pas dan wordt er toegeslagen om de impact van versleuteling zo groot mogelijk te maken. Training van werknemers helpt hier enigszins tegen, maar een aanvaller hoeft slechts één keer succes te hebben.

Voorbereid zijn
Wuertz: “Het is daarom nodig om behalve preventief te beveiligen, ook zo goed mogelijk voorbereid te zijn op een geslaagde aanval. Preventie betekent onder meer laptops van werknemers zo goed mogelijk beveiligen, white lists van onder meer websites te hanteren en te updaten. Voorbereid zijn betekent dat je in je security-strategie rekening houdt met de diverse gevolgen van een ransomware-aanval. En dat betekent meer dan je verzekeren of op een andere manier geld hebben om een decryptiesleutel te kopen. Want een ransomware is niet altijd gericht op geld binnenhalen. Wat als een concurrent of een state actor een systeem of hele infrastructuur gewoon plat wil leggen? Dan heb je niks aan bitcoins.”

Om een goede cybersecurity-strategie te realiseren, moet een organisatie eerst weten wat de sterke en zwakke plekken zijn in een netwerk, wat er minimaal nodig is om te blijven draaien in het geval van een ransomware-aanval en welke data er eventueel verloren kan gaan. “Historische data die je moet bewaren voor juridische doeleinden, kun je op een later moment terughalen. Maar een database waar al je werknemers dagelijks gebruik van maken, moet zo snel mogelijk toegankelijk zijn. In beide gevallen is er negatieve impact, maar in het tweede geval is er sprake van een direct verlies van omzet.

Focus op back-ups
Wuertz benadrukt dat een focus op gegevensback-ups goed is, maar niet altijd afdoende. “Er moet ook worden overwogen of bijvoorbeeld AI-ondersteunde systemen moeten worden gebruikt voor anomaliedetectie of dat authenticatie in het netwerk op een traceerbare en onveranderlijke manier moet worden gedocumenteerd, bijvoorbeeld in een blockchain, om besmettingspaden te kunnen traceren.”

In elk geval is een minimale strategie vereist die, naast 3-2-1 back-upstrategieën (3 kopieën, 2 verschillende media en 1 offsite back-up), rekening houdt met WORM-technologieën (Write Once - Read Most) om de onveranderlijkheid van de gegevens conceptueel te garanderen. Wuertz: “Op uiterst gevoelige gebieden kan het zelfs zinvol zijn een redundant systeem te hebben dat met een vertraging wordt voorzien van de gegevens van het echte systeem. Bijvoorbeeld bij leveranciers van productiediensten in de automobielsector, waarvan de uitval extreme boetes tot gevolg kan hebben.”

Beschikbare budget
Veel is natuurlijk afhankelijk van het budget dat beschikbaar is. Daarom kan het goed zijn om te inventariseren waar al je data staat, of je misschien 10 locaties kunt consolideren in twee locaties en zo kosten voor een backup kunt beperken. In alle gevallen is het noodzakelijk om redundante data te hebben: de data die je gebruikt en een kopie ervan die met regelmaat geupdated wordt. Hoe vaak, en alle data of alleen cruciale data, is weer afhankelijk van het soort data en het beschikbare budget, meent Wuertz. “En je moet goed weten hoe snel je welke data weer up & running kan hebben, zodat je cruciale processen weer doorgang kunnen vinden.”

Kortom: het beschikbare budget voor security maakt niet het grootste verschil. Een combinatie van factoren beperkt samen het risico op en de impact van een aanval met ransomware: niet alleen vertrouwen op de security van je cloud-aanbieder maar alle aanvalsoppervlakten kennen en waar mogelijk beschermen; tijd en energie stoppen in training en bewustwording van je medewerkers; vooraf weten wat er minimaal aan systemen en data nodig is om door te kunnen gaan met je activiteiten.

“En dan nog moet je rekening houden met het onverwachtse. Vooral shadow IT en kleine software-eilanden kunnen voor problemen zorgen die je vooraf niet of erg lastig in kaart kunt brengen. Iemand kan de vakantieplanning voor alle werknemers in een Excell-sheet hebben die nu op een versleutelde laptop staat. Kijk dus ook daar naar wanneer je in kaart brengt wat mogelijke zwakke plekken zijn. Ook hier geldt: vertrouwen is goed, controleren is beter.”

Auteur: Martijn Kregting

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!