De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Cyberaanvallen verschijnen regelmatig in het nieuws, maar er wordt maar sporadisch aandacht besteed aan de afhandeling van zo’n crisis. Zodra een bedrijf zijn dienstverlening weer voortzet, lijkt de kous af. Een openbaar rapport van Fox-IT, dat zo’n grote cyberaanval onderzocht, geeft dan ook een unieke kijk achter de schermen. Het rapport bevat daarmee waardevolle informatie voor andere organisaties. We kunnen de volgende zeven lessen trekken uit de onderzochte cyberaanval.
1: Train werknemers voor meer cyber security awareness
Doordat twee phishing e-mails werden geopend, konden hackers het onderzochte systeem binnendringen. Als het gaat om cybersecurity, blijken werknemers helaas nog altijd de zwakste schakel te vormen voor organisaties. IBM toonde al eens eerder aan dat maar liefst 95 procent van de cyberaanvallen begint met een menselijke fout. Incidentele, eenmalige trainingen zijn simpelweg niet opgewassen tegen steeds sluwer wordende cybercriminelen. Continue training en herhaling is noodzakelijk. Alleen zo blijven je medewerkers alert genoeg. Er bestaan daarom speciaal ontwikkelde cybersecurity awareness leerprogramma’s, die bedoeld zijn om de cybersecurity kennis van medewerkers te verbeteren door steeds weer opnieuw nuttige info en praktische tips te laten zien.
2: Sta het gebruik van macro’s niet of beperkt toe
Nadat er geklikt was op een phishing e-mail, zal de initiële besmetting waarschijnlijk via een macro in Excel hebben plaatsgevonden. Macro’s voor Office programma’s zijn een bekend risico. Microsoft geeft dit zelf ook al jaren aan. Toch zijn sommige macro’s binnen bedrijven noodzakelijk. Sinds Office 2016 is het daarom mogelijk om als administrator het gebruik van macro’s – en daarmee de risico’s ervan – in te perken. Via Group Policies kun je voor de gehele organisatie een selectie vertrouwde macro’s toestaan, of macro’s in zijn geheel blokkeren.
3: Gebruik aparte accounts voor domeinbeheer
Als IT-beheerder kun je beter niet je domein administrator account gebruiken om ook servers te beheren. Om je servers te beheren moet je nou eenmaal af en toe inloggen, maar telkens als je inlogt, blijven je credentials ook enige tijd opgeslagen in het geheugen van de server. Als een hacker dan die credentials te pakken krijgt, en je zou overal hetzelfde account gebruiken, heeft een hacker gelijk toegang tot ál je systemen. Dit gaf hackers vrij spel bij de onderzochte cyberaanval. Maar wanneer je voor elke server een eigen account gebruikt, dat alleen specifieke rechten heeft, blijft de schade beperkt als inloggegevens in verkeerde handen vallen. Een andere manier is gebruikmaken van Protected Users Security Groups, waardoor bepaalde (belangrijke) accounts extra beveiligd zijn.
4: Installeer altijd updates
We weten het, updates kunnen voor veel gedoe en downtime zorgen, maar ze worden natuurlijk niet zomaar uitgebracht. We kunnen het daarom niet vaak genoeg herhalen: installeer altijd updates. Ze verhelpen veiligheidsrisico’s en dichten bekende lekken. In dit geval werd bijvoorbeeld de zogenoemde EternalBlue exploit misbruikt om door het netwerk te bewegen, terwijl Microsoft enkele jaren terug al een patch uitbracht voor deze exploit.
5: Netwerk- en logmonitoring implementeren
Oké, zelfs al zijn je medewerkers op de hoogte en heb je alle updates geïnstalleerd, dan nog kan er altijd een gewiekste hacker door je beveiliging glippen. Toch zijn de meeste aanvallen niet in een uurtje gedaan. Fox-IT merkte bijvoorbeeld op dat er ruim twee maanden tussen de initiële besmetting en de uiteindelijke gijzeling van de software zat. In die twee maanden vond allerlei verdacht verkeer plaats op het netwerk, maar zonder netwerkmonitoring wordt dat niet snel opgemerkt. Het is dan ook aangeraden om zowel intern als uitgaand verkeer te monitoren.
6: Wees voorbereid op een aanval
Wanneer het toch mis zou gaan, kan het helpen om tenminste voorbereid te zijn op een cyberaanval. Met een CMDB (Configuration Management Database) weet je welke apparaten en programma’s er allemaal actief zijn binnen je organisatie. Daardoor kun je in geval van nood sneller en gerichter ingrijpen. Ook door vooraf al een incident response plan op te stellen, kan een organisatie sneller ingrijpen. Zie het als de periodieke brand- of ontruimingsoefening, maar dan digitaal.
7: Maak offline backups
Bij deze cyberaanval werden ook de online backups versleuteld en bestonden er geen offline backups. Kiezen voor online backups was een bewuste keuze: bij een storing of uitval zijn dit soort backups sneller toe te passen. Ze bleken echter niet bestand tegen een cyberaanval. Idealiter heeft een organisatie dus zowel online als offline backups, aangezien ze voor verschillende situaties geschikt zijn. Zo profiteer je van de snelheid van online backups, en de veiligheid van offline backups. Een beproefde methode om efficiënt backups te maken, is bijvoorbeeld de 3-2-1 regel.
Het moge duidelijk zijn dat een cyberaanval niet door één fout ontstaat. Hackers moeten zich meestal door meerdere ‘lagen’ bewegen. Pas als er genoeg ‘gaten’ gevonden worden, lukt een cyberaanval. Daar was dan ook in dit geval sprake van. Er is geklikt op phishing e-mails. De laatste updates waren niet geïnstalleerd. Het netwerk was onvoldoende gesegmenteerd. En alarmsignalen werden niet opgemerkt, waardoor de hacker zich ongestoord in het netwerk kon begeven en uiteindelijk ransomware kon plaatsen. Kortom, een klassiek voorbeeld van het ‘Zwitsersekaasmodel’.
Het is ontzettend moeilijk om ál die gaten te dichten. Een medewerker kan altijd per ongeluk toch op een phishinglink klikken, en we kunnen genoeg redenen bedenken waarom je die ene update tóch eventjes nog wilt uitstellen. Maar door op meerdere fronten deze strijd aan te gaan, gewapend met deze zeven lessen, verklein je de kans dat een hacker door al die verschillende gaten kan springen. De lessen op dit gebied zijn hard, maar dus zeker waardevol.
Verder lezen over Hackers
Cybercrime11.10.2024
Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!
Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevensCybercrime08.10.2024
Unlock Digitale Weerbaarheid: leer online gevaren te herkennen
Cybercrime30.09.2024
De Gesprek Check is een extra controle-hulpmiddel van ABN AMRO
heb je echt de bank aan de telefoon?Cybercrime29.08.2024
TeamViewer heeft een groot cybersecurity-probleem
Cybercrime26.08.2024
Financiële fraude met phishingmethode specifiek gericht op Android & iOS
Cybercrime16.08.2024
Wielrenner, je racefiets kan gehackt worden
Cybercrime29.07.2024
Veel openbare WiFi netwerken in Parijs zijn onveilig
Cybercrime25.07.2024
Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox
banden met Europese voetbalsponsors, mensenhandel en illegale gokindustrieVerder lezen over Malware
Cybercrime11.10.2024
Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!
Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevensCybercrime31.07.2024
Google Play bevat al jarenlang malware genaamd Mandrake
Cybercrime01.07.2024
Temu wordt nu zelfs bestempeld als gevaarlijke malware
Online20.05.2024
5 tips om online veilig te zijn
Cybercrime15.05.2024
App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties
En dat in slechts 4 jaar tijdCybercrime08.05.2024
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden
Zo blijkt uit nieuw Global Threat Landscape Report van FortinetCybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Verder lezen over Security
Cybercrime20.11.2024
Wortell opent nieuw next-gen Cyber Defense Center
Cybercrime11.11.2024
Dit zijn de huidige trends binnen cybersecurity en hoe je jezelf beschermt
Online06.11.2024
Veel computer-influencers zijn weinig meer dan pseudo-experts
Online31.10.2024
Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!
Nieuwe campagne tegen onbetrouwbare webshopsCybercrime23.10.2024
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023
Cybercrime15.10.2024
Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack
Cybercrime09.10.2024
Deze week meerdere waarschuwingscampagnes over phishing: waarom?
Cybercrime08.10.2024