‘Hallo daar, u bent gehackt. De prijs is 3 miljoen in bitcoin’. Dit is de kop van een artikel uit de Volkskrant van afgelopen zaterdag van één van mijn favoriete schrijvers Huib Modderkolk. Huib beschrijft hoe grote organisaties door een hack niet meer in hun eigen computersystemen kunnen en alleen de sleutel krijgen na het betalen van grote sommen geld. Dit wordt ransomware, of gijzelsoftware genoemd. Deze duistere business van slimme hackers is goed voor miljoenen aan omzet. Gelukkig hebben wij wapens in de strijd tegen deze cybercriminelen.
Manuel Speksnijder, Pre Sales Manager CSN Groep
Hoe de hackers te werk gaan? De ‘klanten’ worden na betaling netjes geholpen, er is ondersteuning bij het ontsleutelen van de data en er wordt zelfs een rapport opgeleverd met de kwetsbaarheden van het netwerk. Alles wordt zo secuur afgehandeld omdat reputatie van levensbelang is voor de hackorganisaties. Zodra bekend zou worden dat bedrijven de sleutel niet krijgen na betaling, neemt de bereidheid om te betalen namelijk snel af.
Dure les
Na een dergelijke hack is het management van een organisatie zich ineens bewust van de noodzaak van veilige IT en wordt er wél geïnvesteerd om de veiligheid op orde te krijgen. Een goede les zou je kunnen zeggen, maar helaas wel een les met een hele hoge prijs. Hackers zijn namelijk vaak al maanden binnen op een netwerk voor de daadwerkelijke versleuteling. Zij kunnen dus ongestoord hun gang gaan. Hackers nemen ruim de tijd om eerst de complete backup-omgeving onklaar te maken. Pas als ze er zeker van zijn dat je als organisatie niet meer terug kunt vallen op de backup, versleutelen ze ook de primaire data waardoor de hack zichtbaar wordt. Het kwaad is dan al geschied.
IT Security Next Level
Natuurlijk proberen we ook in de digitale wereld criminelen buiten de deur te houden. Net als in de fysieke wereld waar we ons beschermen tegen inbrekers door alarmsystemen en sloten op de deur. In de digitale wereld is beveiligen echter veel lastiger. Het aantal ramen en deuren is onbekend en soms staat er zelfs een deur wagenwijd open waarvan we het bestaan niet eens wisten. Vroegere IT-systemen waren overzichtelijk. We bouwden een grote muur om het datacenter heen en de toegang verliep alleen via een streng beveiligde ophaalbrug die we een firewall noemen. Naarmate IT-gebruikers meer vrijheden op internet kregen, voldeed deze vorm van beveiliging niet meer. Gebruikers halen vaak zelf het paard van Troje binnen. Eenmaal binnen ‘de poort’ heeft de hacker vrij spel.
Er zijn een heleboel zaken die we kunnen regelen waardoor de kans op een hack kleiner wordt. Belangrijk is bijvoorbeeld om altijd alle systemen up-to-date te houden. Daarnaast is de zogenoemde Principle of Least Privilege (PoLP) een heel doeltreffende aanpak. Hierbij krijgen mensen en systemen alleen de mogelijkheden die ze echt nodig hebben. Alle overbodige toegang en functies worden uitgeschakeld. Dit concept zorgt ervoor dat er meer tijd is om systemen te patchen. De noodzaak om een patch meteen te installeren is minder groot als de functie van server waar de patch voor is toch is uitgeschakeld.
PoLP werkt nóg beter wanneer we dit combineren met segmentatie op het netwerk. Hierbij worden niet alle servers en clients in één groot netwerk geplaatst, maar zijn de servers gescheiden van de rest van het netwerk door firewalls. Alleen de poorten en protocollen die daadwerkelijk nodig zijn voor een applicatie worden doorgelaten.
De zwakke plek
De allerzwakste plek in ons netwerk is de IT-gebruiker. Doordat we onze medewerkers zo efficiënt mogelijk willen laten werken, moet niets ze in de weg staan. Dit staat echter lijnrecht tegenover veiligheid. We moeten onze medewerkers dus maximaal beschermen zonder dat ze hier last van hebben. Dit alles begint bij veilige werkplekken met de laatste versie van operating system en software. Ook is een Next Gen antivirus oplossing onmisbaar en worden de rechten om software te installeren op de werkplek beperkt. Door vervolgens het verkeer op het netwerk in de gaten te houden, zien we of er meer gebruikers dan alleen onze eigen medewerkers actief zijn. Om er zeker van te zijn dat alleen de geautoriseerde gebruikers toegang hebben tot data en applicaties, voegen we Multi-Factor Authenticatie (MFA) toe. Als laatste zullen we het gedrag van onze medewerkers moeten aanpassen, dit kan door trainingen in bewustwording van de gevaren van hun gedrag.
Backup als laatste redmiddel
Indien het een hacker toch is gelukt om binnen te komen en door middel van ransomware alle data heeft versleuteld, hebben we nog een kans: de backup. Dit is van groot belang, want zonder goede betrouwbare backup kunnen we niet anders dan voldoen aan de eis van de hacker: betalen. Zolang we in staat zijn om een recente backup te restoren, kunnen we terug naar het moment voor de encryptie. Natuurlijk moeten we daarnaast de hacker buiten de deur krijgen, vernielde systemen herstellen en de ransomware stoppen. Dit kost veel tijd, maar het is mogelijk om na enkele weken of zelfs enkele dagen weer aan het werk te kunnen.
Backup Hardening
Alle bovenstaande maatregelen verkleinen de kans op een hack. Helaas kunnen we het nooit helemaal voorkomen. Mocht een hacker toch in staat zijn om op ons netwerk te komen, dan moeten we er dus in ieder geval voor zorgen dat hij nooit bij de backup kan. Hiervoor zijn een aantal maatregelen noodzakelijk die we backup hardening noemen. De belangrijkste regel is dat de backup-omgeving zich buiten het domein bevindt. Mocht een hacker in staat zijn om de Active Directory te hacken, dan levert dat in ieder geval geen toegang op tot de backup-omgeving. Het standaard Administrator account wordt bij een hack in de backup-omgeving uitgeschakeld en vervangen door een uniek administratief account dat alleen binnen de backup-omgeving gebruikt wordt. Verder geldt ook hier dat alle niet noodzakelijke toegang (denk aan RDP services) wordt uitgeschakeld. We passen ook hier de Principle of Least Privilege toe. Tevens zorgen we voor een veilige fysieke locatie van de backup, het liefst op meerdere locaties (off-site) en uiteraard encrypted.
Meer weten?
Wilt u na het lezen van dit artikel meer weten over beveiligingsmaatregelen in het algemeen of backup hardening in het bijzonder? Neem dan contact met ons op!
