Het voordeel van de toegenomen aandacht voor ransomware is dat steeds meer bedrijven zich bewuster zijn van cyberrisico’s. Helaas zijn de meeste bedrijven nog steeds niet voldoende beveiligd, maar het is al winst dat de thema’s ransomware en cybersecurity binnen veel directies hoger op de agenda staan.
Handreiking cybersecuritymaatregelen NCSC
Het Nationaal Cyber Security Centrum (NCSC) heeft onlangs een zeer concrete handreiking gepubliceerd met cybersecuritymaatregelen die je als bedrijf kunt nemen. Deze maatregelen bieden beveiliging tegen verschillende typen cyberaanvallen en luiden als volgt:
· Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert en dat deze regelmatig gecontroleerd wordt op onregelmatigheden/incidenten.
· Pas multifactor authenticatie toe waar nodig.
· Bepaal wie toegang heeft tot data en diensten.
· Segmenteer netwerken.
· Versleutel opslagmedia met gevoelige bedrijfsinformatie.
· Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm ze.
· Maak regelmatig back-ups van de systemen en test deze.
· Zorg dat software altijd is bijgewerkt met de laatste beveiligingsupdates.
Het mooie aan deze maatregelen is dat ze voorzien in een beveiliging “in diepte”. Ze zijn in het algemeen complementair aan elkaar en zorgen er zo voor dat het totaal aan maatregelen een hoog niveau van beveiliging oplevert.
Pentesten
Om te testen of de maatregelen die je als bedrijf hebt genomen effectief zijn kun je een penetratietest (pentest) laten uitvoeren. Met een pentest onderzoek je of de organisatie voldoende weerbaar is tegen digitale aanvallen. De test geeft inzicht in de kwetsbaarheden van de IT-infrastructuur en de mogelijke gevolgen hiervan. Het is van belang de veiligheid en weerbaarheid regelmatig te testen. Zeker als je nieuwe systemen aan de infrastructuur toevoegt, maar ook omdat er dagelijks nieuwe kwetsbaarheden worden ontdekt in software die al in gebruik is.
Het belang van logbestanden
Prominent bovenaan de lijst van het NCSC staat de maatregel die je te allen tijden in staat stelt om logbestanden te produceren en in te zien. Laat dit nu nét de maatregel zijn die in de praktijk vaak slecht op orde is. Uiteraard zijn ook de andere andere maatregelen uit de lijst van grote waarde, maar het is zeer verstandig om er altijd voor te zorgen dat je kunt “terugkijken”, zodat je kunt onderzoeken wat er nu precies heeft plaatsgevonden binnen je systemen. Als je vermoedt dat je gehackt bent of als je weer toegang hebt tot het systeem na bijvoorbeeld een ransomware aanval is dat toch het eerste wat je wilt onderzoeken?
Het is om die reden dat wij na afloop van onze pentesten altijd aan onze opdrachtgevers vragen of zij in hun logfiles sporen kunnen terugvinden van onze ethical hacker. Maar al te vaak krijgen we dan als antwoord dat dit niet kan. En als het wél kan, dan is het niet iets waar de organisatie structureel aandacht voor heeft. Zo was er bij een van onze opdrachtgevers een IT beheerder die op deze vraag antwoordde dat het wel kon, maar dat hij even moest zoeken hoe hij dat ook alweer kon opvragen. Toen dat eenmaal was gelukt, stonden zo’n beetje alle “seinen” op rood. Bij nader onderzoek bleek dat een aantal sporen van onze hacker inderdaad terug te vinden waren en dat dit in ieder geval een serieuze extra controle had kunnen opleveren. Belangrijk, vooral als je je realiseert dat een hacker, voordat hij echt “kwaad” kan doen, vaak enige tijd in het systeem bezig is om toegang te krijgen, te verbreden en te behouden. Zeker als het gaat om ransomware. Lukt het om de hacker “in the act” te detecteren? Dan is de kans groot dat je maatregelen kunt nemen om (verdere) schade te voorkomen. Het geregeld analyseren van je logfiles is daarmee een laagdrempelige manier om vroegtijdig hackers te detecteren.
Forensic readiness
Natuurlijk is dit ook iets wat je ook geautomatiseerd kunt laten doen, als onderdeel van netwerkmonitoring vanuit een Security Operations Centre (SOC). Deze dienstverlening, die als abonnement is af te nemen, is alleen niet voor alle organisaties een haalbare optie. Wanneer dat niet het geval is, is het van groot belang dat je eigen logging goed op orde is om dit te kunnen monitoren. Met andere woorden: dat je ervoor zorgt dat je bedrijf “forensic ready” is. Dit is dan ook de reden dat wij vaak adviseren om na een pentest ook direct de forensic readiness te checken. Bij voorkeur samen met de ethical hacker, die zijn aanvalstechnieken kan delen met de forensische onderzoeker. Op deze wijze wordt de pentest zeer effectief en kan je als opdrachtgever laagdrempelige maar effectieve maatregelen nemen.
Auteur: Maarten IJzermans, director Cybersecurity & Security Risk Management bij Hoffmann.
