-

Vijf strategische punten voor cyberweerbaarheid: ga ervanuit dat het een keer misgaat

Hoe digitaler onze wereld wordt, hoe meer aanvalsterrein er ontstaat voor cyberaanvallen. Het is onvermijdelijk dat jouw organisatie ook een keer het slachtoffer wordt. Die kans verkleinen kan natuurlijk wel. En wanneer het toch misgaat: zorg dat je concrete plannen paraat hebt.

Cyberaanvallers treffen steeds vaker doel. Zo blijkt uit het tweede Microsoft Digital Defense Report dat de effectiviteit van aanvallen in een jaar tijd is gestegen van 21 naar 32 procent. Zijn de pijlen gericht op een organisatie, dan is in bijna de helft van de gevallen de overheidssector het doelwit.

Lek in Apache Log4j

Hoe verhogen we de weerbaarheid tegen cyberaanvallen? Eind 2021 was het ‘code rood’ bij veel IT-afdelingen. Ze namen het in een race tegen de klok op tegen cybercriminelen die lucht hadden gekregen van een lek in Apache Log4j, een Java-logtool die wordt gebruikt om logs bij te houden van webservers. Die cybercriminelen konden via dit Log4Shell-lek bijvoorbeeld ransomware installeren op kwetsbare systemen, of deze systemen misbruiken voor het mijnen van cryptomunten. Het dringende advies aan organisaties met kwetsbare systemen was om de beschikbare patch zo snel mogelijk te installeren.

Op het moment dat de kwetsbaarheid bekend werd krioelde het op internet namelijk al van de bots waarmee cybercriminelen kunnen testen of organisaties en bedrijven het Log4Shell-lek al hebben gedicht. De kwetsbare Log4j-code zit in meer dan duizend bekende applicaties van leveranciers zoals SAP en Oracle maar ook in consumententoepassingen zoals Netflix en Minecraft. Iedere seconde telde dus.

Vertrouwen is cruciaal

Het maakt wel duidelijk dat organisaties nauwelijks de tijd hebben om te reageren op het moment dat een kwetsbaarheid in systemen of software aan het licht komt. Terwijl te laat reageren ernstige gevolgen kan hebben, zoals de versleuteling van gevoelige gegevens door gijzelsoftware. Niet voor niets dat onder andere de gemeenten Almere en Hof van Twente en de Kamer van Koophandel systemen preventief offline haalden toen het lek aan het licht kwam.

Een te late reactie kan ook het vertrouwen schaden dat burgers en ondernemers hebben in de communicatie met de overheid, of in de administratie van de overheid. Stel dat de administratie van de CoronaCheck-app niet goed functioneert. Dat heeft direct gevolgen voor het vertrouwen tussen de overheid en de burger die onterecht de toegang wordt ontzegd tot een pretpark of restaurant.

Digitale weerbaarheid

Voldoende weerbaarheid tegen een cyberaanval is cruciaal voor onze samenleving. Denk behalve communicatie tussen burger en overheid ook aan de betrouwbaarheid van de IT rondom de vitale processen zoals drinkwater en elektriciteit. Cybercriminelen weten dat. Ze doen er alles aan om dat vertrouwen te schaden door voor eigen gewin misbruik te maken van de IT van de overheid en aanvallen uit te voeren die de maatschappij op steeds grotere schaal ontwrichten.

Digitale weerbaarheid tegen cyberaanvallen is dan ook een belangrijk onderwerp, onder andere in de Nederlandse Cybersecurity Agenda. “Weerbare digitale processen en een robuuste infrastructuur” vormen een van de zeven ambities die hierin staan omschreven. Maar wat is er nodig voor die cyber resilience? Onder andere deze vijf punten zijn daarvoor belangrijk:

1. Beter samenwerken aan cyberveiligheid

Aanvallen vinden bijna nooit geïsoleerd plaats. Een aanval op ‘organisatie A’ is vaak een voorbode van aanvallen op soortgelijke organisaties, en heeft doorgaans ook gevolgen voor partijen waarmee wordt samengewerkt. Door lokaal, nationaal en zelfs internationaal samen te werken en actief informatie te delen, kan iedereen zich beter voorbereiden op wat komen gaat.

Deze samenwerking wordt ook benoemd in het regeerakkoord waarmee Rutte IV aan de slag is gegaan: “We beschermen onze bedrijven, vitale infrastructuur en economisch kapitaal beter door centraal gecoördineerde structurele samenwerking tussen onder andere het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC), overheden, bedrijven en wetenschappers. Zij kunnen sneller en makkelijker informatie delen over digitale kwetsbaarheden en hacks”.

Een mooi voorbeeld van samenwerking is de manier waarop onder andere spoorwegbedrijven zich in Europees verband hebben verenigd in een Information Sharing and Analysis Center (ISAC). Hier wordt sectorspecifieke informatie over incidenten, bedreigingen en risico’s op een internationaal niveau met elkaar gedeeld. Die internationale benadering is belangrijk, omdat cybercriminaliteit ook internationaal is georganiseerd. Het hebben van een samenwerkingsverband opent ook weer deuren. Zo is het de ambitie van het NCSC en het DTC om samenwerkingsverbanden met dezelfde uitdaging met elkaar te verbinden. Op die manier kan relevante informatie uit de ene sector snel en efficiënt worden gedeeld met de andere sector.

2. Meer aandacht voor detectie

Cybercriminelen slagen er na een digitale inbraak in om soms maandenlang onder de radar te blijven: tijd genoeg om het netwerk in kaart te brengen en de waardevolle data naar buiten te sluizen. of om in alle rust malware te installeren. Zo is de vrees dat we de komende maanden de gevolgen van het Log4Shell-lek nog moeten gaan zien, op het moment dat indringers na een verkenningsperiode tot actie overgaan.

Een vroegtijdige detectie van een digitale inbraak is dus cruciaal, zodat hierop kan worden gereageerd met tegenmaatregelen. Managed Detection and Response (MDR) kan hier bijvoorbeeld bij helpen. Maar een snelle detectie kan alleen als er een goed beeld is van de aanwezige assets en de kwetsbaarheden daarin. Als je niet weet wat je hebt, weet je ook niet wat je moet beschermen. Voor een effectieve detectie zijn asset-management en vulnerability-management onmisbaar.

Detectie gaat bovendien verder dan het vroegtijdig signaleren van een initiële digitale inbraak. De focus moet ook liggen op het signaleren van door- en uitbraken. Een crimineel – eenmaal binnen – zal pogen onder de radar van de monitoring te blijven en tegelijkertijd door te breken door hoge privileges op het netwerk of systeem te verkrijgen. Detectie moet daarom nog fijnmaziger worden ingeregeld, met focus op doorbraak.

3. Security automatiseren

De dreiging van cybercriminelen neemt toe. Dat komt onder andere door het groeiende aanvalsoppervlak. Steeds meer zaken worden digitaal afgehandeld, waardoor cybercriminelen meer mogelijkheden krijgen om een organisatie aan te vallen. Maar ze krijgen daarbij ook de hulp van kunstmatige intelligentie (AI) en machine learning. Cybercriminelen hebben niet alleen vrijwel onbeperkt de tijd en geld, maar scannen nu ook met ‘zelflerende’ tools het internet zonder dat ze daarbij zelf fouten kunnen maken.

Om niet achterop te raken, zal ook de verdediging de stap moeten zetten naar AI en machine learning. Bijvoorbeeld door het in kaart brengen van de assets en het signaleren van kwetsbaarheden op bekende assets volledig te automatiseren. Maar denk ook aan het signaleren en automatisch afweren van verdachte situaties. De onderschepping van een phishingmail leidt dan automatisch tot het verwijderen van dezelfde mail uit alle mailboxen en een update van de firewallregels, en dat het liefst voor meerdere organisaties tegelijk. En dat allemaal ‘onzichtbaar’ voor de gebruikers. Security Orchestration, Automation & Response (SOAR)-tooling is een stap in die richting.

4. Focus op herstel

In een beveiligingsbeleid gaat meestal veel aandacht uit naar het voorkomen en detecteren van beveiligingsincidenten, en naar incident-respons. Doorgaans is er minder aandacht voor het herstel na een incident, zoals een gijzeling van data door gijzelsoftware, terwijl iedere organisatie vroeg of laat slachtoffer zal zijn van een cyberaanval. Hoeveel beschermende maatregelen een organisatie ook treft: het gaat een keer mis. Assume breach: accepteer dat hackers altijd toe kunnen slaan, en zorg dat de organisatie in staat is om snel van een aanval te herstellen. Want ook dan telt iedere seconde.

In een herstelplan moet onder andere aandacht zijn voor het maken en regelmatig testen van de back-ups en het snel kunnen terugzetten van de data, voor de (telefonische) bereikbaarheid tijdens een aanval en voor de verdeling van de taken. Wie neemt contact op met leveranciers? Wie zet de back-ups terug? Wie staat klanten te woord? Hoe lang duurt het voordat een systeem weer up and running is? En welke systemen krijgen prioriteit? Het zijn slecht enkele punten die naar voren moeten komen in een Business Continuity Plan. Zorg er ook voor dat dat plan is in te zien als de IT niet beschikbaar is. Een ouderwets en tijdig gemaakt printje kan dan uitkomst bieden.

5. Urgentie creëren

Security is niet vrijblijvend. Zo stelt de Baseline Informatiebeveiliging Overheid (BIO pdf) het maken van back-ups, bescherming tegen malware en het patchen van kwetsbaarheden verplicht. In het geval van als kritiek gekwalificeerde kwetsbaarheden worden patches “zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd”. “In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen”, zo staat in de BIO.

Amerikaanse (federale) overheidsinstanties hebben te maken met een vergelijkbare verplichting. In november 2021 vaardigde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een “verplichte instructie’” uit, de Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities. Volgens deze richtlijn moeten federale overheidsinstanties ernstige kwetsbaarheden binnen twee weken patchen. CISA houdt als onderdeel van de instructies een catalogus bij met bekende kwetsbaarheden.

Op de naleving van geldende verplichtingen mag best enige druk worden uitgeoefend, zoals de Amerikaanse toezichthouder Federal Trade Commission (FTC) onlangs deed op bedrijven die onvoldoende haast maken met het dichten van de Log4j-kwetsbaarheid. De bijna agressieve waarschuwing van de Federal Trade Commision (FTC) was duidelijk: “The FTC intends to use its full legal authority to pursue companies that fail to take reasonable steps to protect consumer data from exposure as a result of Log4j, or similar known vulnerabilities in the future”.

Over de auteur: Aksel Dorèl is Head of digital security Nederland bij Atos.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond