"Hoe eerder je verdachte activiteit opmerkt, hoe groter de kans dat de schade relatief beperkt blijft."

Wie het nieuws enigszins volgt, kan de afgelopen weken de wereldwijde ransomware-aanval op de Amerikaanse softwareleverancier Kaseya nauwelijks zijn ontgaan. Na deze aanval door Russische hackers werden wereldwijd honderden bedrijven die gebruikmaken van Kaseya-software getroffen. Dat gebeurde ook in Nederland, waar technisch dienstverlener Hoppenbrouwers uit Udenhout de schade gelukkig wist te beperken dankzij snelle detectie en adequaat ingrijpen. Recent legde hetzelfde Russische hackerscollectief dat achter de Kaseya-aanval zit, de Braziliaanse vleesgigant JBS plat. En begin dit jaar vond er een grootschalige aanval plaats via het Amerikaanse techbedrijf SolarWinds, waardoor wereldwijd honderden bedrijven en overheidsinstellingen schade opliepen.

In dat laatstgenoemde geval was het voornaamste doel cyberspionage, maar vaker nog wordt er ‘losgeld’ gevraagd. In het geval van ransomware wordt data versleuteld en pas na betaling van losgeld weer vrijgegeven; een groeiend probleem, zoals ook de bovenstaande voorbeelden laten zien. De bedragen die worden gevraagd kunnen daarbij flink oplopen. Zo eisten de hackers bij de aanval op Kaseya een bedrag van zeventig miljoen dollar aan cryptomunten, in ruil voor een universele sleutel waarmee de versleutelde data weer hersteld zouden kunnen worden. En vleesverwerker JBS betaalde het hackerscollectief uiteindelijk 9 miljoen euro in ruil voor ‘verlossing’.

Via de achterdeur
Hackers worden hierbij steeds inventiever. Regelmatig komen schadelijke virussen en andere malware niet langer via de voordeur het netwerk binnen, maar via achterdeurtjes die in eerste instantie vaak nauwelijks opvallen. Zo wordt malware steeds vaker zó geprogrammeerd, dat virussen en andere ongewenste indringers pas actief worden nadat ze al een tijdje binnen zijn – in eerste instantie onopgemerkt door de anti-malwareoplossing aan de voorkant. Een goed voorbeeld is de SolarWinds-aanval, waarbij de hackers malware wisten toe te voegen aan de netwerkbeheersoftware van dat bedrijf. En ook in het geval van Kaseya maakten de hackers gebruik van zwakke plekken in de beheersoftware van het bedrijf. In beide gevallen bleek het genoeg om grote schade aan te richten. Maar ook phishing-methodes – waarbij medewerkers bijvoorbeeld worden verleid om een bijlage bij een e-mail te openen of op een verdachte link te klikken – worden voortdurend geavanceerder. Steeds vaker zijn nepmails bijvoorbeeld nauwelijks van echt te onderscheiden.

Technische oplossingen
Natuurlijk begint de bescherming van je netwerk bij bewustwording. Als medewerkers weten wat de gevaren zijn, regelmatig getraind worden op security awareness en risico’s leren herkennen, verkleint dat de kans dat hackers daadwerkelijk weten binnen te dringen. Maar ook technische oplossingen spelen vanzelfsprekend een grote rol binnen IT-security. Sterker nog: met een ‘gewone’ anti-malwareoplossing – die virussen en andere ongewenste indringers buiten de deur dient te houden – ben je er tegenwoordig vaak niet meer. Juist nu hackers zoals gezegd steeds inventiever en brutaler worden en je netwerk op slinkse wijze alsnog binnendringen, is er meer voor nodig om je bedrijfssystemen veilig te houden.

Afwijkingen detecteren
Niet voor niets kiezen steeds meer organisaties voor een zogenoemde Endpoint Detection & Response-oplossing (EDR). Conventionele anti-malwareoplossingen werken op basis van voortdurend geactualiseerde lijsten (ook wel bekend als handtekeningen), waarop alle op dat moment bekende virussen en andere bedreigingen staan. In die zin zijn ze vergelijkbaar met de uitsmijter van een grote discotheek, die van elke bezoeker aan de deur controleert of hij of zij naar binnen mag op basis van een signalement of foto.

Het grootste probleem met dit soort lijsten is dat ze nooit 100 procent volledig kunnen zijn; er komen immers voortdurend (en steeds sneller) nieuwe bedreigingen bij. In die zin loopt een antimalware-oplossing per definitie iets achter de feiten aan. Natuurlijk, technieken zijn de afgelopen jaren sterk verbeterd. Dankzij kunstmatige intelligentie is antimalware-software steeds beter in staat om te ‘voorspellen’ welke bestanden kwaadaardig zijn. Maar de daadwerkelijke controle wordt pas gedaan bij het lezen of schrijven van het bestand. EDR werkt daarom anders. De basis voor bescherming wordt niet gevormd door lijsten met op dat moment bekende bedreigingen, maar door continue monitoring op verdachte activiteit. Bij EDR wordt het netwerk 24/7 gemonitord op afwijkingen, op het niveau van individuele endpoints (zoals pc’s, servers en mobiele apparaten). Detecteert het systeem iets afwijkends? Zoals inlogpogingen op ongewone tijdstippen, gebruikers die meerdere verzoeken tegelijk indienen, of een ongebruikelijke hoeveelheid downloads in korte tijd? Dan wordt het betreffende endpoint meteen geïsoleerd van de rest van het netwerk. Daardoor krijgt eventuele malware niet de kans om over te springen en schade te veroorzaken in de rest van het netwerk.

Om ook hier weer de vergelijking met de discotheek te maken: soms smokkelen bezoekers verboden items mee naar binnen. Of ze omzeilen de controle aan de deur door via de nooduitgang of het toiletraampje naar binnen te glippen. De uitsmijter kan op dat moment weinig meer uitrichten. EDR is daarom eerder te vergelijken met een slim camerasysteem, dat voortdurend in de gaten houdt of bezoekers zich (ook als ze eenmaal binnen zijn) verdacht gedragen. Hangt een bezoeker bijvoorbeeld steeds rond bij de kassa’s? Of houdt een bezoeker zijn jas aan? Dan is dat reden voor een extra inspectie.

Zelflerende oplossing
Voordeel van EDR ten opzichte van conventionele anti-malwareoplossingen is dat ook indringers die al binnen zijn, snel kunnen worden opgemerkt. Bovendien is EDR een ‘slimme’, zelflerende oplossing, waarbij de verzamelde monitoringdata wordt bewaard en gebruikt om (tijdens een zogenoemde forensische analyse) terug te kijken: waar en hoe ging het precies mis? Op die manier heeft EDR verdachte activiteit steeds sneller ‘in de smiezen’ en kunnen toekomstige hackpogingen steeds beter worden verijdeld voordat ze grote schade aanrichten.

Schade beperken
Als de recente incidenten iets laten zien, is het dat IT-security allang geen bijzaak meer is. Hackers worden inventiever, de losgeldbedragen die gemoeid zijn met ransomware groter, en ook ‘gewone’ Nederlandse MKB’ers kunnen (zoals het voorbeeld van Hoppenbrouwers Techniek laat zien) te maken krijgen met buitenlandse hackers. Des te meer reden om kritisch te kijken naar je eigen beveiligingsniveau en zo nodig te investeren in endpoint-beveiliging en snelle detectie. Want hoe eerder je verdachte activiteit opmerkt, hoe groter de kans dat de schade relatief beperkt blijft.

Reno van der Looij
Sales Manager