Met 2021 achter ons kunnen we terugblikken op een jaar vol grote ransomware-aanvallen. Zo kwamen er behoorlijk veel beveiligingskwetsbaarheden aan het licht die vrijwel direct actief misbruikt werden door hackers, de zogenoemde zero day’s. Denk aan de diverse lekken in Exchange die werden gedetecteerd in maart en in april, maar ook zelfs nog in augustus. Opzienbarend uiteraard vanwege het grootschalige gebruik van de Exchange-servers wereldwijd. Hackers konden via de kwetsbaarheden urenlang rondneuzen in bestanden van talloze organisaties en middels software die bestanden gijzelen, met alle gevolgen van dien zo schrijft Erik Westhovens, CSI Security Architect & Evangelist bij Insight in deze blog.
En vlak voor de feestdagen was Apache Log4j groot in het nieuws. Het veelgebruikte stukje software in webservers bevatte een ernstige kwetsbaarheid. Patchen was de oplossing, maar omdat veel organisaties niet eens wisten dat ze überhaupt gevaar liepen, bleek het een ideale methode te zijn om systemen lam te leggen en met ransomware te encrypten. En laten we ook PrintNightmare niet vergeten; een zero day die heel makkelijk te misbruiken bleek - en zelfs een privilege escalation-methode voor Active Directory - waardoor hackers in luttele seconden full administrator rechten konden verkrijgen.
Patchen niet genoeg
Hackers en ransomware-aanvallers krijgen dagelijks de nieuwe methodes bijna in de schoot geworpen. Toen in maart de Exchange-kwetsbaarheden bekend werden en de patches beschikbaar kwamen bleken honderden omgevingen al te zijn gehackt. Het werd en wordt voor bedrijven dan ook steeds belangrijker om patches niet uit te stellen en maatregelen te nemen om snel in te kunnen grijpen als het dan toch mis gaat. Bedenk dat waar de IT-afdeling het hele fort moet bewaken, de aanvaller maar een klein gaatje nodig heeft. Een vergeten server die niet is gepatcht, een zero day waar nog geen patches voor zijn, of een bedrijf dat 24/7 operationeel is en de ‘maintenance windows’ niet kan of wil inplannen. Maar als de klok slaat, dan ben je vaak al te laat. Ik heb dat het afgelopen jaar helaas meerdere keren van dichtbij kunnen meemaken.
Dit zal in 2022 niet anders zijn, sterker nog we verwachten dat het dit jaar nog veel erger zal worden. Bedrijven worden tot het uiterste gepusht om de boel dusdanig dicht te timmeren om ransomware-aanvallen af te kunnen slaan. Maar hoe? Dat is de beste vraag die je je kan stellen. “Hoe kan ik mijn omgeving het beste beschermen tegen iets dat ik op dat moment nog niet weet?” Ik weet het, het is een ontzettend lastige vraag, waar niet zo 1-2-3 een antwoord op is.
Van protectie naar detectie
Ben je dan compleet weerloos tegen dit soort aanvallers? Wat mij betreft niet. Maar daar waar veel bedrijven zijn ingesteld op protectie, zou de focus meer moeten komen te liggen op detectie. Op kantoor werken de meesten achter een goed geconfigureerde firewall. Maar velen van ons werken inmiddels zo’n twee jaar thuis en dat doen we niet meer achter diezelfde firewall. De meeste IT-afdelingen hebben er de handen aan vol gehad om het netwerk extra te beschermen. Ze moesten zien te voorkomen dat de devices die bij de mensen thuis besmet raken, de besmetting vervolgens niet via een VPN-verbinding of bij terugkomst op kantoor (achter die goed geconfigureerde firewall) konden doorgeven aan het netwerk. We weten dat protectie heel belangrijk is, maar het biedt onvoldoende bescherming tegen aanvallers die zero days gebruiken of thuis devices aanvallen.
Met detectie-tooling accepteer je dat aanvallers je netwerk kunnen hacken, maar zet je dus tooling in om de aanvallers op tijd te detecteren en ze vervolgens de pas af te snijden. Dat detecteren gebeurt op meerdere vlakken. Zo probeert het geplaatste ransomware mogelijkheden te vinden om hogere account-privileges te verkrijgen. Worden dergelijke bewegingen waargenomen, dan wordt het account afschermt. Door het inzetten van tweefactorauthenticatie is het verhogen van de privileges al een stuk moeilijker, tel daar laterale bewegingsdetectie bij op en je maakt het hackers echt knap lastig. Ze de toegang onmogelijk maken kan niet, maar direct detecteren en daarop kunnen acteren is dat wel. Die laterale detectie registreert namelijk ook nog eens de (zoek)bewegingen van de ene naar de andere server. Ook kunnen we registeren of een device ‘onverwacht’ een taak of programma probeert uit te voeren. Dit zien we veel bij phishing. Om dergelijke detectie goed te kunnen doen heb je tooling nodig met Artificial Intelligence en Machine Learning. Die maken een baseline van wat normaal gedrag is binnen een omgeving, om zo vervolgens afwijkingen op te kunnen sporen. Bij alle verdachte bewegingen zorgt de tooling ervoor dat de actie of het device wordt gestopt of geïsoleerd. Dit klinkt toch als muziek in de oren?
Het is inmiddels eind januari, dus laten we de goede voornemens direct skippen. Zorg gewoon dat je dit soort tooling in huis haalt, dan zet ransomware alleen 2022 op zijn kop en niet jouw organisatie.
erik.westhovens@insight.com / 06 3398 8186
