Column


Column Jeroen Veraart

Externe dreiging wandelt naar binnen

Wereldwijd wordt waargenomen dat de hoeveelheid aanvallen door cybercriminelen enorm is toegenomen. Wat we ook waarnemen, is dat organisaties dagelijks met honderden en vaak zelfs duizenden ‘ransomwareberichten’ worden bestookt. Dit wordt onder andere bevestigd door de FBI en Verizon. Deze e-mailberichten zijn voorzien van een zogenaamde payload (malafide bijlage) die het doel heeft om bestanden te versleutelen op het systeem van de onwetende gebruikers.

Iedereen wordt aangevallen
Er lijkt geen onderscheid te zijn in de verschillende typen bedrijven of organisaties die aangevallen worden. De cybercriminelen kunnen steeds makkelijker beschikken over grote databases met miljoenen e-mailadressen. Deze zijn eenvoudig te verkrijgen op het dark web, zeg maar de onderwereld van het internet zoals we dat kennen. Dat zijn meestal dezelfde e-mailadressen die gebruikt worden voor het versturen van ordinaire spam. Een groot percentage van de e-mailadressen bestaat helemaal niet meer. Dat zal de cybercrimineel een worst zijn, de aantallen adressen zijn ondertussen zo groot dat voldoende berichten toch bezorgd kunnen worden.

Massa-aanval of gericht?
Dan is er nog het fenomeen van de zogenaamde spear phishing. Dat zijn zeer gerichte aanvallen waarbij op voorhand informatie wordt verzameld door de cybercriminelen. Door van deze gerichte informatie gebruik te maken, is het mogelijk om een aanval te plegen die niet direct wordt opgemerkt. Voor ransomware-aanvallen is het echter totaal niet van belang om van deze aanvullende aanvallen gebruik te maken. Ook daar zien we nu wel langzamerhand een verandering optreden. Recentelijk is een aantal ziekenhuizen aangevallen met ransomware. In die gevallen was het wel een gerichte aanval. Het losgeld was daar dan ook vele malen hoger in vergelijking met de massa-aanvallen die nog steeds de overhand hebben.

Hoe is het mogelijk!
Iedere keer dat een organisatie inzicht krijgt in een ransomware-aanval is de eerste reactie: ‘Hoe is het mogelijk, je klikt toch niet op dat linkje? Of je opent toch niet zo een vreemde bijlage?’ Maar iedere keer moet ik uitleggen dat er in ieder bedrijf een ‘altijd klikker’ werkt. Er is altijd wel iemand die er (per ongeluk) in trapt. En daar moet je absoluut rekening mee houden. Je kunt niet hard maken dat je met voldoende bewustwording dit fenomeen de baas kunt worden. Ik heb voorbeelden gezien waarin professionele beheerders ondanks hun kennis en kunde toch in de fout gaan. Het is dus van belang om naast preventie en detectie ook de response goed ingericht te hebben.

En de juiste verdediging is?
Zoals bij praktisch alle maatregelen op het gebied van informatiebeveiliging zijn drie zaken van belang: techniek, processen en mensen. Bij de mensen gaat het naast bewustwording ook om voldoende kennis en kunde wanneer er gehandeld moet worden. Om de techniek en de mensen samen te laten werken, zijn processen onontbeerlijk.

Mooie woorden maar wat betekent dat nu in de praktijk? In de praktijk betekent dit dat je onder andere moet zorgen voor:

  • meerdere lagen in de verdediging. De huidige Next Generation Firewalls bieden meerdere mogelijkheden zoals het detecteren van malafide netwerkverkeer (waaronder ook ransomwareverkeer) maar ook het testen van bijlages in e-mailberichten door middel van ‘sandboxing’ (het testen van bestanden op fout gedrag).
  • specifieke e-mailcontroles, waar mogelijk gecombineerd met een webproxy. De e-mailcontroles kunnen ervoor zorgen dat spam wordt tegengehouden, maar in het geval van ransomware is ook de viruscheck van cruciaal belang.

Snelheid
De afgelopen maanden heb ik meer dan eens een typische ‘zero-day’-aanval voorbij zien komen. Dat betekende dat de malafide payload slechts enkele uren voor de aanval was geprepareerd. Hierdoor wordt deze niet opgemerkt in de eerste fase van een aanval. Slimme criminelen houden ook al rekening met de inzet van sandboxingtechnieken door niet meteen de aanval in te zetten, maar pas na verloop van tijd.

Door gebruik te maken van cloudgebaseerde oplossingen kan de snelheid van detectie echter flink omhoog. Niet lang geleden was het voldoende om iedere paar uur een update te ontvangen voor detectie van de laatste gevaren. Dat is nu niet snel genoeg meer. Zodra ergens ter wereld malware zoals ransomware wordt ontdekt, dan moet iedereen zo snel mogelijk gebruik kunnen maken van de detectie. Zonder enige vertraging.


Lees meer over