.jpg)
In het interview met Gijs van der Putten en Niels van Gaal (pagina 4-9) haalden we het al kort aan: 2020 was een jaar waarin er heel wat gehackt werd. Cybercriminelen kenden een topjaar. Bij een van onze klanten – die we vanwege privacyredenen niet bij naam noemen – werden de admin credentials gestolen. De back-up van deze klant was gekoppeld aan de active directory met hetzelfde account.
Onderzoek
Wat er precies is gebeurd bij deze klant is nog niet duidelijk. Momenteel loopt er een forensisch onderzoek. We vermoeden dat de oorzaak een gelekt wachtwoord of een kwetsbaar systeem is waarin de wachtwoorden stonden opgeslagen. Hiermee zijn de admin rechten verkregen op het interne netwerk van de klant. Later bleek dat dezelfde credentials ook werden gebruikt bij het opzetten van de back-up. Hierdoor was het voor de aanvaller eenvoudiger om naast het interne netwerk ook de back-up onklaar te maken.
De klant heeft zijn datacenter compleet opnieuw moeten opbouwen. Samen zoeken we nu naar een oplossing, zodat de klant dit niet nog eens moet meemaken. We kunnen nog niet met 100% zekerheid zeggen dat thuiswerken de oorzaak is, maar het bleek dat veel systemen remote benaderbaar waren, waardoor het de kans op een breach sterk vergroot. De oplossing die we met de klant willen bespreken zal daarom te maken hebben met access management in de vorm van zero trust.
GAP Analysis
We beginnen met een GAP Analysis. Hierbij maken we een uitdraai van de huidige assets (hard- en software) en beoordelen we de huidige blauwdruk van de IT-infrastructuur. We raden hierbij ook altijd een kwetsbaarheidsscan aan binnen de DMZ, het interne netwerk en Active Directory (rechtenstructuur). Hier komen aanbevelingen uit die je dan kunt prioriteren op risiconiveau. Na het hardenen van de servers en endpoints, kunnen we kijken naar hoe de monitoring op dit moment verloopt. Vindt er voldoende logging plaats? Staat dit ergens centraal gekoppeld? Zo ja, in hoeverre wordt hier actief naar gekeken? In overleg met de klant kijken we naar zijn bezetting en bepalen we of het verstandig is dit zelf op te pakken of dat uitbesteden kostenefficiënter is.
We lopen uiteraard ook over de huidige technische controles, zoals e-mail, web, wireless, endpoint, firewall en access controls. Het is belangrijk dat deze onderdelen niet in aparte silo’s van elkaar opereren, waardoor je niet adequaat kunt handelen als er meerdere verdachte alerts per silo worden gevonden. Je wilt dit kunnen correleren in een SOAR- of XDR-systeem.
What if?
In de laatste fase is het belangrijk om de “what if” vraag te stellen. Wat als alle maatregelen onvoldoende blijken? Hoe herstel je dan zo snel mogelijk van een aanval? In overleg met de klant bepalen we dan de MTO, MTD, RTO en RPO op basis van een Business Impact Analysis. Met deze waardes in onze achterhoofd kunnen we bepalen hoe de back-up van systemen geregeld moet worden. Het liefst combineren we dit met een incident response plan zodat de medewerkers voorbereid zijn als er in toekomst een aanval zou plaatsvinden. We raden klanten ook altijd aan om een penetratietest uit te voeren op het moment dat al deze projecten tot een goed einde zijn gebracht. Hiermee kun je direct bijsturen als blijkt dat er toch nog kwetsbaarheden misbruikt kunnen worden.
Cloudapplicaties
Naast deze klant, die pech heeft gehad, hebben we de afgelopen maanden nog heel wat gevaarlijke situaties opgemerkt bij klanten. Dit heeft te maken met het thuiswerken: alles moet remote, waardoor veel interne systemen tijdelijk zijn opgezet onder het mom van productiviteit. Vaak ontbreekt er een vorm van Multifactor Authentication, waardoor bruteforcen van RDP, SSH of cloudapplicaties mogelijk is. Met deze toegang kunnen aanvallers vaak nog te veel forceren binnen het interne netwerk, omdat er te veel vertrouwen tussen systemen en applicaties is.
Dit is uiteraard handiger in beheer, maar ook makkelijker voor de aanvaller om zich vrijuit te bewegen. Hierdoor is de schade vaak ook vele malen groter dan dat er gekozen zou worden voor segmentatie.
De oplossing?
Er is niet één gouden oplossing als het op security aankomt. Dit betekent dat hoeveel investeringen je ook doet, een aanvaller altijd binnen kan komen als hij er genoeg tijd en geld in pompt. Wat in onze optiek helpt is om de toegang tot applicaties te voorzien van Multifactor Authentication. Hierdoor kun je naast het wachtwoord ook andere elementen bekijken zoals vanaf welke locatie medewerkers inloggen, met welke browserversie en nog veel meer.
Faciliteer daarnaast je thuiswerkers. Je merkt dat veel medewerkers uitwijken naar onbeheerde en ongeautoriseerde cloudapplicaties waar bedrijfsdata op gehost staat. Je weet niet wat er met deze data gebeurt. Daarnaast kan het zijn dat medewerkers hun eigen computer gebruiken voor werkzaamheden. Deze zijn vaak onbeheerd, waardoor je niet weet welke data hier op staat, terwijl het wel een toegangspunt vormt tot je datacenter.
Kevin van Houtum
