Blog Daan Keuper
Cyber-aanval voorkomen? Focus je op de voorbereiding
Je bedrijf beschermen tegen een online aanval is een noodzakelijk kwaad in deze tijd waarin ondernemers steeds vaker slachtoffer zijn van cyber-aanvallen. Toch ben je er daarmee nog niet, schrijft cybersecurity-expert Daan Keuper in zijn eerste blog voor De Ondernemer. De meeste ondernemers vergeten een goed systeem in te richten voor als ze zijn aangevallen, Keuper legt de noodzaak uit én hoe je een goede voorbereiding treft op een cyber-aanval.
Afbeelding: Shutterstock.
Daan Keuper
Security-expert
Daan Keuper is security-expert, ethical hacker en hoofd van Sector 7, de research-divisie van Computest waar diepgaand technisch onderzoek wordt gedaan naar kwetsbaarheden. Daan won al drie keer de internationale hack competitie Pwn2Own door Zoom te hacken, een iPhone 4S te kraken en kwetsbaarheden in industriële systemen aan te tonen. Ook legde hij kwetsbaarheden bloot bij de Volkswagen Groep. Vanuit zijn kennis en praktijkervaring weet Daan welke (interne en externe) kwetsbaarheden het grootste gevaar vormen voor organisaties en de maatschappij en heeft hij een duidelijke mening over hoe hiermee zou moeten worden omgegaan.
Iedereen is inmiddels wel bekend met de uitspraak dat je je niet af hoeft te vragen of je getroffen wordt door een security-incident, maar wanneer. Toch zie ik in de praktijk dat bedrijven hun pijlen, middelen en tijd vooral richten op het voorkomen ervan. Als het moment daar is dat hackers toch een zwakke plek gevonden hebben en ‘binnen zijn’ staan ze met hun rug tegen de muur. Hoe kunnen je hier als organisatie nu wel effectief mee omgaan? En hoe zorg je dat er zowel technisch als organisatorisch een goed plan ligt zodat je bedrijf, ondanks de aanval door kan blijven draaien?
Een security-incident oplossen en afhandelen kost veel tijd. In de paniek die doorgaans ontstaat worden niet de beste keuzes gemaakt en acties ondernomen. Een goed doordacht business continuity plan waarbij zowel de organisatorische als de technische aspecten zijn beschreven, kan hier een groot verschil maken.
Lees ook: Aantal datalekken door cyberaanvallen fors omhoog: 'Ook zzp'ers lopen steeds groter risico'
Wat moet je organisatorisch regelen?
De eerste vraag die gesteld moet worden als je aan de slag gaat met een incident response plan is: hoe kom je te weten dat er een security-incident plaatsvindt of heeft plaatsgevonden? Weten medewerkers bijvoorbeeld bij wie ze verdacht gedrag moeten melden? Wat gebeurt er als die persoon op vakantie is, wie is de backup? Ook moet duidelijk zijn wie gaat bepalen hoe groot het incident is en wie daarna de leiding neemt?
Een security-incident raakt vaak meer dan één partij. Welke toeleveranciers zijn er die via jouw systemen geraakt kunnen worden en andersom? Wanneer moeten zij bij een incident betrokken worden en via welke contactpersonen? Als je getroffen wordt is het fijn als je ook snel kunt schakelen om andere systemen veilig te stellen. Breng daarvoor in kaart hoe de contracten met je werkplekbeheerder of partij die applicaties ontwikkelt eruit zien. Kun je deze ook ‘s avonds of ‘s nachts bereiken als je vermoed dat er klantdata is ontvreemd, of worden strikt kantoortijden gehanteerd?
Verder moet duidelijk zijn wat je aan wie gaat communiceren over het incident en wie dat gaat doen. Hoe ziet de workflow eruit in de communicatie aan klanten, medewerkers en media? En moet je altijd de Autoriteit Persoonsgegevens inschakelen als er persoonsgegevens op straat liggen? Door dit helder te hebben en vast te leggen in een plan ben je organisatorisch beter voorbereid op een security-incident. Het klinkt old school, maar het is essentieel om dit plan ook te printen. Als je systemen zijn overgenomen heb je immers ook geen toegang meer tot je documenten en contactgegevens.
Hoe bereid je je op technisch gebied voor?
Zoals gezegd is het volledig voorkomen van een incident vrijwel onmogelijk. Dit maakt het des te belangrijker dat je deze wel snel kunt detecteren zodat de impact beperkt kan worden. Je kunt bijvoorbeeld technische maatregelen treffen waardoor je automatisch een melding krijgt als er:
- een nieuw beheerdersaccount voor je netwerk voor aangemaakt
- het wachtwoord van de beheerder wordt aangepast
- er vanuit het buitenland op een systeem wordt ingelogd
- een gebruiker inlogt op een systeem dat hij nooit gebruikt
- de antivirussoftware wordt uitgezet
Voor al deze scenario’s kun je in kaart brengen welke stappen je moet ondernemen als dit gebeurt. Als organisaties ontdekken dat ze zijn gehackt zijn de aanvallers vaak al even binnen. Om de schade te beperken en er uiteindelijk van verzekerd te zijn dat de aanvallers je netwerk daadwerkelijk hebben verlaten, is het zaak dat je snel de situatie kunt analyseren en weet hoe je de betreffende systemen zo snel mogelijk isoleert.
Lees ook: Crisis? Zo houd je het hoofd koel bij paniek in je bedrijf en voorkom je erger
Vervolgens moet de toegang tot het netwerk afgesloten worden en de gecompromitteerde machines opnieuw worden ingesteld. Hierbij moet een security-expert zeer grondig te werk gaan. Het is niet handig om simpelweg een gehackte laptop weg te gooien, omdat je zo ook sporen kwijtraakt die nog niet zijn onderzocht. Ook wil je voorkomen dat je één laptop vervangt en de hacker nog toegang heeft tot tien andere laptops.
Technische analyse en sporenonderzoek
Ik ervaar dat als wij worden ingeschakeld bij een security-incident, het eigenlijke incident al maanden daarvoor heeft plaatsgevonden of is gestart. Dit betekent ook dat er nog maar weinig opties zijn voor een technische analyse van de situatie of voor een sporenonderzoek. Logberichten, je primaire informatiebron, bestaan vaak al niet meer omdat ze bijvoorbeeld maar 30 dagen worden bewaard. Om je beter voor te bereiden op een incident helpt het ook ervoor te zorgen dat er een centrale plek is waar al je logberichten samenkomen en dat deze minimaal 90 dagen - of het liefst nog langer - worden bewaard. Dit heeft voor het onderzoek naar het incident grote meerwaarde.
"Ik ervaar dat als wij worden ingeschakeld bij een security-incident, het eigenlijke incident al maanden daarvoor heeft plaatsgevonden of is gestart"
Backups veilig stellen
Een andere cruciale factor om de impact van een security-incident te beperken, is de manier waarop organisaties hun backups hebben ingericht. Kunnen deze eenvoudig worden hersteld? En welke onderlinge afhankelijkheden zijn er? Ik zie vaak dat backups ook met het bedrijfsnetwerk zijn verbonden. Dit betekent dat de aanvaller die toegang heeft tot het netwerk ook je backups kan versleutelen of verwijderen.
De beste manier om je backups veilig te stellen is om een kopie te bewaren op een fysieke plek waar aanvallers niet bij kunnen. Daarnaast is het belangrijk een goede backup-frequentie te hebben. Soms blijkt de enige backup een week of zelfs een maand oud te zijn. Voor de meeste bedrijven is dit in het geval van een security-incident rampzalig. Als het een ransomware-aanval betreft, is betalen dan vaak de enige optie die je hebt om data terug te krijgen zodat de bedrijfsactiviteiten weer hervat kunnen worden.
Cyberincident regelmatig simuleren
Om te controleren of je plan technisch en organisatorisch goed werkt, is het raadzaam regelmatig een simulatie te doen. De meeste bedrijven doen netjes periodiek een brandoefening, maar een cybersecurity-incident worden zelden nagebootst terwijl de kans hierop groter is. Als je minimaal één keer jaar een dergelijke crisis simuleert ontdek je al snel waar zich de pijnpunten bevinden, welke aannames er leven bij onder meer medewerkers en leveranciers en waar de gaten zitten in je incident response plan. Als je een aantal keer zo’n incident hebt geoefend kun je bovendien makkelijker bepalen welke technische maatregelen je moet treffen. Met al deze inzichten en voorbereiding kun je de impact van een security-incident weliswaar niet ‘genezen’, maar wel aanzienlijk verkleinen.
