Tegengaan van ransomware
10 aanbevelingen
Ransomware is voor iedere organisatie een potentiële nachtmerrie. Het is aan de CIO om voor een gedegen inrichting en beveiliging van het IT-landschap zorg te dragen. Er zijn vragen van anderen, vanuit bestuur of directie en bij audits. Er zijn tips en tricks over cyber security. Echter, dat dekt niet de onderwerpen waar ik de aandacht naar uit zou willen laten gaan. Tien aanbevelingen vanuit het gezichtspunt van de CIO ter inspiratie.
1. Manage de data
Hoe meer data er in een organisatie rondzwerft hoe moeilijker en kostbaarder het is om al die data goed te beheren en back ups te verzorgen. Een databeleid waarbij een onderscheid wordt gemaakt tussen 'echt belangrijke data' en 'de rest' met een verschillend regime voor garantie en herstel maakt een groot verschil.
Veel organisaties lijden onder een ware data-tsunami. Het uitbreiden van capaciteit is gemakkelijk, opruimen is tijdrovend en niet leuk om te doen.
2. Zet in op herstelvermogen
Als duizend notebooks zijn gecompromitteerd, hoe snel kun je nieuwe images uitrollen? Tegen welke andere problemen loop je aan? Doe je dit in huis of besteed je dit uit? In essentie is het niet ingewikkeld: een paar file servers, enkele switches en een krat netwerkkabel en verdeeldozen. Aangevuld met voorbereiding en periodiek oefenen.
3. Gebruik een deployment pijplijn voor alle software
Herstel geen besturingssytemen en applicaties vanuit back ups. Dit omdat malware zo opnieuw in het netwerk kan worden geïntroduceerd. Malware kan slapend aanwezig zijn in back ups van maanden terug. Bouw de omgeving opnieuw op vanuit een deployment omgeving die gevoed wordt vanuit de aanbieders van het besturingssyteem en de applicaties.
4. Wees kritisch op verzekeringen
Een ransomwareverzekering dekt schade en zelfs betaling van een ransome en biedt ook praktische ondersteuning bij een aanval. Dat klinkt mooi, echter de premie is navenant hoog en de voorwaarden en uitsluitingen zijn erg strikt. Het roept de vraag op of je niet beter zelf kunt investeren in de IT infrastructuur en eventueel een financiële voorziening kunt treffen.
De premie ligt in de orde van 10 procent van het te verzekeren bedrag. Uitsluitingen zijn lastig, een verzekeraar kan natuurlijk niet akkoord gaan met een lakse beveiliging. Maar ja, als het netwerk waterdicht is wordt het niet gehackt. Waarschijnlijk is er dan toch wel wat mis. De verzekeraar draagt een externe partij aan en biedt voor een beperkte periode, bijvoorbeeld de eerste 48 uur, ondersteuning. Daarna moet je verder met die partij en dan geldt: 'het is slecht onderhandelen met de brandweer'.
5. Single sign on (SSO) overal, altijd
SaaS software wordt tamelijk ad hoc en opportunistisch ingezet, lang niet altijd gemanaged via de centrale IT-afdeling. Een agenda-applicatie, bulkmail, een brainstormplatform etc. Afdelingen regelen dit vaak zelf.
Voor medewerkers maakt zo'n applicatie cognitief gewoon onderdeel uit van hun werk. De kans dat zij hun toegangsgegevens gaan hergebruiken is aanzienlijk. Wachtwoorden komen zo buiten de organisatie te liggen. Single sign on (SSO) moet een harde voorwaarde zijn. Daarmee is ook geregeld dat als medewerkers uit dienst gaan de toegangsrechten te komen vervallen. Lelijk is dat sommige SaaS-aanbieders SSO als een dure add on verkopen. Soms ben je als CIO de brenger van slecht nieuws...
6. Gebruik de cloud
De cloud maakt het haalbaar om tegen minimale kosten een complete schaduw-omgeving in te richten. Ingerichte servers in de cloud die zijn uitgeschakeld - standby staan - brengen slechts marginale kosten met zich mee. Ook is in de cloud snel op te schalen bij herstel. In plaats van de eigen infra (on premise of in de cloud) schoon te maken, begin je op een nieuwe omgeving in de cloud. Een gegarandeerd schoon begin voor wederopbouw, en de gecompromitteerde omgeving kan geïsoleerd worden en beschikbaar blijven voor forensisch onderzoek.
7. Empower je beheerders
Een inbraakpoging begint met rammelen aan de deur, een aanval is lang niet altijd meteen raak. Zelfs als ransomware actief is met versleuteling, zal dat flink tijd nemen.
Weten beheerders wat zij mogen doen en wat verwacht wordt als zij verdachte activiteit opmerken? Een beslisboom hoe te handelen, met wie contact op te nemen en wat te doen als die manager niet de telefoon opneemt zorgt dat er adequaat wordt gehandeld. Een beheerder moet weten onder welke omstandigheden hij het mandaat heeft 'to bring down the bank'.
8. Segmenteer het netwerk voor apparaten
Een blinde vlek in veel IT omgevingen zijn apparaten: koffiemachines, bewakingscamera's, kopieermachines, toegangspoortjes, liften etc. Een lange lijst van apparaten heeft toegang tot het interne netwerk, heeft processing power én verbinding met internet, met leveranciers, met de fabrikant en krijgt updates (of niet).
Wat weet de koffieleverancier überhaupt van de print in de koffiemachinet? Richt een virtueel netwerksegment in voor deze apparaten, volledig gescheiden.
9. Segmenteer ook vanuit oogpunt van business continuity
Netwerken worden vaak in segmenten opgedeeld op basis van technische criteria. Een andere segmentering is op basis van autonomie van delen van de organisatie. Zo wordt niet de gehele organisatie geraakt bij een incident. Dat beperkt de schade en maakt het beter mogelijk om een incident op te lossen.
Plaats alle docenten van een onderwijsinstelling bij elkaar in een segment en de hele organisatie gaat plat, maak de segmentering per faculteit en de niet geraakte faculteiten kunnen autonoom door.
10. Verhoud je tot 'security theatre' en doe het juiste
IT beveiliging is vooral heel technisch. Sociale maatregelen kunnen voor 90+ procent effectief zijn, volledig zijn ze nooit. Met alle goede intenties, dat komt slecht uit, want een hacker heeft de tijd en geautomatiseerde tools.
Hackers en cybercriminimelen zijn niet geniaal, dat is niet vereist, er zijn genoeg voorspelbare zwaktes in IT-netwerken. Is er niets te vinden dan gaan ze een deurtje verder en proberen het over een maand nog eens.
Veel hacks blijken eigenlijk tamelijk triviaal. Een hack via een verouderd en bekend kwetsbaar product (zoals bij Windows remote desktop protocol), email phishing gevolgd door escalatie van bevoegdheden, gelekte wachtwoorden via een dubieuze website.
Bezorgdheid op C-niveau is begrijpelijk, maar laat beleidsplannen niet de overhand krijgen. Audits zijn geen manier om je beveiliging in te richten. In het slechtste geval leidt het ertoe dat 'het praten over' effectieve actie in de weg staat. Het is vooral 'security theatre'.
Een goede beveiliging vraagt vooral om technische expertise, procesmatige maatregelen met zoveel mogelijk geautomatiseerde uitvoering en borging. Dit is bij uitstek waar de CIO voor moet staan.