Duw op enter om te zoeken

Cybersecurity anno 2020: Snelheid is de nieuwe werkelijkheid

Author Avatar
Eric van Sommeren
Director Sales Noord-Europa voor SentinelOne

Ransomware dringt dilemma’s op rond het betalen van losgeld, reputatieschade. Lees hier waarom snelheid bij het ingrijpen onderdeel is van de discussie en waarom het belangrijk is.

Met de recente media-aandacht voor ransomware aanvallen is cybersecurity als onderwerp opnieuw een volgende fase in gegaan.  Cyberaanvallen   zijn onderdeel geworden van het publieke debat en hebben een directe invloed op de reputatie van organisaties. Het vermogen van security teams om de verscheidenheid aan dreigingen qua kennis en menskracht bij te benen is de laatste jaren aanzienlijk afgenomen. Hoog tijd dus om hierin als industrie serieus stappen te gaan maken en door samenwerking een oplossing voor de gemeenschappelijke problemen te vinden.

Er zijn vele manieren om de cyberuitdagingen van vandaag te benaderen, deze beginnen echter allen met het bewustzijn om nu in actie te komen. En ofschoon er genoeg security vraagstukken zijn die de aandacht verdienen, is het van belang te focussen op het allerbelangrijkste: de absolute snelheid waarmee nieuwe dreigingen opereren vereist een nog veel grotere snelheid van onze cybersecurity operatie.

Snelheid,de troef van de cybercrimineel

Er doen continu verhalen de ronde over zeer geavanceerde cybercriminelen, die complexe aanvallen ontwikkelen waarvan het ondoenlijk is om deze tijdig te detecteren. Er wordt hierbij helaas vooral stilgestaan bij hoe en waar een cybercrimineel mogelijk zal kunnen binnendringen, maar nauwelijks bij de snelheid van handelen door de cybercrimineel. 

Natuurlijk zijn cybercriminelen steeds gewiekster geworden, maar ransomware is technisch niet heel anders dan de trojans van vroeger.  Waar de echt nieuwe dreiging vooral in zit is de snelheid ervan. Hiermee doel ik op de snelheid waarmee criminelen kunnen binnendringen om in de beperkte tijd die ze hebben, zeer veel schade te berokkenen. Deze dreiging wordt alleen maar geholpen door onze afwachtende houding. 

De meeste cybercriminelen gebruiken de bekende tactieken, technieken en procedures. Echter, ze voeren meer aanvallen uit en zijn veel sneller geworden, waarbij er minder tijd nodig is om toegang tot systemen en bestanden te krijgen. Tegen de tijd dat reactieve organisaties een aanval hebben opgemerkt en begrijpen hoe dit heeft kunnen gebeuren, hebben cybercriminelen allang de beveiliging omzeild of zelfs overgenomen, queries gedraaid, data gedownload of vernietigd, enzovoort. 

Zelfs de minder doorgewinterde cybercrimineel is in staat om veel schade aan te richten, wanneer een organisatie niet in staat is om een aanval onmiddellijk te herkennen en meteen onschadelijk te maken.

Proactief is de winnende mentaliteit

Anno 2020 kunnen we het ons niet langer permitteren om ons handelen te beperken tot een technische analyse achteraf, opdat een dreiging een volgende keer kan worden tegengehouden. We zijn als industrie gewend geraakt om te denken in het aantal minuten, of zelfs uren, dat er nodig is om een aanval te detecteren, terwijl in werkelijkheid een paar seconden schadelijk handelen al funest kan zijn.  

Praten over de waarde van de reductie van “dwell time” (het gemiddeld aantal dagen dat een indringer kan rondhangen) heeft dan ook weinig zin, als tegelijkertijd de snelheid van handelen door de cybercrimineel veel sneller toeneemt. 

Vaak kan een CISO achteraf perfect beschrijven waarom een cyberaanval succesvol kon zijn en wat voor impact dit heeft gehad op de organisatie. Hoe mooi zou het zijn als er minder van dergelijke spreekbeurten nodig zouden zijn, doordat we beter in staat zijn om dreigingen in real-time te herkennen en uit te schakelen.

Ransomware anno 2020 (en daarna)

Recente ontwikkelingen op het gebied van ransomware laten zien dat cybercriminelen nu aanvullende dwangmiddelen inzetten om organisaties af te persen dan enkel de versleuteling van data. Tegenwoordig hoort het lekken van data en andere dreigementen daar helaas ook bij. 

Bij de razendsnelle “DopplePaymer” aanval – die in minder dan 7 seconden meer dan 2.000 malafide activiteiten kon uitvoeren – op een hartkliniek in Mexico bleek dat de criminelen naast het versleutelen van data ook gevoelige informatie hadden buitgemaakt. De criminelen dreigden de informatie te lekken of verkopen als ze het losgeld niet zouden krijgen.   

We kunnen meer van dit soort crimineel gedrag verwachten. Cybercriminelen deinzen nergens voor terug, ook niet indien dit het leven van patiënten in gevaar brengt. Ze hebben geen enkele moeite met het lekken van gevoelige informatie als het slachtoffer niet betaalt en we moeten voorbereid zijn op andere dreigementen. Denk aan bijvoorbeeld het dumpen van sexueel getinte bestanden, zoals al gebeurde bij een eerdere aanval. De aanvallers speelden hierbij sluw in op het sentiment rond persoonlijke reputatieschade.

Daarnaast wordt het overnemen van email accounts ingezet als dwangmiddel. Deze worden gebruikt om malafide spam te sturen die van het slachtoffer afkomstig lijkt. De mogelijkheden om flinke schade aan te richten zijn dus legio. 

Gevoelige plekken in kaart

De meest organisaties realiseren zich pas dat ze slachtoffer zijn van een ransomware aanval op het moment dat de eerste machines worden versleuteld. Maar tegen die tijd zijn de meeste “kill chains” al uitgevoerd. De aanvallers hebben zich al ingenesteld, identificaties en autorisaties gestolen, gevoelige data gedownload en verspreiden zich door het bedrijfsnetwerk. De vraag is hoe snel je als organisatie in staat bent om in te grijpen – indien dit pas na de eerste versleuteling is, is dit duidelijk te laat.

Vaak is het zelfs minder relevant of de criminelen wel of niet bij de bedrijfskritische data konden komen. Het feit dat er data – welke dan ook – is gestolen heeft een onmiddellijke impact op de reputatie van de organisatie. Vaak zijn cybercriminelen alleen geïnteresseerd in actuele data als bewijs dat ze geslaagd zijn in hun aanval. 

Bovendien maakt de snelheid waarmee aanvallers kunnen binnendringen en in systemen kunnen rondspeuren de oude legacy beveiligingscontroles en het achteraf analyseren steeds minder effectief. Daarnaast geldt ook: hoe sneller de computers, hoe sneller de cybercriminelen. Hierdoor hoeven de aanvallen zelf niet eens technisch zo geavanceerd te zijn en kan de cybercrimineel zich dus richten op het bedenken van nieuwe dwangmiddelen. Dit geldt overigens niet alleen voor endpoints zoals workstations en servers, ook virtuele omgevingen (VDI) en cloud-toepassingen zijn gevoelig. Om zulke razendsnelle bedreigingen tegen te kunnen gaan, moet de juiste technologie, intelligentie en beveiliging zowel in de cloud als op endpoints worden ingezet.

Real-time preventie 

De traditionele cyber security aanpak krijgt het steeds zwaarder te verduren, ervan uitgaande dat de snelheid van handelen door cybercriminelen enkel maar toeneemt. . Gelukkig zien steeds meer organisaties in, dat snelheid de nieuwe werkelijkheid is. Ze veranderen hun strategie, nemen het juiste talent in dienst en richten hun IT-security en risicomanagement hierop in. 

Vaak zijn dit bedrijven die al eens slachtoffer zijn geweest van ransomware. Organisaties hebben echter wel degelijk de mogelijkheid om nu al preventief te werk gaan. Hoog tijd voor de CISO om vandaag nog met het thema ‘snelheid is de nieuwe werkelijkheid’ aan de slag te gaan en de organisatie duurzaam voor mogelijk schadelijke gevolgen te behoeden.

Dat is mogelijk door de operationele security organisatie in te richten met de juiste tools, kennis en procedures die gebaseerd zijn op real-time handelen. Hierbij is het van belang om in te zetten op endpoint security met volledig zelfstandige detectie van verdacht gedrag en dit te combineren met een geautomatiseerde reactie erop. Hiermee zou de eigen snelheid weleens een winnende troef kunnen worden tegen cyber criminaliteit.

Eric van Sommeren is Director Sales Noord-Europa voor SentinelOne. Hij deelt zijn passie voor endpoint security software als gastblogger bij EASI.

Schrijf je in voor onze nieuwsbrief

Follow us

  

Deel dit artikel