Jagers van verloren gegevens: Uit het dagelijks leven van een Incident Response Team
20 januari 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, directeur incident response bij Sophos, is zoiets als de Indiana Jones van het cyberlandschap: hij en zijn team scannen onvermoeibaar computersystemen op zoek naar afwijkingen die wijzen op een cyberdreiging. Meestal schakelen slachtoffers de deskundigen in omdat ze bijvoorbeeld het slachtoffer zijn geworden van een ransomware-aanval of daar nog middenin zitten. De crux: wanneer zo'n ransomware-incident computers lamlegt, is dat niet het begin van een cyberaanval, maar de agressieve finale. "Ik beschrijf ransomware vaak als een bon die de criminelen voor het laatst laten liggen. Veel van de slachtoffers die we vragen naar wanneer wat gebeurde, zeggen dat de versleuteling om één uur 's nachts begon en dat ze daardoor waarschuwingen ontvingen. Als we dan de systemen onderzoeken, komen we er vaak achter dat de fraudeurs al twee weken op het netwerk zitten en hun voorbereidingen hebben getroffen," zegt Peter Mackenzie.
Cybercriminaliteit is al lang geprofessionaliseerd
Wie nu denkt dat een persoon of een groep dag en nacht het toetsenbord hackt, de versleutelde gegevens fijn opslaat en ze na afgeperste betaling d'accord aan de oplichters teruggeeft om er met de geroofde poen een leuk leven van te maken op de Copacabana, heeft te veel films uit de jaren 80 gezien. In werkelijkheid zijn cyberaanvallen al lang geprofessionaliseerd. Er zijn gespecialiseerde aanbieders voor elk onderdeel van een aanval, variërend van "Wij krijgen u in elk netwerk" (er is al het beroep Initial Access Broker hier ....), tot "Wij kopen gestolen gegevens", tot "Wij doen de chantage". Kennis van zaken is niet nodig, en zelfs degenen die terugdeinzen voor toegang tot het dark web kunnen via Google en how-to video's op YouTube cybercrooks worden.Te veel enthousiasme kan ook fout gaan, zoals het onlangs beschreven geval van meerdere aanvallers bewijst, die als concurrerende ransomware-groepen in een soort ploegenwisseling het toevallig gemeenschappelijke slachtoffer aanvielen en elkaar daarbij saboteerden.Slordigheid in apparaatonderhoud wordt een achilleshiel
Volgens Mackenzie is één aspect enorm belangrijk voor de fraudeurs nadat ze het netwerk zijn binnengedrongen: waar heb ik toegang toe? Daartoe scannen zij het netwerk, niet eens specifiek naar iets in het bijzonder, maar meer als een dief in een kantoorgang, die op elke deurknop duwt, uiteindelijk gaat er een deur open.De mogelijkheden voor slimme fraudeurs zijn tegenwoordig immens. Dus als er een verdachte impuls op een systeem is, beveiligingssoftware die detecteert en elimineert, betekent dat niet dat het probleem is opgelost. In de meeste gevallen is slordig omgaan met updates, patches en apparatuur van elk afzonderlijk apparaat het kleine begin van een grote ramp.Moderne cyberdefensie alleen met up-to-date software en menselijke expertise
Cybercriminaliteit is al lang geprofessionaliseerd
Wie nu denkt dat een persoon of een groep dag en nacht het toetsenbord hackt, de versleutelde gegevens fijn opslaat en ze na afgeperste betaling d'accord aan de oplichters teruggeeft om er met de geroofde poen een leuk leven van te maken op de Copacabana, heeft te veel films uit de jaren 80 gezien. In werkelijkheid zijn cyberaanvallen al lang geprofessionaliseerd. Er zijn gespecialiseerde aanbieders voor elk onderdeel van een aanval, variërend van "Wij krijgen u in elk netwerk" (er is al het beroep Initial Access Broker hier ....), tot "Wij kopen gestolen gegevens", tot "Wij doen de chantage". Kennis van zaken is niet nodig, en zelfs degenen die terugdeinzen voor toegang tot het dark web kunnen via Google en how-to video's op YouTube cybercrooks worden.Te veel enthousiasme kan ook fout gaan, zoals het onlangs beschreven geval van meerdere aanvallers bewijst, die als concurrerende ransomware-groepen in een soort ploegenwisseling het toevallig gemeenschappelijke slachtoffer aanvielen en elkaar daarbij saboteerden.Slordigheid in apparaatonderhoud wordt een achilleshiel
Het Incident Response Team stopt niet alleen de aanval, maar analyseert ook de processen in de systemen, wat de cyberoplichters hebben gedaan en met welk doel. Ook of ze achterdeurtjes hebben ingebouwd voor een latere terugkeer.
Volgens Mackenzie is één aspect enorm belangrijk voor de fraudeurs nadat ze het netwerk zijn binnengedrongen: waar heb ik toegang toe? Daartoe scannen zij het netwerk, niet eens specifiek naar iets in het bijzonder, maar meer als een dief in een kantoorgang, die op elke deurknop duwt, uiteindelijk gaat er een deur open.De mogelijkheden voor slimme fraudeurs zijn tegenwoordig immens. Dus als er een verdachte impuls op een systeem is, beveiligingssoftware die detecteert en elimineert, betekent dat niet dat het probleem is opgelost. In de meeste gevallen is slordig omgaan met updates, patches en apparatuur van elk afzonderlijk apparaat het kleine begin van een grote ramp.Moderne cyberdefensie alleen met up-to-date software en menselijke expertise
Peter Mackenzie adviseert, na al zijn ervaring in het dagelijks omgaan met cyberdreigingen in grote en kleine bedrijven, preventie. De volgende vragen helpen om de zwakke plekken in het bedrijf te identificeren en daar voorzorgsmaatregelen voor te nemen (tools, experts, diensten, enz.). En liefst onmiddellijk, om in geval van nood snel te kunnen reageren.Wat gebeurt er als we een ransomware-aanval krijgen? Wat gebeurt er als onze back-ups worden gewist? Wat gebeurt er als iemand ons vertelt dat we een aanvaller in ons netwerk hebben? Beveiliging is een veelomvattend en tijdrovend proces dat voortdurend onderhoud en correctie vereist. Software die in eerste instantie anomalieën detecteert en MDR-experts (Managed Detection and Response) die rond de klok aanvallen identificeren en stoppen en de schade aan systemen beperken, zijn essentiële fundamenten van moderne preventie en verdediging tegen cyberaanvallen.