Beheer

Security
Aanval

Het antwoord op een zeroday-aanval? Een zeroday-respons

Weet wat je moet doen bij een aanval.

17 december 2021

Ook deze week was (of is) het raak met Log4shell en is er tevens aandacht voor het Citrix-lek in 2019 in de vorm van een rapport van de Onderzoeksraad Voor Veiligheid. Cybercriminelen die gebruik maken van zerodays, en dat is iets om je zorgen over te maken. Is er een verdediging mogelijk tegen een aanval via een ingang waar je het bestaan niet van kent? Sta je als organisatie in één zet schaakmat als kwaadwillenden hun handen weten te leggen op zerodays? Het is wel zorgwekkend, zegt Dave Maasland, CEO van ESET Nederland, maar hopeloos is het niet.

Kun je een zeroday aanval voorkomen? Dat is lastig, omdat gebruik wordt gemaakt van een deur die anderen nog niet hebben ontdekt en waarvoor nog geen slot is gemaakt. De beste manier om het te voorkomen is ervoor te zorgen dat ransomwaregroepen minder succesvol zijn. Als iedereen alert is en zich houdt aan de basis securityregels, dan komen cybercriminelen minder makkelijk aan de fondsen om zerodays te kopen. Maar goed, daar heb je weinig aan op het moment dat je wordt aangevallen.

Kun je je wapenen tegen een aanval? In technologische zin is er weinig te doen tegen het binnentreden via dit achterdeurtje. Maar binnenkomen alleen is niet voldoende voor criminelen. Die moeten nog een aantal stappen zetten om schade te veroorzaken en dat maakt hen weer kwetsbaar. Dat betekent dat er nog meer plekken en momenten zijn om ongewilde activiteit te ontdekken en maatregelen te nemen. Wij kijken bijvoorbeeld ook naar gedrag van applicaties. Als een applicatie zich anders gedraagt dan zou moeten, dan blokkeren we die applicatie, nog voordat duidelijk is wat de zeroday precies doet. De zogenaamde killchain van een aanvaller bevat meerdere stappen. Van het verhaal “een aanvaller heeft slechts één ingang nodig” moeten we af. Doordat een aanvaller nog meerdere stappen moet doorlopen, heb je meerdere kansen om een aanvaller te detecteren met het juiste mechanisme.

Onderdeel van business continuity planning

Weerbaarheid is altijd goed. Toch is wendbaarheid net zo belangrijk of misschien nog wel belangrijker. Als je geraakt wordt – en dat is niet voor 100% uit te sluiten - moet je direct kunnen reageren om de impact te minimaliseren. Maak cybersecurity integraal onderdeel van de business continuity planning. Stel nu alvast de scenario’s op, zodat er snel, doordacht en volgens plan gehandeld kan worden op het moment dat zoiets gebeurt. Voorkom dat je moet improviseren, dat maakt de schade vaak alleen maar groter.

Maak plannen voor de mogelijkheid dat systemen die cruciaal voor de continuïteit zijn, offline moeten. Wat is er dan nog wel mogelijk, zijn er uitwijkmogelijkheden, welke gegevens zijn beschikbaar en niet gecompromitteerd? Wie is waarvoor verantwoordelijk? Het juiste antwoord op een zeroday-aanval is een zeroday-respons. Zorg ervoor dat er geen tijd verloren gaat met het bedenken van een goede reactie. Kortom, de reactie moet al klaar liggen voordat het probleem duidelijk wordt.

We zitten als burgers, bedrijven en overheden allemaal in de digitale transformatie. Dat gaat zeker de goede kant op, ook wat betreft de digitale veiligheid. Over vijf jaar is dit stuk volwassener dan het nu is. Maar in de tussentijd verdienen cybercriminelen een fortuin dankzij onoplettendheid en gemakzucht. Dit wordt wel het gouden tijdperk voor ransomware genoemd. Daarmee financieren we feitelijk zelf het criminele succes van de toekomst.

We moeten continu alert zijn, blijven trainen en technologie blijven ontwikkelen die in-depth veiligheid biedt. Daarbij is het net zo belangrijk om niet voor een volslagen verrassing te komen staan als je getroffen wordt. Weet wat je moet doen, leg de verantwoordelijkheden vast, zorg ervoor dat de impact voor de bedrijfscontinuïteit zo klein mogelijk is. De toekomst van de digitale verdediging wordt namelijk niet alleen bepaald door de weerbaarheid, maar zeker door de wendbaarheid van organisaties.

Reactie toevoegen