Een maand wachten met die éne Exchange-server te patchen? Dat is dan 70 miljoen euro alstublieft.
Een half uurtje tijd vrijmaken voor Eddy Willems, security-evangelist bij G DATA CyberDefense, vinden we doorgaans geen probleem. Om opnieuw te verzinnen waar we het deze keer over gaan hebben binnen de securitywereld, is een ander paar mouwen. Alles is al eens gezegd, herhaald, doodgeslagen, en toch zien we de nog altijd de ene ransomware-aanval na de andere in het nieuws verschijnen.
“De stad Antwerpen? Breek mijn mond niet open. Hadden ze een patch op tijd geïnstalleerd, dan hadden we hier nooit over gesproken.” Hij zucht diep en herhaalt wat hij al zo vaak heeft gezegd. “Patch een toestel dat aan het internet hangt niet vier weken na datum, maar direct. Wacht maximum een week om een geschikt tijdslot te vinden om de patch te installeren, nooit langer.”
Patchen patchen patchen
Willems verwacht dat een niet-geïnstalleerde patch de boosdoener is geweest voor de cyberaanval op stad Antwerpen. Hij wijst naar hackerscollectief Play dat de stad hackte en overal ter wereld andere slachtoffers maakte met één en hetzelfde zerodaylek in Microsoft Exchange.
“Ik kan daar niet aan uit dat iemand binnen het IT-team, ongeacht in welke organisatie of bedrijf, vandaag het installeren van patches als overbodig aanschouwt. Oké, er is altijd wel een beetje downtime mee gemoeid, maar niet elke applicatie is even kritisch en er zijn altijd momenten dat het rustiger is overdag of ’s nachts.”
Hij wijst in zijn frustratie naar de ransomware-aanval op Rackspace, een grote Amerikaanse hostingprovider. Daar werd eind vorig jaar klantendata buitgemaakt en was het e-mailverkeer verstoord van 30.000 klanten. Hackerscollectief Play was verantwoordelijk voor de hack, dezelfde organisatie die enkele weken later ook Stad Antwerpen zou wakker schudden en tal van andere overheidsinstanties en bedrijven.
“Een Exchange-server bij Rackspace was nog niet voorzien van de nieuwste patch die het zerodaylek dichtte. De hostingprovider claimde dat het installeren van patches in het algemeen downtime met zich meebrengt en dat ze dat hun klanten niet te frequent willen aandoen. Awel, nu konden klanten dagen geen e-mails sturen, om maar te zwijgen van het imagoverlies. Dan kan je maar beter tussendoor frequenter patchen.”
Patch een toestel dat aan het internet hangt niet vier weken na datum, maar binnen de week.
Eddy Willems, security-evangelist bij G DATA CyberDefense
Hij is wel blij dat Rackspace heel transparant is geweest in zijn communicatie. Dankzij hen raakte bekend dat het zerodaylek erger dan verwacht was en dat Exchange-servers bliksemsnel moesten worden gepatcht. Spijtig genoeg heeft hackerscollectief Play daarna nog andere organisaties getroffen op exact dezelfde manier. “Dat hackerscollectief rekent zich rijk, omdat sommige IT-administrators hun werk niet goed hebben gedaan.”
IT IT IT
We merken tijdens het gesprek dat Willems zich moet inhouden om niet verder met de vinger te wijzen naar IT-teams. Hij zegt dat de meesten hun werk prima doen, maar dat er altijd wel zijn die denken dat ze alles weten. “De menselijke factor blijft de zwakste schakel. Dat geldt voor alle werknemers binnen de organisatie, ook iedereen binnen het IT-team.”
“Ga maar eens na hoe veel er adminrechten hebben voor sommige zaken die dat niet nodig hebben. Hoe frequent wordt er gepatcht? Is er al MFA uitgerold binnen de organisatie? Staat alles juist geconfigureerd? Er wordt vandaag veel verwacht van een IT-team om alles in goede banen te leiden, te veel vaak.”
Willems wijst naar een oplossing voor heel wat bedrijven: managed serviceproviders. Die hebben tientallen of honderden klanten waar ze de security voor beheren en kennen alles tiptop omdat ze puur op security focussen. “Zo’n oplossing zorgt voor heel wat gemoedsrust, maar je moet daar ook de budgettaire ruimte voor krijgen. Gelukkig merk ik dat er daar wel wat beweegt en dat cybersecurity een plaats aan de tafel krijgt.”
Hoe veel hebben er adminrechten voor sommige zaken die dat niet nodig hebben? Te veel.
Eddy Willems, security-evangelist bij G DATA CyberDefense
Het lijkt ons alvast niet meer dan logisch dat er plaats komt aan de tafel. Volgens onderzoekers zou de cyberaanval de stad Antwerpen tot 70 miljoen euro kunnen kosten. Meer budget betekent meer of betere tools én meer mensen die zich kunnen focussen op cybersecurity.
Testen testen testen
Snel patchen, MFA en werknemers regelmatig trainen op cybergevaren, wie deze drie aspecten hoog in het vaandel draagt als IT-team komt al heel ver volgens Willems. Toch mogen we ook een vierde onderdeel niet vergeten. “Testen, testen en nog eens testen. Het is allemaal goed en wel dat de nieuwste tools draaien, maar zijn ze wel goed geconfigureerd? Laat eerst eens naar de configuratie van alle tools kijken. Een onafhankelijk expert vindt daar mogelijk al heel wat problemen.”
Daarbij komt dat securityproducten vandaag complexer dan ooit zijn, wat het risico op een foute configuratie vergroot. “Heel wat organisaties willen zaken zelf doen, maar dat brengt altijd risico’s met zich mee. Laat je begeleiden om zeker te zijn dat alles goed verloopt.”
lees ook
Vijf fouten rond cybersecurity die kmo’s zwak maken
Wie een stap verder wil gaan, kan altijd een pentest laten uitvoeren. Dat is voor heel wat organisaties een brutale wake-up call, maar daar dienen ze ook voor. Met de hulp van ethische hackers beveiligingsfouten ontdekken voor een stoute hacker dat doet, kan de problemen tijdig oplossen.
“Hoe je het draait of keert, is er altijd wel een menselijke factor”, besluit Willems. “Ofwel is het de doorsnee werknemer die niet goed genoeg wordt getraind en daarna in de fout gaat, ofwel is het de IT-administrator die te laks is. Dan kan je nog de allerbeste tools in huis hebben, de mens blijft de zwakste schakel.”