Veilig blijven? Hou malware buiten de deur!

Veilig blijven? Hou malware buiten de deur!

DearBytesBlogMalware/ransomwareVeilig blijven? Hou malware buiten de deur!

dinsdag 21 maart 2017

We kunnen er niet meer omheen. Cybercriminaliteit en -security zijn een dagelijks onderwerp in de krant, online en op radio en TV. De dreiging van ransomware ligt op de loer. Bij grote, ogenschijnlijk betrouwbare organisaties zoals Yahoo! blijken meer dan een miljard gebruikersnamen en wachtwoorden te zijn gestolen, waardoor ook de miljardenovername door Verizon op losse schroeven komt te staan. Volgens de Autoriteit Persoonsgegevens zijn de websites van ziekenhuizen en overheidsinstellingen niet goed beveiligd. Waar organisaties een paar jaar geleden nog dachten “Dat gebeurt ons niet, want wat hebben cybercriminelen nu bij ons te zoeken?”, is nu het besef ontstaan dat ze wel degelijk risico lopen – doelgericht of als ‘toevallig’ slachtoffer.

De grote vraag is echter: waar begin je en hoe pak je cybersecurity het beste aan? Het aanbod op het gebied van cybersecurity is enorm, van antivirus tot firewalls en geavanceerde monitoringsystemen. Het zijn nuttige, maar ook vaak kostbare en complexe oplossingen die allemaal een deel van de risico’s wegnemen, maar die wel budget, tijd en expertise vragen. Effectiever is het om te focussen op het belangrijkste risico en die als eerste aan te pakken. Wanneer de belangrijkste dreigingen zijn tegengehouden, ontstaat ruimte om stapsgewijs en goed doordacht de verdere beveiligingsaspecten aan te pakken.

Wanneer je, zoals wij bij DearBytes, inzicht hebt in de incidenten die zich bij organisaties voordoen, is er één factor die in bijna alle securityincidenten een centrale rol speelt: malware. Aanvallers maken vrijwel altijd gebruik van malware om organisaties binnen te dringen. In het geval van ransomware worden vervolgens de bestanden versleuteld en heeft het bedrijf twee mogelijkheden: het losgeld betalen of de bestanden herstellen vanuit de back-up. Andere malware sluist ongemerkt kostbare bedrijfsinformatie of gevoelige persoonsgegevens weg. Weer andere probeert logingegevens te onderscheppen, waarmee cybercriminelen toegang krijgen tot het netwerk.

Malware = downtime

Om welke vorm het ook gaat: malware zorgt voor downtime. Of het nu gaat om bedrijfsinformatie die niet beschikbaar is of computersystemen en bedrijfstoepassingen die niet gebruikt kunnen worden: malware levert direct concrete schade op in verloren productiviteit, omzetverlies en, in ernstige gevallen, zelfs reputatieverlies. Die malware komt de organisatie meestal binnen via de zogenaamde endpoints: de desktops, laptops, tablets en smartphones van medewerkers. De meest voorkomende manier van infectie is de e-mail met een besmette bijlage of een link naar een website waar de malware staat. Waar dit soort e-mails een paar jaar geleden nog vrij makkelijk waren te herkennen aan bijvoorbeeld slecht Nederlands, zijn ze intussen nauwelijks nog te onderscheiden van legitieme berichten. Dat maakt het voor medewerkers erg moeilijk om ze te herkennen, zeker als die e-mails afkomstig lijken te zijn van bekende afzenders. Een klant, een leverancier, een overheidsinstelling, etc.

Maar er zijn ook andere manieren waarop malware een organisatie binnen kan komen. Een besmette USB-stick of malware die via een privé smartphone op het netwerk terechtkomt. Cybercriminelen zijn ongelooflijk creatief en slim, zowel in het ontwikkelen van de malware zelf als in het bedenken van nieuwe manieren om die malware binnen een organisatie te krijgen.

Endpoint Security

Daarom moet het aanpakken van malware de prioriteit zijn. Het gaat daarbij in de eerste plaats om goede endpointbeveiliging. Zoals onlangs in een artikel op IDG Computerworld viel te lezen, is antivirussoftware niet ‘dood’, zoals regelmatig wordt beweerd. Het is en blijft een essentieel onderdeel van de beveiligingsaanpak waarmee je meteen 95% van de malwaredreigingen tegenhoudt. Veel IT-managers denken “Wij hebben endpointsecuritysoftware, dus wij zijn veilig”. Maar die software is alleen effectief als deze voortdurend wordt gemonitord en bijgewerkt. Het komt niet zelden voor dat een bedrijf onze hulp inroept bij een malwarebesmetting en we vervolgens ontdekken dat de antivirussoftware al maanden of soms jaren niet is bijgewerkt. Dan heeft het gebruik van beveiligingssoftware weinig zin.

Wanneer endpointbeveiliging voortdurend wordt gecontroleerd en gemonitord, ontstaan vanzelf inzichten over andere zwakke plekken in de organisatie. Als antivirussoftware iets heeft tegengehouden, moet de vraag gesteld worden: waarom heeft de malware het helemaal tot dat punt gehaald zonder opgemerkt te worden? E-mail en webscanning, netwerkbeveiliging en gebruikersbewustzijn komen dan vanzelf als thema’s in beeld. En dan ontstijgt de securityaanpak vanzelf de initiële focus op malware. Dan kunnen ook zaken worden meegenomen zoals verdedigingsmaatregelen tegen hackers, oplossingen om dataverlies tegen te gaan en om ‘schaduw-IT’ in goede banen te leiden, etc. Mijn belangrijkste advies is dan ook: pak cybersecurity pragmatisch en stapsgewijs aan, te beginnen met malware.