Stevig geïnvesteerd in security en toch gehackt
‘Ik laat mijn zoon mijn zaak niet overnemen, dat doe ik hem niet aan’, deze uitspraak hoorde ik recent van een zaakvoerder van een IT-bedrijf dat al tientallen jaren bestaat. Voor sommigen misschien herkenbaar, hoewel de IT-sector voor de meerderheid van ons toch als een zeer boeiende en dynamische sector ervaren wordt.
Het leven van een IT-partner is er inderdaad niet makkelijker op geworden. Binnen IT zijn er steeds meer specialismen. Daarom is het des te belangrijker om de juiste strategische keuzes te maken en up-to-date te blijven in kennis en kunde. En om over de schaarse menselijke resources met de juiste expertise te beschikken en die te behouden. Zeker in het domein van cybersecurity vormt dit een flinke uitdaging.
Ook voor de zakelijke eindgebruiker wordt IT mede door de verdere digitalisering almaar belangrijker. Zelfs sectoren waarvan je het in eerste instantie niet zou verwachten zijn volledig afhankelijk geworden van IT infrastructuur en processen. IT wordt almaar minder als kost gezien maar eerder als een elementair onderdeel voor de core business activiteiten. Echter IT budgetten zijn niet onbeperkt, zaak is dan ook om binnen de beschikbare middelen de digitale beveiliging op een zo hoog mogelijk niveau te brengen.
Hackers al maanden in het systeem
Zo hoorde ik over een middelgroot Belgisch bedrijf met een 250-tal medewerkers waarbij ruim een jaar geleden plots de systemen stilvielen. Alle data geëncrypteerd. De CEO ontving een mail met het verzoek om een flink bedrag binnen een bepaalde tijd over te maken, als hij dat niet zou doen dan zou de pers ingelicht worden. Een klassieke gijzel praktijk dus. De IT-partner werd in allerijl gecontacteerd en slaagde er gelukkig in de back-up terug te zetten. De operationele schade was in verhouding nog redelijk beperkt gebleven, het had veel erger gekund. De IT-partner vond dat hij goed werk geleverd had en verheugde zich al op een bedankje van zijn klant. Het pakte helaas anders uit.
Hij moest verantwoording komen afleggen bij de management board. Hoe kon het zo zijn dat na aanzienlijke investeringen de voorbije jaren – met als zwaargewicht een Next Generation firewall met een ganse lijst opties – ze toch ogenschijnlijk zo makkelijk ten prooi waren gevallen aan cybercriminelen? Het management had immers steeds het security advies gevolgd van de partner. Ze hadden tenslotte een jarenlange goede samenwerking en het vertrouwen in de partner was groot.
Na analyse stelde de IT-partner dat de cybercriminelen misbruik hadden gemaakt van een zwakheid die zich in het netwerk bevond. En die zwakheid dateerde al van enkele maanden geleden, dus ze waren al geruime tijd in de systemen.
Het is niet de vraag OF je gehackt wordt, maar WANNEER je gehackt wordt
Deze hack had voorkomen kunnen worden. Met vulnerability management, waarbij frequent een scan uitgevoerd wordt, had deze zwakheid tijdig aan het licht kunnen worden gebracht.
De board wou nog duidelijkheid hoe het kan dat de hacker maandenlang onopgemerkt in de systemen kon vertoeven.
Het antwoord kun je misschien al raden, er was namelijk geen EDR (Endpoint Detection and Response)-oplossing geïmplementeerd. Het budget was quasi volledig besteed aan de vervanging van de firewall door een recent duur model met vele opties.
Met een goede detectie en respons oplossing zou deze hacker niet maanden onopgemerkt in de IT-systemen hebben kunnen vertoeven. We zijn in een tijd beland waarbij de vraag niet meer is OF je gehackt wordt maar wel WANNEER je gehackt wordt.
Lees hier waarom je EDR nodig hebt.
Ik kan het niet genoeg benadrukken, zorg voor visibiliteit achter de firewall, één van de basiselementen die je zou moeten toepassen in je security-strategie.
Samen ben je sterker
En of je nu als eindgebruiker een EDR-oplossing zelf beheert of als IT-partner een EDR managed service aanbiedt, zorg ervoor dat je een back-up achter de hand hebt zodat je 24/7 beroep kan doen op experts wanneer er zich een kritische detectie voordoet waar je zelf niet uitraakt. Zij kunnen je dan bijstaan om de juiste acties en respons te geven aan de detectie.
Cybersecurity is complex, maar als je de basisprincipes correct toepast kom je al een heel eind.
Categorieën