Naar inhoud gaan

Trending thema's

WannaCry toont nieuwe behoefte in netwerkbeveiliging

Martijn

22.05.17 3 min. lezen

Eind vorig week raakte een crypto-ransomware-familie genaamd WannaCry mensen en organisaties over de hele wereld. Velen werden het slachtoffer van de aanval en konden niet meer bij hun gegevens, die versleuteld werden. Zonder back-up, was het betalen van losgeld de enige manier om de gegevens terug te krijgen. Volgens Mikko Hypponen, onze Chief Research Officer, hebben er sinds maandagmiddag zo’n 196 slachtoffers betaald.

Waar sommige mensen en organisaties nauwelijks geraakt worden door een ransomware-aanval, is dat in het geval van bijvoorbeeld een ziekenhuis of andere kritieke diensten een heel ander verhaal. Zij hebben de luxe niet om stil te staan en te wachten op een oplossing.

Dus hoe gebeurt zoiets? En belangrijker nog, hoe voorkom je het ?

Het belangrijkste advies dat gegeven wordt is het patchen van kwetsbaarheden en het toepassen van endpointbeveiliging. Maar volgens Tom van de Wiele, Principal Security Consultant bij F-Secure, is dit een tussenoplossing en behoed organisaties met complexe netwerken niet tegen een vergelijkbare aanval in de toekomst.

IT-afdelingen zouden belangrijke systemen van elkaar moeten scheiden. Zo mogen e-mailsystemen bijvoorbeeld nooit geïntegreerd worden in de meer kritieke systemen, denk aan MRI-scanners en systemen met patiëntgegevens.

In these environments, security needs to include good network design, threat modeling, computer and device hardening and running simulations to see if drive-by attacks are possible, and tests that measure exposure to highly targeted attacks,” adds Van de Wiele. “It is only after testing the sum of all the parts that a company can determine their security maturity.

Maar dit is makkelijker gezegd dan gedaan voor deze organisaties.

F-Secure Veiligheidsadviseur Sean Sullivan geeft aan dat een ziekenhuis bijvoorbeeld verschillende eisen stelt aan de complexe IT-omgeving, terwijl de resources vaak beperkt zijn.

Kankerbehandelingscentra, cardiologieafdelingen en fysiotherapie diensten hebben allemaal verschillende IT-behoeften. En dat zijn slechts de medische diensten. Als we ook kijken naar andere afdelingen en diensten, heb je te maken met een flinke verzameling met eisen voor de IT-omgeving. Het hebben van een gedeelde infrastructuur lijkt misschien een kostenefficiënte manier om al deze behoeften te bedienen, maar dan zit je al snel met beveiligingsproblemen die malware als WannaCry verspreidt op het netwerk.

En resource management is niet de enige hindernis. Volgens Van de Wiele zijn er veel gespecialiseerde IT-componenten die gebruikt worden door ziekenhuizen, energiecentrales, transportsystemen enz. Het is erg onpraktisch en sommige gevallen zelfs onmogelijk om deze componenten te patchen.

Veel van deze componenten zijn bedoeld om mee te werken in een specifieke configuratie. Het toepassen van een beveiligingsupdate kan de basisfunctionaliteit in de weg zitten. En dat is eigenlijk ook prima, omdat zelfs de kleinste wijzigingen als levensbedreigende storingen kunnen veroorzaken in zo’n systeem. Daarom is het van belang om het netwerk rondom zo’n systeem te beveiligen, als het niet mogelijk is om de applicatielaag te beveiligen.

Het laatste decennium lag de focus op applicatiebeveiliging. Nu is het de tijd om een balans te vinden tussen applicatiebeveiliging en netwerkbeveiliging. In het geval van een ransomware-aanval ligt het risico niet bij de afzonderlijke apparaten, maar eerder bij het volledige netwerk.

Helaas is er geen gemakkelijke oplossing voor dit probleem, dit is het advies van Van de Wiele aan zijn klanten bij het uitvoeren van Red Teaming tests:

Organizations that provide critical services should treat their internet-facing systems like a kind of demilitarized zone and keep them compartmentalized with strict access controls that limits their access to critical parts of their IT environment,” says Van de Wiele. “People working on internet-facing systems are basically the first line of defense, and there’s no security product or training program on the market that can guarantee they won’t be compromised. Compartmentalizing them is an extra layer, but that extra layer is a relatively minor expense when weighed against the security benefits it provides.

Martijn

22.05.17 3 min. lezen

Uitgelicht artikel

Verwante berichten