In de zorg zijn aanvallers vooral uit op het geld van hun slachtoffers. Het is dan ook schaakmat op het moment dat tegenstanders je organisatie in een positie kunnen brengen dat je niet anders kan dan hen te betalen. Je bent echter niet gevrijwaard nadat je een aanval hebt gehad. Integendeel. Daarna begint het spelletje weer opnieuw, want er zijn geen garanties dat je hierna minder kans hebt om slachtoffer te worden.
Tactieken
Bij schaken zijn er door de jaren heen allemaal verschillende tactieken en technieken geprobeerd en is op papier gezet wat wel en niet succesvol blijkt te zijn. In het cybersecurity werkveld bestaat dit ook, namelijk in de vorm van het MITRE ATT&CK framework.
De laatste kolom van het MITRE ATT&CK framework gaat over de tactiek ‘Impact’. Deze fase beschrijft technieken die je tegenstander kan inzetten om de beschikbaarheid van je bedrijfsprocessen te verstoren of de integriteit van deze processen in gevaar te brengen. Als je deze technieken kent en weet wat je hiertegen kunt doen, vergroot dat je digitale weerbaarheid. Hieronder een beschrijving van de belangrijkste aanvalstechnieken uit de tactiek ‘Impact’.
Techniek ‘Account Access Removal’: Je tegenstander zal nadat hij toegang heeft gekregen tot de accounts van je IT-beheerders, deze accounts veelal willen verwijderen of bijvoorbeeld het wachtwoord hiervan aanpassen. Hierdoor kunnen je IT-beheerders niet meer handelen tijdens een incident. Maatregel: Zorg voor goede monitoring. Een tegenstander kan alleen wijzigingen aanbrengen als ze al toegang hebben, je gaat er dus per definitie van uit dat je dit niet kunt voorkomen, omdat je al van impact uitgaat. Je kan de toegang van een tegenstander dus alleen detecteren met goede monitoring.
Techniek ‘Data Destruction’ (sporen uitwissen): Gegevens, zoals logbestanden, die inzage geven in wat je tegenstander allemaal aan het doen is of heeft gedaan, zal je tegenstander natuurlijk willen verwijderen. Maatregel: zorg dat je het back-upproces van deze bestanden op orde hebt.
Techniek ‘Data Encrypted for Impact’: Je tegenstander zal proberen jouw belangrijke bestanden te versleutelen en ontoegankelijk te maken. De sleutel tot je bestanden ontvang je alleen na een betaling van losgeld. Dit is ook wel bekend als gijzelsoftware/ransomware. Maatregel: Het blokkeren van verdachte handelingen op computers en servers en het back-upproces van deze bestanden op orde hebben.
Techniek ‘Inhibit System Recovery’: Aangezien veel organisaties nu back-ups maken van hun belangrijke data, zal je tegenstander deze back-ups proberen te verwijderen. Maatregel: beperk wie toegang heeft tot je back-ups en beperk wie back-ups mag maken.
Techniek ‘Service Stop’: Met genoeg toegang tot je IT-systemen kan een tegenstander de IT-diensten uitschakelen. Zo beperken tegenstanders jouw mogelijkheid om de aanval tegen te gaan.
Maatregel: Ook hier geldt: voorkomen is beter dan genezen. Rechten die er niet zijn, kan een aanvaller ook niet misbruiken. Beperk daarom toegang tot je IT-omgeving tot het strikt noodzakelijke. Segmenteer je netwerk en geef je gebruikers niet meer rechten dan ze nodig hebben.
Veel van deze maatregelen kun je testen en oefenen. Een back-up is pas nuttig als je deze ook terug kan zetten. Dit zal je dus geregeld moeten oefenen en testen. Door hiermee bezig te zijn vergroot je de kans dat er juist gehandeld wordt op het moment dat de tegenstander daadwerkelijk binnen is. Wellicht kun je dan nog de juiste schaakstukken verplaatsen om te eindigen in een gelijkspel (remise) in plaats van schaakmat.
Al met al input voor tijdens gesprek tijdens de koffiepauze.
Volgende blogpost in deze reeks: Deel 2: Exfiltration