Omdat antivirus niet genoeg is: versla bedreigingen met de holistische benadering van het Cisco security platform
Cisco
Het gebeurde in 2016, in de dagen dat ransomware nog iets nieuws was. Het e-mailonderwerp leek dringend: ‘U heeft een levering gemist!’ of ‘Open dit belangrijke document onmiddellijk.’ Mensen openden de e-mails en er gebeurde niets – niet direct. Maar we begonnen snel meldingen te krijgen: onze klanten konden niet bij hun bestanden komen, of ze konden een toepassing niet openen. We hadden op dat moment ongeveer 2.000 klanten en elke week werden we met dezelfde klachten gebeld. Onze servicedesk bood dan aan om ernaar te kijken en jawel: op de apparaten van onze klanten vonden ze versleutelde bestanden en een ransomware-melding.
Het is angstaanjagend om die melding te vinden. Bij Missing Piece wisten mijn team en ik dat er iets moest veranderen.
Missing Piece is in het midden van Nederland gevestigd en is een DaaS-bedrijf (Desktop as a Service) dat zich specialiseert in kleine en middelgrote bedrijven in accountancy en de financiële en zakelijke dienstverlening. We gebruiken de private cloud – toen we begonnen bestond de openbare cloud nog niet – en we draaien alles in onze eigen datacenters. De private cloud voorziet in de regelgevingsbehoeften van onze klanten en biedt hen gemoedsrust.
Figure 1. Bewakingskaart met daarop alle klant locaties in Nederland
Ik ben 12 jaar geleden bij dit bedrijf begonnen en ik heb ons klantenbestand zien groeien tot meer dan 6.000 eindgebruikers. We groeien nog steeds, met 40% op jaarbasis. Bij het zien van die groei kreeg ik steeds meer interesse in security – niet alleen als een vakje om af te vinken, maar als iets waardevols voor onze klanten. Na een reorganisatie van het bedrijf twee jaar terug werd ik Team Lead, Network & Security. Dit was de kans om mijn interesse in security prioriteit te geven.
De wereld van moderne ransomware
Aan het begin van dit millennium was cyber security totaal anders. Als iemand een bestand kopieerde of een toepassing startte, controleerde de security software het tegen een lijst van programma’s waarvan bekend was dat ze schadelijk waren. Als de toepassing op de ‘foute lijst’ stond, mocht deze niet worden uitgevoerd. Als je antivirussoftware had, voelde je je veilig. Vanuit het perspectief van security was dat de goede oude tijd.
Vandaag doen cyberaanvallen zich op elk niveau voor. Ze vormen een hobby voor ondeugende tieners, zijn een tool met een miljardenomzet voor de georganiseerde misdaad en regelrechte oorlogsvoering voor landen. Aanvallers geven er over het algemeen niet om wie er wordt geraakt. Je hoeft niet het doelwit te zijn om slachtoffer te worden en niemand is te klein om te worden getroffen. De beruchte NotPetya-aanval zorgde voor miljarden dollars schade – vaccines die niet werden geproduceerd, transport dat wereldwijd stil kwam te liggen, fabrieken die stilstonden – en dat was alleen al bij de grootste bedrijven. Netwerken geven niets om landsgrenzen, en aanvallen zoals NotPetya kunnen snel escaleren naar een wereldwijde schaal. De enige manier om een ransomwareaanval te stoppen, is door te zeggen dat het moet stoppen.
Toen we beseften dat we het slachtoffer waren geworden van een malwareaanval, gingen we meteen tot actie over, ook al wisten we dat we al te laat waren. Als een gebruiker op een link klikt en die niet doet wat ze verwachten, negeren de meeste mensen dit en gaan ze weer aan het werk. Tegen de tijd dat iemand beseft dat ze door malware zijn geïnfiltreerd, heeft de malware al veel tijd gehad om zich in het systeem te werken en veel schade aan te richten. Als we erbij werden geroepen, zagen we vaak dat de ransomware al één tot acht uur actief was.
Vanaf het moment dat ransomware werd bevestigd, moest iedereen stoppen met werken en zich afmelden bij het netwerk. Daarna moesten we onderzoeken waar het probleem vandaan kwam, wie de aanval had gelanceerd en of de ransomware nog steeds actief was. Pas als we deze vragen hadden beantwoord, konden we beginnen met de 10 uur werk om bestanden herstellen vanaf de back-ups. De medewerkers moesten dus niet alleen stoppen met werken, ze waren ook het werk kwijt dat ze voor de aanval hadden gedaan, afhankelijk van het tijdstip van de laatste back-up.
We hebben dit proces minstens tien keer doorlopen. Dat was genoeg. Ik besefte me dat we een systeem nodig hadden dat proactief was in het zoeken naar en identificeren van bedreigingen. Het systeem moest automatisch in actie komen zonder te wachten tot een klant ons belde met een probleem. En het moest worden geïntegreerd met onze andere systemen.
Een geïntegreerde, proactieve oplossing
Ik heb een lange geschiedenis met Cisco. Ik nam het mee naar Missing Piece toe ik daar begon en onze eerste Cisco security oplossing was Email Security Appliance (ESA). Dat installeerden we ongeveer 10 jaar terug. ESA is een klein apparaat dat begon met beveiligen van een paar gebruikers door een paar duizend e-mails per dag te controleren en dat nu meer dan een miljoen e-mails per dag verwerkt.
Het verbeteren van de e-mail security hielp al veel, maar tijdens het opruimen van de ransomware was het ergste voor ons dat we er niet helemaal zeker van konden zijn dat we alles hadden gevonden. Hoe weet je, nadat ransomware eenmaal is geactiveerd op je netwerk, dat er geen valstrik of tijdbom is achtergebleven die in de toekomst op je ligt te wachten?
Ik was toen gericht op e-mail security, en wist weinig van Cisco’s andere security opties. Pas tijdens mijn deelname aan Cisco Live ontdekte ik Advanced Malware Protection for Endpoints en besefte ik dat dit deze oplossing de bescherming zou bieden die we nodig hadden. Ik vond het vooral mooi dat AMP niet alleen bescherming tegen malware omvatte, maar ook sterke hersteltools.
De realiteit van de bedreigingen die we zien is dat er geen 100% bescherming meer bestaat, ongeacht hoe strikt je beleid is. Vroeg of laat gebeurt er iets vervelends, en jouw tools moeten zich dus richten op meer dan het voorkomen hiervan. Ze moeten je helpen bij het herstel nadat er iets akeligs is gebeurd.
Figure 2. Detail van het dashboard van Cisco Advanced Malware Protection
AMP for Endpoints legt alles vast in logboeken en creëert hiermee een tijdmachine die alles toont wat er op jouw systeem is gebeurd. Je hoeft dan niet meer te raden hoe een infectie plaatsvond, omdat je van minuut tot minuut kunt zien hoe dat bestand daar terechtkwam, hoe het werd uitgevoerd en welke gebruiker het uitvoerde. Vanuit dat punt kun je de hele omgeving bekijken om zo de verspreiding tegen te houden. Nog belangrijker is dat je de hoofdoorzaak kent en kunt traceren hoe de malware door de omgeving beweegt. Zo kunt je zeker weten dat je de malware volledig hebt verwijderd.
Toen ik terugkwam van Cisco Live, vertelde ik mijn Cisco-accountmanager dat AMP for Endpoints er in presentaties geweldig uitzag, maar dat ik wilde zien hoe het in onze omgeving zou werken. Hij regelde een zogenoemde Proof of Value voor ons, in essentie een test van 60 tot 90 dagen. We waren op zoek naar bedrijfsbrede dekking en zichtbaarheid en waren erg tevreden met de manier waarop al onze Cisco-tools terugkoppelden naar het dashboard. Toen we zagen hoeveel we nu konden beheersen, waren we verkocht.
Dit betekende een verandering voor Missing Piece. Security strategie was niet langer een noodzakelijke, maar vervelende kostenpost. In plaats daarvan zou een meer proactieve houding meerwaarde toevoegen voor onze klanten.
Van pandemie naar het nieuwe normaal: de oplossingen die we gebruiken om thuis te werken
De coronapandemie kwam als een grote schok voor elke organisatie, zeker als het leeuwendeel van uw personeel eerder vijf dagen per week op dezelfde plek aan het werk was. Nu zijn medewerkers overal verspreid en dat zorgt voor een ander soort security risico.
We hoeven ons niet meer constant zorgen te maken over e-mails, want de ESA bevindt zich in het datacenter. Maar met zoveel medewerkers die een werklaptop mee naar huis nemen zijn regelmatige updates een uitdaging. Alleen AMP for Endpoints bleef zonder herconfiguratie werken tijdens deze enorme verschuiving van het personeel, omdat de apparaten alleen een internetverbinding nodig hebben om een update te kunnen krijgen. We hebben allemaal apparaten die weken aan programma-updates missen, maar ik weet dat security het enige is dat niet achterloopt. AMP for Endpoints is onze enige oplossing die 100% corona-proof is. En wanneer we weer teruggaan naar kantoor, zullen Cisco’s oplossingen, zoals AMP for Endpoints en Umbrella, ons helpen onze externe medewerkers te beveiligen zodat werken op afstand geen invloed heeft op de bedrijfscontinuïteit.
Zolang een apparaat met internet is verbonden, heb ik nog steeds mijn security informatie. Allemaal hier op mijn dashboard.
Figure 3. Detail van het dashboard van Cisco SecureX Threat Response
We profiteren ook van Cisco’s gratis add-ons. Deze add-ons omvatten workshops over strategieën voor geavanceerde bescherming tegen malware zoals het jagen op bedreigingen om een proactieve aanpak van security aan te leren. Ik stuurde zeker de helft van ons technisch personeel naar die specifieke workshop, omdat een PDF van 100 pagina’s aan instructies nooit een praktische, persoonlijke workshop met iemand van Cisco kan vervangen.
Bij deze add-ons zit ook Threat Grid, een live analyse van een onbekend bestand dat nog niet op een ‘toestaan-’ of ‘blokkeerlijst’ staat. Je beschermt jezelf dus niet alleen tegen bekende malware, maar ook tegen onbekende malware. En het dashboard van Cisco SecureX Threat Response heeft zelf ook verschillende koppelingen naar andere bronnen, zoals Talos, Cisco’s security organisatie, waar ik informatie kan krijgen over elk bestand dat nieuw is voor mijn omgeving.
Ik ben ook fan van het gezamenlijke Threat Response Casebook. Alles wat ik verder wil onderzoeken – een bestand, apparaat, e-mailadres of wat dan ook – voeg ik toe aan het casebook en mijn collega’s zien het, waar ze zich ook bevinden. Hiermee kunnen we als team ons speurwerk doen, zonder onze werkplek te hoeven verlaten. Het casebook is ook als browserplug-in beschikbaar, zodat je informatie van elke webpagina of webconsole aan jouw lopende onderzoek kunt toevoegen.
Je weet niet wat je mist tot het te laat is
Gebruikers zijn overal, data is overal en dus moet bescherming ook overal zijn. Aanvallen komen uit alle richtingen en point-oplossingen voldoen dus niet meer. Traditionele antivirussoftware op jouw laptop zal jouw tablet of iPhone niet beschermen. Je hebt een oplossing nodig die niet alleen diverse ingangspunten dekt, maar die ook is geïntegreerd, die actief is in het identificeren van problemen en die automatisch verdachte activiteit isoleert. Zonder de juiste tools is dat onmogelijk.
Cisco biedt een holistische, robuuste reeks oplossingen met het soort dekking waarvan we met de antivirus-opties van de afgelopen decennia alleen maar van konden dromen. Maar ik weet dat het voor veel security managers die hiernaar kijken, lastig is om te weten waar ze moeten beginnen. Daarvoor beveel ik Umbrella, Cisco’s DNS-bescherming aan. Cisco Umbrella onderzoekt en categoriseert elk verzoek van een apparaat dat iets op het internet probeert te vinden. Het is een eenvoudige manier om een vinger aan de pols te houden en te ontdekken hoe gezond jouw omgeving nu echt is.
De waarheid is dat je, totdat je geavanceerdere bescherming tegen malware gaat gebruiken, niet weet hoeveel informatie je niet ziet. Als je ooit besmet bent met een virus of ransomware, hoe weet je zeker dat alles helemaal weg is? Als je niet dat hele netwerk security beeld heeft, weet het echt niet.
Security is misschien niet de prioriteit voor 90% van uw organisatie. Onze gebruikers zien niet alle narigheid die buiten hun scherm bestaat. Wanneer ze een ransomware-melding krijgen, dan weten ze het – en dan is het te laat. Een actieve aanpak van uw security met geïntegreerde en geautomatiseerde tools, zoals het Cisco security platform, is de enige verdediging die we hebben tegen de bedreigingen die we vandaag het hoofd moeten bieden.