Hoe cyberincidenten te vermijden: interview met Eddy Willems

digitale veiligheid AI
© G DATA
Naar aanleiding van Cybersec 2023 interviewde TechPulse Eddy Willems, cybersecurity-expert en Security Evangelist bij G DATA over hoe cyberbedreigingen eruit (zullen) zien en hoe ze te voorkomen zijn.

We hebben het afgelopen jaar heel wat cyberincidenten meegemaakt die bij het grote publiek bekend zijn geraakt. Ongetwijfeld zijn er een hele hoop meer die niet bekend geraakten. Wat zijn volgens u de meest kentekenende cyberincidenten van het afgelopen jaar?

Ik denk nog altijd dat we terug moeten gaan naar gevallen waarin ransomware gebruikt wordt. Dat wil niet zeggen dat ze altijd het meest problematisch zijn. Voor bedrijven is dat wel zo, omdat de aanvallen het meest zichtbaar zijn, moeilijk te herstellen zijn en er vaak geld gevraagd wordt. Natuurlijk zijn er ook een hele hoop andere incidenten die een beetje onder de radar blijven, zoals de aanvallen die van buitenlandse mogendheden komen. Ik vind die, als je de situatie goed bekijkt, toch minder van belang omdat de impact op dit moment voorlopig beperkt is. Ik vind ransomware persoonlijk nog altijd een van de grotere problemen en daar is iedereen het eens over.

Het enige probleem is dat je soms heel weinig hoort over wat er nu echt aan de hand is. Je hoort wel over bijvoorbeeld de stad Antwerpen die getroffen wordt, maar wat werd er uiteindelijk niet gezegd? Wat er echt gebeurd is!

Hoe komt ransomware precies op apparaten terecht?

Er zijn een aantal mechanismen waarmee ransomware op apparaten en netwerken terecht komt, die zijn overal hetzelfde. Heel veel ransomware komt nog steeds op apparaten terecht door mensen die via een phishingaanval naar slechte websites gelokt worden. Daar klikken ze dan iets aan en installeren ze effectief iets op de pc. Om iets te installeren heb je natuurlijk beheerdersrechten voor de pc nodig. In heel veel bedrijven werd dat geblokkeerd, maar in heel wat bedrijven is dat niet het geval. Er zijn nog altijd veel mensen die alles kunnen installeren op hun pc. Dat is dus een probleem.

Wat je veel ziet is dat die security awareness er nog altijd niet is. Die zou er in feite al lang moeten zijn, na in feite dertig jaar van hetzelfde. De ransomware uit 1989 is exact hetzelfde als die uit 2021, vind ik. Waarom? De methodes zijn eigenlijk niet echt veranderd. Ze zijn alleen een beetje verergerd en ze vragen meer geld: in 1989 ging het nog over 179 dollar, nu over een paar miljoen. Dat is de trend.

Dat is de meest eenvoudige techniek: de phishingaanvallen of social engineering-aanvallen. In 50% van de gevallen lukt zo’n aanval. Het kan dan gaan over een bijlage in je mail die op zoek gaat naar een zwakheid in bepaalde software. Daar draait het uiteindelijk om: een zwakheid vinden in de software op de pc en die uitbuiten. Er zijn ook websites die als het ware de pc ondervragen en op zoek gaan naar die zwakheden. Zulke phishingaanvallen, gericht op zwakheden, zien we in ongeveer 60% van de gevallen gebeuren.

Er staat áltijd een mens aan de basis van het probleem.

Bij ongeveer 40% loopt het op een andere manier fout. Ik zal altijd zeggen dat die terug te brengen zijn op de tweede wet van Willems: een cyberprobleem is het gevolg van de interactie tussen een technologische factor en een menselijke factor. Er staat áltijd een mens aan de basis van het probleem. Dat is een zware uitspraak: in 60% van de gevallen gaat het om iemand die iets verkeerds aanklikt. Voor de andere 40% zit de menselijke factor bij de beheerders of het beheerdersteam van het netwerk. Zij hebben natuurlijk veel werk met zien of het netwerk goed draait, maar ze moeten er ook voor zorgen dat het systeem up-to-date is. Vooral de updates op servers waarmee een bedrijf aan het internet hangt zijn belangrijk. Daar loopt het vaak mis.

Dus ongeveer 40% van de cyberaanvallen komen door netwerkbeheerders die steken laten vallen?

Het probleem is niet dat stad Antwerpen slecht met hun security omging, al kon het beter. Zijn ze in snelheid gepakt? Ja. Wat ze niet verteld hebben is dat het échte probleem bij een update van een Exchange-server zit. Nu: het zou ook anders gebeurd kunnen zijn. De kans dat het die ene patch is, is wel heel groot. Ik kan wel afleiden dat het om hetzelfde ging: het was exact dezelfde ransomware van dezelfde groep, die op dat moment dezelfde tactiek bij een hele hoop andere bedrijven gebruikte. Ik leid daaruit af dat het probleem zit bij een Exchange-server die na vier weken nog niet geüpdatet was.

Het grote probleem is: ik leg nu al dertig jaar dat element uit. Er zijn bedrijven die dat ondertussen erg goed doen. Na dertig jaar zie je ook nog bedrijven – grote bedrijven! – die dat niet doen. Zo is er Rackspace, een grote hoster in de Verenigde Staten, in Texas. Drie weken na een belangrijke update voor hun Exchange-server was die update nog niet geïnstalleerd. Met als gevolg: de Play-ransomware komt op hun toestellen terecht. Een week later gebeurt exact hetzelfde in stad Antwerpen.

Een week later gebeurt exact hetzelfde in stad Antwerpen.

Als je een server hebt die aan het internet hangt – dus niet in de cloud – en je hebt die in eigen beheer, patch die dan as soon as possible. Wacht daar geen twee weken mee, maar patch de server binnen de week. Dat zoiets niet meteen gaat is begrijpelijk: er moeten tests gebeuren en de update moet ingepland worden. Maar wacht daar geen drie weken of een maand mee. Bij Rackspace hebben ze de server niet geüpdatet om downtime te voorkomen: de server-update zou een aantal minuten in beslag nemen en offline gaan. Dat is voor de stad Antwerpen dus zeventig miljoen voor een paar minuten verschil – indien het over deze patch gaat natuurlijk… Iets wat Antwerpen nog steeds niet bevestigd heeft.

Er zijn dus twee soorten ransomware-aanvallen. In 60% van de gevallen wordt de hengel bij wijze van spreken uitgegooid tot een slachtoffer bijt. In de andere 40% wordt actief naar doelwitten gezocht. Zijn daar verschillen tussen in severiteit of de bedragen die gevraagd worden?

60% van de aanvallen gebeurt inderdaad meer op een automatische manier. Voor de tweede methode gaan hackers effectief op zoek naar kwetsbaarheden op het internet en bedrijven die met die kwetsbaarheid geraakt kunnen worden. Beide technieken worden gebruikt door dezelfde partij, dus of er een verschil te zien valt, hangt af van case tot case.

We zien wel dat er alsmaar meer geld gevraagd wordt. Er wordt altijd data gedownload waarvoor geld gevraagd kan worden. Vroeger werd er eigenlijk enkel aan encryptie gedaan: het systeem werd geblokkeerd waardoor er niets meer mee gedaan kon worden. Als alles teruggezet werd, was het probleem opgelost. Nu wordt die data gebruikt als een extra pressiemiddel om meer geld te vragen. Vandaag weet men dat een datalek, indien men dat vergeet aan te geven, een bedrijf 3 tot 4% van de omzet kan kosten. Men denkt dan ook “we kunnen het bedrijf 3 tot 4% van de omzet vragen. Dat bedrag kunnen ze beter aan ons geven”.

Dat is waarschijnlijk ook de reden dat de stad Antwerpen zijn hackers niet betaalde. Waarschijnlijk hebben ze op het netwerk kunnen monitoren hoeveel data er precies gedownload werd. Ik denk persoonlijk dat er wel data vertrokken is, maar niet zoveel als er gezegd werd. Vandaar dat de stad Antwerpen niet betaalde.

Cyberincidenten zijn in principe vermijdbaar. Hoe dan?

Je moet cyberincidenten proactief stoppen. Dat is makkelijker gezegd dan gedaan. Proactief kan je zijn door, ten eerste, mensen te trainen en ze security aware te maken. Mensen wéten wel dat ze moeten opletten waarop ze klikken, maar na een tijd verslapt de aandacht ervoor. Ik hou bijvoorbeeld nogal van schaken. Krijg ik daar een mail over, dan wil ik die ook lezen en klik ik die snel open. Eigenlijk gaat het om gerichte phishing – spearphishing, zoals ze het noemen. Als zulke gerichte technieken gebruikt worden, wordt het met training ook moeilijk om incidenten te voorkomen. Security Awareness is dan ook echt een belangrijk element. Die security awareness moet ook bij systeembeheerders ingebakken worden: ook zij klikken op zaken waar ze beter niet op klikken. Dikwijls denken ze dat “het beveiligingsproduct de aanval wel zal opsporen”. Theoretisch is dat wel zo, maar als het om iets heel nieuw gaat? Dan kan het er toch door glippen. Is er een kwetsbaarheid op de server? Daar doet het product niets mee.

Dus moeten bedrijven erop letten dat ze een goede updatestrategie hebben om dat te voorkomen. Gebeurt het toch, moet er een disaster recovery plan zijn om achteraf alles terug te herstellen. Niet iedereen heeft zo’n goed disaster recovery plan gereed. Ondertussen beginnen de grotere bedrijven daar al wel in mee te gaan, maar je ziet ook hoe lang ze in Antwerpen met de cyberaanval bezig zijn. Ik heb de indruk dat sommige bedrijven er beter mee weg zijn dan anderen. Natuurlijk zitten sommige organisaties in een overgangsfase en zijn sommige netwerken enorm gecompliceerd. Zo’n disaster recovery plan moet er op voorhand liggen, dan kan alles veel makkelijker weer rechtgezet worden.

Maar daar moet je proactief in zijn. Alles goed laten nakijken. Je kan wel zeggen: “Ik heb dat geïnstalleerd”, maar wie zegt dat het ook werkt? Ik heb werkelijk de allergrootste bedrijven vroeger geholpen om te zien of de producten die ze hadden goed geïmplementeerd waren. Als senior consultant keek ik na of alles goed werkte en of alles goed ingesteld stond en geïmplementeerd was. Ik was geen ethische hacker, maar een andere specialist die ook noodzakelijk is om te zien of alles wel juist staat.

Beveiliging moet dus goed geconfigureerd en getest worden, en er moet een disaster recovery plan op poten staan. Wie daaraan voldoet, is volgens mij goed bezig. En natuurlijk: bewaar uw kroonjuwelen. De belangrijke data van een bedrijf? Versleutel die. Dat zijn heel eenvoudige tips waarmee de impact van een cyberaanval verminderd kan worden.

Met G DATA bieden jullie verschillende security-oplossingen aan. Hoe spelen die daar juist op in?

Bij G DATA hebben we onze Endpoint Security-oplossingen en daarnaast hebben we ook Security Awareness-cursussen. Die worden meer en meer gevraagd.

We hebben ook een forensisch team, maar dat zit voornamelijk in Duitsland. Zij kunnen helpen als er ergens iets fout loopt, maar dat is een minder bekende dienst. Tegenwoordig bieden we ook een oplossing aan voor wie cloudtoepassingen gebruikt. Daarvoor hebben we een product, genaamd verdict-as-a-service (VAAS), dat er als het ware tussenhangt. Zo kan je als het ware alles dat je in de cloud steekt of er weer uithaalt scannen en controleren op dreigingen. Zo kan je zeker zijn dat er niets met de bestanden aan de hand is. Het is de laatste tijd een buzzword dat ik niet graag gebruik, maar we hebben ook al jaren artificiële intelligentie (AI) in onze producten zitten. Dat zorgt ervoor dat het programma automatisch kan reageren en vragen voor bijkomende analyses wanneer dat nodig is.

Er wordt vaak geopperd dat generatieve artificiële intelligentie, met systemen als ChatGPT en consoorten, de volgende grote dreiging vormen? Is dat zo, ook al is ChatGPT niet zo goed met code?

ChatGPT is inderdaad niet fantastisch met code, ik vind de prestaties daar zelfs vrij pover. Je kan ChatGPT wel gebruiken om phishingaanvallen te helpen vormgeven door het de tekst te laten schrijven. Dat vind ik een punt waarop het verslechtert voor de mens: het wordt gemakkelijk voor de crimineel om een phishingmail te schrijven. Wij en onze producten – evolueren ook mee. Ik heb er op dit moment geen al te hoge dunk van. Het goede is dat er in ChatGPT een aantal remmers ingebouwd zitten, dus ze hebben dat wel een beetje voelen aankomen. Het is een situatie die we in het oog moeten houden en moeten volgen zodat we daarop kunnen blijven inspelen. We moeten vooral voorkomen dat AI te gevaarlijk zal worden voor onze cyberveiligheid in de toekomst.

aiantwerpenartificiële intelligentiebeveiligingbusinesscybersecurityg dataphishingransomware

Gerelateerde artikelen

Volg ons

Het is Black Friday bij bol.com!

Het is Black Friday bij bol.com!

Deals scoren