Hackers waarden ruim 2 maanden rond in netwerk Universiteit Maastricht

Netwerkmonitoring het kind van de rekening, met alle gevolgen van dien

2019 maastricht randwyck mumc 11
Kleon3

Afgelopen vrijdag bracht de Onderwijsinspectie het definitieve rapport over de ransomware-aanval op de Universiteit Maastricht van december vorig jaar naar buiten. Een opmerkelijke bevinding: de hackers waren ruim twee maanden actief in het netwerk.

Die periode wordt afzonderlijk geduid in het rapport van de Onderwijsinspectie, op 12 juni 2020 door minister Van Engelshoven opgestuurd naar de Tweede Kamer. Het maakt onderdeel uit van een aantal fases die de opstellers onderscheiden in het rapport.

De eerste daarvan is de periode die voorafgaat aan 15 oktober 2019, de dag dat iemand binnen het netwerk van de universiteit op een phishing-link klikt en daarmee toegang tot het netwerk geeft. De tweede is vanaf dat moment tot 23 december van dat jaar, wanneer de ransomware wordt geactiveerd die een groot deel van de IT-systemen van de universiteit middels versleuteling ontoegankelijk maakt. Daarna volgt een periode die het rapport aanduidt als crisismanagement, die duurt tot 12 februari van dit jaar, gevolgd door een fase van ‘verhoogde dijkbewaking’ en investeringen in ‘toekomstige cyberweerbaarheid’.

De inspectie is relatief positief over de stappen die de universiteit ondernam na de aanval, maar kritisch over de periode vóór 15 oktober. De voorbereiding voor afslaan van of omgaan met een cyberaanval schoten tekort, ondanks het bestaan van een eigen Computer Emergency Respons Team en de aanwezigheid van een CISO; zo waren controle op het ICT-beleid en opvolging van afspraken beperkt, en was er geen draaiboek voor hoe te handelen in het geval van een ransomware-aanval. Bovenal was er geen totaal inzicht in de IT-inrichting, waardoor er “slechts beperkt zicht [was] op de cyberweerbaarheid van de universiteit als geheel”. De noodzaak voor insight, zo dikwijls op deze pagina’s benadrukt werd vooraf dus niet voldoende onderkend. Het rapport merkt op dat dit niet uniek is voor de Universiteit Maastricht, en wijst op de gelaagde bestuursstructuur en decentrale inrichting als risicofactoren.

Ook beveiligingsbedrijf Fox-IT, door de UM ingeschakeld, heeft vastgesteld dat er onvoldoende is gedaan op het vlak van detectie, monitoring en opvolging. Na de ransomware-aanval, waarvoor het losgeld uiteindelijk betaald is, heeft de UM hier dan ook op ingezet. Dat is gedaan met onder meer continue monitoring van de IT-systemen, en door – nu wel – de volledige centrale en decentrale IT-infrastructuur in kaart te brengen. Immers, alleen wanneer je weet waar alle leidingen lopen, kan je een lek in beeld krijgen. De uitdaging voor de UM blijft om de balans te vinden tussen investeringen in het primaire proces (onderwijs en onderzoek) en in cyberweerbaarheid, een dilemma dat voor elk bedrijf herkenbaar zal zijn.

Ransomware: dit kan je ertegen doen

We spraken over het rapport met Eddy Willems, security evangelist bij G Data, naar aanleiding van de vraag: wat kan je nu doen om te voorkomen dat hackers doodgemoedereerd virtueel rondbanjeren in je netwerk op zoek naar een kwetsbaarheid of de systemen waarmee de meeste schade kan worden aangericht bij een ransomware-aanval?

Willems onderscheidt primair twee verschillende ransomware-aanvallen, degene die met een klik op een ‘verkeerde link’ wordt geactiveerd en degene zoals die de UM trof, waarbij hackers pas na verloop van tijd tot actie overgaan en de ‘verkeerde link’ louter “de achterdeur openzet”, zoals Willems het omschrijft. Beide benaderingen hebben één gemene deler: de mens is in eerste instantie hier de zwakke factor. Training voor het verhogen van security bewustzijn is dan ook een must voor elke medewerker, eens te meer omdat Willems een zekere mate van verslapping in dat bewustzijn constateert: “Mensen zijn tegenwoordig gewend om veel in de cloud te werken, waar al veel security is ingebakken. Daardoor denkt men dat het wel goed zit, en dat men zichzelf minder met beveiliging hoeft bezig te houden.”

Dat is uiteraard onjuist, want het is juist in die toegang tot de cloud waar het zo vaak misgaat, evenals in de computers die op de verkeerde manier met het internet zijn verbonden. Willems noemt er een aantal: “Bijvoorbeeld door geen VPN te gebruiken, of door de versleuteling van remote access toepassingen niet te benutten, of door bekende kwetsbaarheden in software niet te patchen.”

Securitybewustzijn is dus noodzakelijk, zowel bij de IT-beheerders als bij gebruikers. Wanneer men niet meer op ‘foute links’ klikt, zijn de mogelijkheden voor hackers een stuk beperkter. Die moeten dan via openstaande poorten op zoek naar toepassingen met bekende en nog niet gepatchte kwetsbaarheden, een aanzienlijk hogere drempel. Ook daar kan je je tegen wapenen, door gebruik te maken van MFA, het aantal toegestane inlogpogingen te beperken en überhaupt het aantal open poorten tot een minimum te reduceren.

Monitoring blijft een uitdaging

Dat laatste in combinatie met strikte security policies – waarmee bijvoorbeeld installatie van toepassingen bemoeilijkt kunnen worden – is ook een doeltreffende methode om verspreiding van malware binnen het netwerk tegen te gaan, aldus Willems. Bovendien “maakt dat monitoring een stuk eenvoudiger uit te voeren”. Om onze loodgietersanalogie nog maar even erbij te pakken, met minder kraantjes in het netwerk is het eenvoudiger controleren of er niet eentje onbedoeld openstaat.

Dat niveau van beveiliging is wel een flinke klus én kan applicaties en daarmee gebruikers in de weg zitten. Reden voor organisaties om de teugels toch meer te laten vieren. In dat geval blijft het sterk aan te raden een gespecialiseerde netwerkmonitoringoplossing in huis te halen, die in elk geval een gedeeltelijke bijdrage kan leven aan het controleren van poorten en netwerkverkeer. Doe je dat niet, dan loop je het risico op een dag je in de niet-benijdenswaardige positie van de Universiteit Maastricht te bevinden. Toch, zegt Willems, “de universiteit verdient een pluim voor de mate waarin zij open heeft gecommuniceerd over het voorval, zodat anderen ervan kunnen leren. Losgeld betalen mag dan onwenselijk zijn vanuit security-oogpunt, het is wel begrijpelijk gezien de belangen van de studenten en onderzoekers.”

Related:

Copyright © 2020 IDG Communications, Inc.

  
Shop Tech Products at Amazon