’Medewerkers zijn vaak de zwakste schakel’

Brian Schippers

2019 is bijna ten einde. En ook al is er nog een aantal maanden te gaan, toch kan Sophos reeds de balans opmaken van een security-jaar dat in meerdere opzichten uitdagend is geweest. Hackers blijken wederom vernuftiger te worden en endpoints blijven kwetsbaar. Het zijn beveiligingsuitdagingen waar Sophos en andere security vendors ook in de komende periode mee te maken zullen krijgen.

Het afgelopen jaar kenmerkt zich door een drietal ontwikkelingen. Ten eerste zijn er de phishing-aanvallen waar medewerkers nog steeds massaal intuinen. Brian Schippers, security expert bij Sophos Benelux, licht toe: “Hackers ervaren dat er nog steeds veel geld te halen valt door menselijke fouten. Een mailtje van jouw CEO met de vraag of je 10.000 euro naar hem wilt overmaken… we zien het nog elke dag gebeuren! Hoe eenvoudig is het voor hackers om geld binnen te krijgen zonder de noodzaak om in een systeem binnen te dringen? Eén mailtje zonder bij de bron - in dit geval de CEO - na te vragen of zijn bericht wel klopt. Hackers hoeven praktisch niets te doen, het geld blijft door mense­lijke fouten binnenstromen.”

Daarnaast ervaart Sophos nog steeds een stijging van exploits via kwetsbare applicaties. “Zo sloop de BlueKeep-exploit via een RDP-protocol binnen en konden cybercriminelen data bereiken zonder het netwerk binnen te komen. Wanneer een medewerker RDP op het internet open heeft staan zonder een Windows-update, krijgt een exploit zoals BlueKeep vrij spel.”

Als laatste ontwikkeling is er ransomware: WannaCry zette in mei 2017 ransomware in één klap op de kaart. “Deze variant, mogelijk ‘de moeder van de ransomware’, zien we nog geregeld voorbijkomen. Cyber­criminelen willen met ransomware geld binnenharken, financieel gewin is hun enige doel. Er zijn nog steeds mensen die geld overmaken in de hoop hun onvervangbare data terug te krijgen. Maar wie verzekert jou dat je na de betaling weer kunt beschikken over je documenten? Hackers gaan zelfs nog een stapje verder: ze nemen via de mail contact met je op of je kunt via een chatprogramma onderhandelen over de hoogte van het losgeld. Absurd, maar het gebeurt écht.”

Terugzetten van bestanden

Sophos heeft in Intercept X een antiransomware-oplossing in zijn portfolio. Schippers vervolgt: “In 2017 waren we de enige partij die WannaCry de nek kon omdraaien. Met Intercept X kijken we op verschillende lagen naar het gedrag van ransomware, zelfs tot op de laatste stap. Mocht in een worst case scenario niemand ransomware herken­nen en het zou met dataversleuteling beginnen, kunnen we deze actie blokkeren en zelfs de originele bestanden terugzetten. Daarin zijn we uniek. En het mooie is: de gebruiker heeft nooit in de gaten gehad wat er is voorgevallen, alleen de administrator wordt door ons genotificeerd. Intercept X is daarmee zeer belangrijk voor Sophos, maar staat niet op zich. De toegevoegde waarde ligt hem in de bundeling van onze krachten. Zo ‘praat’ Intercept X met onze XG Firewall-oplossing en leren ze van elkaars gedrag en acties. Het feit dat onze eigen firewalls en endpoints met elkaar samenwerken, is ook uniek. Dit hebben we nu ook al uitgebreid met onder meer mobiel en wifi. Zelf noemen we dat ‘synchronized security’.

Sophos EDR & MTR

Mede door de sterke vraag naar Intercept X als enige ransomware-oplossing heeft Sophos in de afgelopen periode een grote stap voorwaarts gezet. Maar het bedrijf wil meer, wil verder. “We zijn begonnen met Intercept X maar deze is nu met EDR uitgebreid. Met Endpoint Detection and Response zijn we in staat te herleiden waar ransomware vandaan komt. Is het via mail of pdf binnengekomen, en wat heeft het in gang gezet? Stapsgewijs bekijken wat er is gebeurd en wat de oorzaak is geweest. Onlangs hebben we hier ook MTR aan toegevoegd. Wanneer je als organisatie niet klaar bent om EDR te omarmen, kan Sophos met Managed Threat Response al dit werk uit handen nemen. Wij notificeren een bedrijf wanneer bepaalde activiteiten op het netwerk zijn gevonden, maar de dienst kan ook zo ver gaan dat het speciale Sophos-team de boel laat opschonen.

Er is zelf telefonisch contact met de Sophos MTR-afdeling mogelijk. MTR kun je gemakshalve beschouwen als EDR, maar dan aangeboden als een ‘As a Service’-model.

Geen ‘new bee’

Sophos is in een 24/7 strijd met het digitale kwaad verwikkeld. Hierbij lijken de cybercriminelen steeds één stap voorsprong te hebben maar schijn bedriegt: de security-wereld maakt grote inhaalslagen. Wat verwacht Sophos van de komende jaren? “Als bedrijf hebben we al meer dan drie decennia ervaring. We zijn geen new bee die zich bijvoorbeeld alleen maar op machine learning richt en dat als voldoende bescherming voor endpoint-beveiliging beschouwt. Wij bieden security voor meerdere lagen en dat zal ook in de toekomst belangrijk blijven. Hackers blijven uitermate vernuftig en zullen ook in de komende jaren exploits blijven inzetten. Zolang de Microsofts en Adobes van deze wereld hun software niet goed op orde hebben, zullen we ons daartegen moeten beschermen. En dat kunnen we heel goed met Intercept X, aangevuld met EDR en MTR.”

The weakest link

Los van alle beveiligingssoftware die steeds meer met elkaar praat (‘synchronized security’) en steeds krachtiger wordt, ziet Brian Schippers ook een belangrijke rol weggelegd voor eindgebruikers. Zij blijken toch vaak the weakest link en daarmee een makkelijke prooi voor cybercriminelen. “User Awareness zou nóg meer aandacht moeten krijgen in de komende periode. Het ‘click-gedrag’ van medewerkers binnen organisaties zit nog niet op het gewenste niveau en hierdoor vormen zij vaak de zwakste schakel. Phish Threat is een simulatietraining die wij aanbieden en bedrijven en medewerkers wijst op het nog bewuster worden van kwaadaar­digheden op het internet. Hoe beter medewerkers worden getraind, hoe lastiger het voor hackers zal worden financieel gewin uit organisaties te slaan.”