Dit hebben we geleerd van WannaCry

Gepost op: 31-5-2017 11:01:47 door Jeroen Veraart
Tags: malware, phishing, ransomware, WannaCry
Jeroen Veraart
Het is op dit moment ruim twee weken geleden dat de wereld werd opgeschrikt door WannaCry, een ransomware-aanval die alles in zich had om een wereldwijde crisis te veroorzaken. Het goede nieuws is dat WannaCry ons weer eens met de neus op enkele pijnlijke feiten heeft gedrukt.

Het buiten houden van ransomware is voor securityprofessionals dagelijkse kost geworden. In dat opzicht bracht WannaCry niets nieuws. Toch zijn er ook wel enkele kernmerken aan te wijzen die deze recente aanvalsgolf uniek maken. Zo is er voor infectie geen tussenkomst nodig van een gebruiker die per ongeluk op een linkje klikt of een kwaadaardig bestand opent. Tot op moment van schrijven is er geen indicatie dat WannaCry via phishing wordt verspreid.

WannaCry heeft het vermogen om kwetsbare systemen zelf te infecteren en zichzelf als een olievlek te verspreiden binnen een netwerk. Wel moet de zogenaamde payload ergens naar binnen komen, in dit geval via een kwetsbaarheid die veel bedrijven nog niet hadden gepatcht. Als de voordeur niet goed is beveiligd dan kan het via die route, maar het kan ook zijn dat een besmet device buiten de infrastructuur van een bedrijf wordt besmet en vervolgens wordt binnen gebracht.

Lessons learned

Nu het erop lijkt dat de WannaCry-aanval is afgezwakt – en het er alle schijn van heeft dat Nederland slechts beperkt is getroffen – is het een goed moment om te kijken hoe we hebben gereageerd op de acute WannaCry-dreiging. Als ik voor mezelf de balans opmaak, dan vallen me enkele zaken op:

1. We laten ons leiden door paniek

Als duidelijk wordt dat er sprake is van een grootschalige uitbraak overheerst als eerste de paniek. Het start met een aantal feiten die worden aangevuld met geruchten. Ik zie dan dat veel mensen die verantwoordelijk zijn, maar ook techneuten, heftig reageren op allerlei geruchten. Iedereen begint als een gek te googelen om te proberen meer informatie te vergaren. Ik doe dat zelf overigens ook en daarbij is het best wel opletten welke bronnen je gebruikt. Voor je het weet ben je aan het acteren op allerlei geruchten.

2. Incident-responseprocessen zijn vaak niet op orde

Bij een uitbraak vergelijkbaar met die van WannaCry moet als eerste het ‘Cyber Incident Response Team’ (een CIRT, CERT, CSIRT of hoe het genoemd wordt binnen bedrijven) in actie komen. In veel gevallen komt men er toch achter dat het niet of onvoldoende operationeel is. Het gevolg is dat niemand de verantwoordelijkheid kan of wil nemen en dat het onduidelijk is of er voldoende mandaat is. Richting de directie wordt dan vaak gecommuniceerd dat iedereen in actie is gekomen en dat de noodzakelijke stappen zijn gezet. In het geval van de WannaCry komt men daar wel mee weg omdat de verspreiding uiteindelijk is stilgelegd door de veelbesproken ‘kill-switch’.

3. Achterstallig onderhoud wordt nijpend

MS17-010 is afgelopen dagen uitvoerig besproken. Het is de patch voor een kwetsbaarheid in Windows SMB Server die Microsoft al in maart van dit jaar vrijgaf maar die heel veel organisaties nog niet hadden geïnstalleerd. Daardoor kon WannaCry in korte tijd veel slachtoffers maken. Overal wordt nu ervaren dat de volwassenheid in het patchmanagement en ook vulnerabilitymanagement onvoldoende op niveau is gebracht. Ik vraag me dan ook af hoeveel procent van de organisaties de afgelopen week even in hun vulnerabilitymanagementrapportage konden kijken om te constateren dat alles prima in orde was? Dat is echt geen hoog percentage al is het alleen al vanwege het feit dat er toch nog wel ergens legacy systemen zijn die niet meegenomen zijn voor allerlei 'legitieme' redenen.

4. Snelheid van handelen moet omhoog

Als laatste is een stevige waarschuwing op haar plaats. Al jaren wordt er aangegeven dat de snelheid waarmee allerlei vormen van malware en ransomware om zich heen grijpen snel omhoog gaat. Dat betekent dat de tijd die je hebt om te handelen ook steeds korter wordt. Mede om die laatste reden zie je dat organisaties meerdere vormen van detectie inzetten. In het uiterste geval heb je de pech dat je getroffen wordt door een 0-day aanval en ben je het eerste slachtoffer. Dan is het zaak om zo snel mogelijk te handelen om de schade te beperken.

En natuurlijk blijft de 'ouderwetse' back-up van cruciaal belang. Voor welke bedreiging dan ook. Na een besmetting met ransomware is het soms de enige manier om je data weer terug te krijgen.

Blog postsRSS