Multinationals hebben niet vanzelfsprekend hun IT beveiliging op orde - ProteQtor IT Security B.V.

Multinationals hebben niet vanzelfsprekend hun IT beveiliging op orde

In een interessante reportage van Microsoft over hun Detection and Response Team(DART) gaan zij in op een interessante casus​. Dit team is de eerste hulp van bedrijven als zij gehackt worden.

Zij behandelen een zaak van een grote multinational die gehackt werd door criminelen die waarschijnlijk door een overheid gefinancierd zijn. In deze blog beschrijf ik hoe de aanvallers te werk zijn gegaan en hoe ​u ​uzelf en ​uw bedrijf kunt beschermen.

More...

Wat is de manier van werken van aanvallers?

De criminelen beginnen met een techniek dat ‘password spraying’ heet. Hierbij verzamelen de aanvallers veelgebruikte wachtwoorden door eerder gestolen hacks te analyseren. Deze wachtwoorden proberen zij geautomatiseerd uit.

Met deze tactiek weet de hackgroep binnen te dringen bij een admin Office365 account. Omdat er bij het bedrijf ook wachtwoorden onderling werden verstuurd, kunnen de aanvallers meerdere wachtwoorden verzamelen en dus bij veel organisatiemiddelen komen.

Deze manier leidt tot een sneeuwbaleffect aan wachtwoorden en andere informatie. Het doel van de aanvaller is cyberspionage. Dit blijkt uit zoekopdrachten van de aanvaller die het Microsoft team heeft gevonden. Na het onderzoek van het DART blijkt dat de aanvallers 243 dagen in het systeem hebben gezeten.

Wat kunnen bedrijven doen om zich te beschermen?

Het eerste wat opvalt aan deze zaak is dat men eenvoudige wachtwoorden gebruikt, waardoor de eerste beveiliginglaag werd gecompromitteerd. Gebruik daarom unieke wachtwoorden en schrijf deze nergens op, maar gebruik een wachtwoordmanager zoals Keeper om ze te bewaren.

Mail ook geen vertrouwelijke informatie naar elkaar, maar versleutel deze gegevens met een veilig protocol zoals PGP.

Beperk indien mogelijk het aantal inlogpogingen dat gebruikers binnen een bepaalde tijd mogen doen. Zo is bruteforcen (het oneindig uitproberen van alle mogelijke toetsencombinaties) niet meer mogelijk.

Daarnaast is het raadzaam om ​multifactorauthenticatie (MFA) aan te zetten. Bij deze stap heeft een aanvaller ook toegang nodig tot bijvoorbeeld een telefoon.

Blokkeer of waarschuw ook bij loginpogingen van een nieuw of besmet apparaat en locatie. Een manier om dit te doen is door het gebruik van Lookout. Met deze software scan je mobiele apparaten op malware, verouderde OS en apps, en jailbreak of roottoegang. 

Het meest opvallende aan dit verhaal is dat een grote multinational geen oog voor security heeft. Het bedrijf gebruikt te makkelijke wachtwoorden en heeft tweefactorauthenticatie op kritieke plekken niet aanstaan. Ook heeft het pas na iets meer dan acht maanden doorgehad waar de aanvallers precies toe hadden geslagen. Dingen die je verwacht bij het MKB, maar zeker niet bij grotere bedrijven en al helemaal niet bij multinationals.

Moraal van het verhaal? Er wordt pas aandacht, energie en geld aan IT beveiliging besteed als het te laat is.

Frank Dap