Een week na de Kaseya-hack: 4 security-opfrissers voor managed service providers

Next story

De Kaseya-hack van 4 juli heeft wederom aangetoond hoe kwetsbaar onze cyberveiligheid kan zijn. Met de toegang tot één systeem konden criminelen duizenden andere bedrijven aanvallen met hun ransomware. Zo’n aanval kan natuurlijk ieder bedrijf overkomen, maar het laat zien dat criminelen hun zinnen hebben gezet op de ‘spinnen in het web’. Software voor beheerders - maar ook de beheerders zelf.

Managed service providers (MSP) vormen een aantrekkelijk doelwit voor criminelen. Weten ze eenmaal toegang te krijgen tot hun beheeromgeving, dan hebben ze ook toegang tot hun klanten. Het is dus essentieel dat MSP’s hun security kritisch bekijken, en alle mogelijke maatregelen treffen om een soortgelijke ransomware-aanval te voorkomen. We geven je een aantal aandachtspunten.

Zet je deuren op slot én buiten zicht
Beheersoftware zoals het gehackte systeem van Kaseya zijn gevoelige tools. Deze programma’s moeten veel rechten hebben om te functioneren, en dat maakt het bijvoorbeeld lastig om systemen te segmenteren.

Wanneer MSP’s software zoals Kaseya gebruiken als een stukje gereedschap, moeten ze zich dan ook realiseren hoe kritiek deze is. En dat betekent dat niet iedereen makkelijk toegang zou moeten krijgen. Ja, het is handig als er een engineer on-call is die op afstand toegang heeft. Maar juist via zo’n log-inscherm werd het Kaseya-systeem binnengedrongen.

De ransomware-aanval van Kaseya verliep via een kwetsbaarheid in de code. Maar als deze niet makkelijk bereikbaar is, dan valt er ook geen kwetsbaarheid uit te buiten. MSP’s doen er dus goed aan om hun kritieke systemen goed afgesloten én afgeschermd te houden voor de buitenwereld. Sloten zijn te kraken, maar alleen als je bij de deur kan komen.

Kijk kritisch naar je gebruikte gereedschap
Neem je als MSP externe beheertools op in je gereedschapskist, dan moet je goed stilstaan bij de impact op de veiligheid van je systeem. Kaseya vraagt bijvoorbeeld dat je bepaalde mappen en bestanden uitsluit van anti-virusscans en firewalls. Daarmee kunnen deze tools weliswaar gemakkelijker worden geïmplementeerd, maar zo zet je natuurlijk wel de deur open voor een aanval. Denk dus goed na voordat je tools vrijwaart van controle. Daarnaast kun je je security mogelijk ook nog verbeteren door de bewerk- en deïnstallatierechten van deze tools te blokkeren.

Kortom, behandel alle externe leveranciers of software van derden als onderdeel van de eigen organisatie en audit deze ook. Wanneer je externe softwaretools integreert, met name open source-code, moet je ervoor zorgen dat deze wordt gecontroleerd en bijgewerkt zodra nieuwe versies beschikbaar komen.

Back-up!
In het geval dat ransomware toeslaat, zijn goede back-ups vaak de enige manier om de versleutelde data te herstellen zonder losgeld te betalen. Maar een enkele backup op dezelfde hardware is niet voldoende. Zorg voor verschillende kopieën, bewaar deze op verschillende media, op gescheiden locaties en overweeg ook offline kopieën te bewaren. Door backups goed te segmenteren, vergroot je de kansen op succesvol data-herstel. En vergeet niet de integriteit van alle back-ups doorlopend te testen - ook deze bestanden kunnen beschadigd raken! In het verlengde hiervan is het ook belangrijk om regelmatig te testen of het herstel van back-ups goed functioneert, zodat je niet voor nare verrassingen komt te staan.

Handel snel, transparant en vakkundig
In het geval dat een kritiek systeem toch wordt gehackt, kan ieder bedrijf leren van Kaseya’s respons. Kaseya handelde snel door hun volledige SaaS-infrastructuur uit te schakelen. Het bedrijf handelde ook transparant met onmiddellijke communicatie naar klanten. Zorg dus voor een actieplan en oefen regelmatig de uitoefening hiervan.

Transparantie helpt niet alleen bij het verhelpen van de eigen crisis. Nu hacks geavanceerder en grootschaliger worden, is het des te belangrijker dat de securitywereld van elkaar kan leren. Door open te zijn over de gemaakte fouten en geleerde lessen, kan de gehele techwereld zich in de toekomst beter wapenen tegen cybercriminelen.

Een strak geregisseerd en transparant crisisplan is belangrijk, maar het is natuurlijk beter om deze nooit te hoeven gebruiken. Naast bovenstaande tips, is het nu vooral zaak om tijd te investeren in de tools die je al in gebruik hebt. Zo kun je health checks aanvragen bij leveranciers om eventuele zwakke plekken te identificeren en deze vervolgens te hardenen. Daarnaast kun je internationale standaarden zoals NIST en ISO 27001 als een framework voor verdere professionalisering van het securitybeleid. Deze standaarden zijn meer dan een certificaat - ze helpen om bedrijfsprocessen controleerbaar te maken. En dat is nodig, want zeker bij ransomware geldt: voorkomen is beter dan genezen!