Snelle detectie is cruciaal bij een cyberaanval 

‘Volgens de laatste raming zouden al onze Belgische bedrijven samen voor ongeveer 100 miljoen euro aan losgeld betalen per jaar als gevolg van een ransomware-aanval. Om een vergelijking te maken: de kosten van de recente waterschade in ons land worden in dezelfde grootteorde geschat. Dan weet je dat het geen futiliteit meer is,’ Zegt Willem Janssens (Productmanager Cybersecurity).  

‘Bovendien valt te vrezen dat die cijfers maar het topje van de ijsberg zijn: heel wat bedrijven komen liever niet naar buiten met een cyberaanval. Al lijkt het tij stilaan te keren. Bedrijven die toegeven dat ze het slachtoffer werden van zo’n cyberaanval, maar tegelijk ook duidelijk communiceren over de stappen die ze gezet hebben na de aanval, winnen een stuk sneller het vertrouwen van hun klanten terug.’

Willem Janssens: ‘Er is nog veel werk aan de winkel. Doorgaans is het een constante zoektocht naar een juist evenwicht tussen de zakelijke belangen en de beveiliging tegen cybercriminaliteit. Wij hebben het gevoel dat er vooral rond risico-inschatting nog wel wat groeimarge is: welke risico’s wil je precies beveiligen, en tot welk niveau zijn de risico’s aanvaardbaar? Dat is niet alleen een financiële kwestie: we kampen vandaag ook met een wereldwijd tekort aan experts.’

‘Cybercriminaliteit is big business geworden met zeer winstgevende businessmodellen. Hackers investeren de opbrengst van hun aanvallen in nieuwe technologie en bepalen zelf waar en wanneer ze toeslaan, waardoor ze natuurlijk een stevig competitief voordeel hebben. Het is een continu kat- en muisspel. Bedrijven staan dus voor de uitdaging dat ze zich moeten wapenen tegen nieuwe types van aanvallen en nieuwe technieken.’

Kris Bogaerts (Manager Detection & Response): ‘Het komt er vooral op aan om zo snel mogelijk bepaalde signalen te detecteren, en met het oog daarop moet je zo veel mogelijk informatie samenbrengen en analyseren. Hackers komen binnen via phishingmails met een link naar malware, via systemen die kwetsbaar én publiek beschikbaar zijn of via toegangsgegevens van de organisatie die gelekt zijn.’

‘Ons advies is dan ook: zet in op verschillende beschermingslagen. Probeer je eigen medewerkers bewust te maken van de risico’s: leer hen bijvoorbeeld verdachte e-mails te herkennen en daar zeker niet op te klikken. Installeer zo snel mogelijk noodzakelijke software-updates zodat er geen kwetsbaarheden misbruikt kunnen worden. En gebruik individuele beveiliging op laptops of computers van je medewerkers.’

‘Zodra je de nodige lagen hebt opgebouwd, moet je voor al deze data de nodige zichtbaarheid creëren, zodat je zo efficiënt mogelijk de risico’s en de potentiële impact kunt bepalen. Daarvoor heb je natuurlijk analyse-intelligentie nodig.’ 

Kris Bogaerts: ‘Een goede voorbereiding op een cyberaanval is een essentieel deel van je beschermingsstrategie. Alleen dan kun je de impact van zo’n aanval zo klein mogelijk houden. Op zo’n moment meteen de juiste processen opstarten kan een gigantisch verschil maken, want iedere seconde telt’ 

Kris Bogaerts: ‘We zien regelmatig dat ze vertrouwen op een traditioneel antivirussysteem, dat bijvoorbeeld alleen bekende malware detecteert. Nieuwere beveiligingssystemen hebben oog voor afwijkend gedrag, ongewone processen in een systeem, en in het geval van ransomware bijvoorbeeld het onbruikbaar maken van bestanden via encryptie stoppen.’

Willem Janssens: ‘Vroeger draaide cyberbeveiliging alleen rond het voorkomen van aanvallen, maar intussen zijn hackers zo sluw geworden dat dit onhoudbaar is geworden. Vandaag moet je vooral een aanval snel kunnen detecteren om die zo snel mogelijk te stoppen en de schade te beperken.’

Willem Janssens: ‘Het MITRE-framework heeft alle tactieken en technieken in kaart gebracht die hackers inzetten om je beveiliging te omzeilen. Als een gebruiker een verdachte bijlage opent, kan een hacker ondertussen al toegang gekregen hebben tot zijn computer. Vervolgens geraakt die hacker gradueel binnen in meer computers in dat bedrijf, waarna hij op een bepaald moment in staat zal zijn om het hele bedrijf plat te leggen. Dat is doorgaans het moment om een ransomware- aanval te lanceren en zich kenbaar te maken.’ 

Kris Bogaerts: ‘Inderdaad, en bedrijven onderschatten dat nog al te vaak. Wat kun je bijvoorbeeld doen als je netwerk al zo sterk geïnfiltreerd is door hackers dat je geen enkel wachtwoord of geen enkele computer meer kunt vertrouwen? Als je dan nog een procedure moet bedenken om al je wachtwoorden te wijzigen – ook die van de netwerkbeheerders – dan ben je hopeloos te laat. Zo’n procedure kan je voorbereiden, zodat ze veel sneller naar alle systemen en gebruikers kan worden uitgerold.’ 

Willems Janssens: ‘De eerste stap is altijd de risicoanalyse. Wat zijn in mijn bedrijf de meest kritieke processen en de meest risicovolle activiteiten? Schakel daarvoor een externe specialist in, die de juiste vragen stelt. In tweede instantie stel je best in vraag of je nog de juiste actuele preventiemaatregelen hebt genomen. In een volgende stap bouw je dan een goede detectiestrategie uit. Hierin kun je bijzonder ver gaan, maar begin bij de basis: detectie op endpoint systemen zoals laptops en servers kunnen vaak al heel wat verdachte zaken oppikken op een zeer laagdrempelige manier.’