Patchen, breng de pleister aan vóór het bloeden

Patchen, breng de pleister aan vóór het bloeden

medewerkers

In tegenstelling tot Wannacry bleek patchen niet het wondermiddel om Petya, of Notpetya, te voorkomen. Cybercriminelen zijn steeds creatiever in het vinden van zwakke plekken. Ditmaal hebben ze gerenommeerde bedrijven kunnen platleggen – van farmagigant MSD tot havenbedrijven als Maersk en AMP. Toch blijft patchen noodzakelijk, in combinatie met centrale monitoring door specialisten.

Vele media denken op dit moment dat patchen de gevolgen van Petya had voorkomen, maar patchen is slechts een deel van de bescherming, zoals mijn collega Eddy Willems heeft uitgelegd aan diverse media, zoals De Standaard en bij het VTM journaal. Organisaties kunnen bovendien legitieme redenen hebben om niet te patchen.

Redenen om niet te patchen

Als ik op bezoek ga bij Fortune 100 bedrijven (en ook veel kleinere) dan blijkt vaak dat er vele redenen zijn om niet te patchen, bijvoorbeeld omdat:

  1. men vreest dat de patches zelf voor problemen zullen zorgen dus men eerst zelf wil testen met de patches en dat duurt lang;
  2. sommige software geen patches toelaat omdat dit tot verstoringen leidt;
  3. het principe ‘don’t touch, it works’ geldt bij veel bedrijven en particulieren;
  4. systeembeheerders het zicht zijn kwijtgeraakt op de aanwezige software en de daarvoor benodigde patches;

Conclusie: patching is door alle voorgaande punten tijdrovend en duur.

Bron van besmetting

Zoals altijd is het een combinatie van goede monitoring, tijdig patchen en up-to-date houden van de beveiligingsproducten die problemen hadden kunnen voorkomen. Het Oekraïense familiebedrijf Intellect Service was met de boekhoudsoftware MEDoc de bron van de besmetting. Dit bedrijf had helaas alle beveiligingsadviezen in de wind geslagen. Met fatale gevolgen: 91% van de infecties is afkomstig uit de Oekraïne. Daarmee is het land het grootste slachtoffer van het virus. Onder andere een Oekraïense bank en energiecentrale, het nationale telecombedrijf en het vliegveld van Kiev gingen plat door de aanval.

Experts vermoeden dat hackers in Rusland de oorspronkelijke bron zijn van de gijzelsoftware, maar ook Russische bedrijven hebben er last van gekregen, omdat de Oekraïense bron veel klanten en partners in andere landen heeft. De autoriteiten hebben dan ook terecht de servers van het bronbedrijf in beslag genomen om eens grondig te onderzoeken wat er fout is gegaan. Ze wisten hierdoor een nieuwe besmettingsgolf te voorkomen door een besmette update tegen te houden, die zelfs in staat was geweest om gepatchte systemen te besmetten.

Miljoenenschade malware

Ik sta niet graag in de schoenen van Intellect Service. Volgens havenonderzoeker Bart Kuipers van de Erasmus Universiteit kan de schade van de hack alleen al voor het Nederlandse APM makkelijk oplopen tot miljoenen euro’s. De vraag is: wie gaat er opdraaien voor al deze schade? Het moge duidelijk zijn dat er van een klein familiebedrijf niet veel schadevergoeding te verwachten is.

Topvrouw Olesia Biloesova van Intellect Service heeft tegen persbureau Reuters toegegeven dat de servers van het bedrijf zijn gehackt en aanvallers een achterdeur installeerden. Volgens de topvrouw loopt elke computer gevaar die op hetzelfde netwerk zit als een computer met MEDoc. ‘We moeten vooral aandacht besteden aan computers die nog niet (zichtbaar) getroffen zijn. De malware zit daarop, wachtend op een signaal.’ Volgens haar zijn er zelfs aanwijzingen van een besmetting gevonden op computers die MEDoc niet gebruiken. Velen wachten dus met angst en beven op een vervolg.

Daarom kan ik slechts een advies geven: controleer zo snel mogelijk of jouw organisatie alle mogelijke maatregelen heeft getroffen om besmetting te voorkomen. Er zijn namelijk speciale hulpmiddelen om patching te vereenvoudigen. Voorkom ook dat infecties ongemerkt kunnen worden doorgegeven via de Windows Management Instrumentation (WMI). Dankzij dit beheerpaneel kan de besmette code zich verspreiden, dus zorg ervoor dat gewone gebruikers nooit rechten krijgen om WMI te gebruiken. Geef systeembeheerders de juiste gereedschappen om zo efficiënt mogelijk patches te installeren en om te monitoren of alle clients in een netwerk up-to-date zijn.

Betrouwbaar patchen

Twijfel je aan de betrouwbaarheid van patches? Zorg er in ieder geval voor dat deze alleen door systeembeheerders kunnen worden geïnstalleerd en kijk in een testomgeving of er problemen optreden bij eindgebruikers, of bij specifieke software. Een optimaal evenwicht tussen beveiliging en kosten is volgens mij een kwestie van slim boekhouden. Reken maar uit wat het duurste is: systemen en beveiliging goed bijhouden en daarmee miljoenenschade voorkomen, of bezuinigen op systeembeheer en beveiliging en als organisatie dagenlang plat liggen, schadevergoedingen betalen en onderzoekers op bezoek krijgen die servers in beslag nemen.

GEEN REACTIES

LAAT EEN REACTIE ACHTER