IT-praktijk werkt ransomwareplaag in de hand
30-06-2017
Besmettingen zijn niet het gevolg van kennisgebrek, onwil of onkunde bij IT'ers.
Iedereen heeft wel een mening waar de schuld ligt van de WannaCrypt en NotPetya-aanvallen. De NSA, softwaremonocultuur, incompetentie, falend beleid - keuzes genoeg. Maar vergeet de security-utopie; laten we eens kritischer kijken naar de dagelijkse IT-praktijk.
De nieuwste malware-aanval die duizenden slachtoffers zwaar in de problemen bracht roept een déjà vu-gevoel op. Het is iets anders dan het WannaCrypt-debacle in mei en de partij erachter is waarschijnlijk een andere, maar de adviezen komen op hetzelfde neer: patch kwetsbare systemen, betaal geen losgeld en doe een recovery vanaf een back-up.
Nieuw maar niets nieuws
De nieuwe ransomware - Kaspersky noemt het ExPetr omdat het geen Petya-variant is en Cisco komt met de verwijzing naar de oorsprong uit de Oekraïne: Nyetya - had verschillende aanvalsvectoren, waaronder de door de NSA ontwikkelde Windows-exploits EternalBlue en EternalRomance, twee exploits voor een bug in netwerkprotocol SMBv1. In tegenstelling tot Wannacrypt beperkt ExPetr zich tot lokale netwerken en verspreidt het zich niet via internet. Het maakt de MBR onklaar, wat veel schadelijker is dan het versleutelen van individuele bestanden. ExPetr is de nieuwe aanval, maar het is verder technisch gezien niets nieuws. Het gebruikt bekende kwetsbaarheden, verspreid zich via een protocol dat sowieso niet internet-facing zou moeten zijn en misbruikt een OS-utility (PsExec).
Waslijst oorzaken
Ook bekend is het wijzen met beschuldigende vinger naar de bron en bijdragende oorzaken. Zo lazen we op blogs, sociale media en persberichten onder meer dat:
- De aanval weer een voorbeeld was van hoe organisaties security niet serieus nemen.
- Deze aanvallen makkelijk te voorkomen hadden kunnen worden met patches en een gelaagde aanpak van netwerkbeveiliging.
- WannaCrypt ons al had moeten wakkerschudden en dat er nog steeds veel organisaties en gebruikers zijn die Microsofts patch uit maart niet hebben toegepast.
- SMBv1 heel oud is en de poorten niet open moeten staan naar buiten toe.
- Het negeren van beveiliging onverantwoordelijk zijn ten opzichte van investeringen, productiviteit, arbeid et cetera.
Die lijst met terechtwijzingen gaat maar door en door. Laten we daarmee ophouden. Schelden heeft geen zin. IT-organisaties snappen echt wel dat patch-, back-up-, incident- en recoverybeleid cruciaal is om het netwerk te beschermen tegen schadelijke aanvallen. Doen alsof ze onverantwoordelijk of incompetent zijn verandert in de eerste plaats al niets en ten tweede gaan we dan voorbij aan de uitdagingen waar systeembeheerders mee te maken hebben.
Bewustwording niet het probleem
Het staat buiten kijf dat kwetsbare systemen software draaien die niet meer ondersteund, verouderd of simpelweg ongepatcht is. Dat is voor niemand in de IT-wereld een verrassing - of dat zou het tenminste niet moeten zijn. "Maar hoeveel we ook praten over patchen als oplossing, in veel gevallen gebeurt het niet", zegt beveiligingsspecialist Wendy Nather van Duo Security. "Het is alsof het zorgen voor bewustwording geen zoden aan de dijk zet."
Het gaat niet om nalatigheid. Vaak komen systeembeheerders in deze situatie terecht door organisatorische en praktische uitdagingen:
Als je het niet onder beheer hebt, kun je het niet updaten
Het is makkelijk gezegd dat alle systemen regelmatig gepatcht moeten worden, maar dat gaat voorbij aan een cruciaal issue: IT heeft niet altijd toegang tot alle apparaten die verbinding maken met het netwerk. Vooral met iets als NotPetya/Nyetya/ExPetr, waar via één besmetting reeds gepatchte machines worden geïnfecteerd, is dat een heel belangrijk aspect.
Voor sommige systemen is patchen geen optie omdat dat niet mag onder de garantievoorwaarden of onderhoudslicentie. Of denk aan fabricage, waar pc's die verbonden zijn met machines gezien worden als onderdeel van de fabriek en niet van het IT-systeem. Beheerders van de machines hebben liever niet dat IT met de apparatuur rommelt, maar IT moet zich wel buigen over compatibiliteit en security binnen het netwerk.
"Het issue is wijdverspreid, vooral onder organisaties die het niet het niet zo breed hebben om IT-beveiliging toe te passen, maar het gaat net zo zeer om terminals van financiële bedrijven als het netwerk van een hoger onderwijssysteem", zegt beveiligingsspecialist Nather.
Herken de organisatorische beperkingen
Dit is vooral een issue in de publieke sector, waar regelgeving en bezuinigingen IT-uitgaves in de war schoppen. "Belastingbetalers gaan niet betalen om software en hardware bij te werken dat prima werkt", licht Nather toe. Buiten deze sector zijn er andere mogelijke beperkingen van de organisatie, bijvoorbeeld strikte regels bij non-profits over wat er met het geld mag gebeuren.
Duurzaam conflicteert met snelle updates
Sommige technologie kost miljoenen (denk aan een MRI-machine) en is gebouwd om vele jaren mee te gaan. Regelmatig aan de machine prutsen om de software bij te werken botst met dat idee van stevige duurzaamheid. In de zorg is de veiligheid van patiënten van kritiek belang, wat betekent dat de apparatuur na elke softwarewijziging getest en opnieuw gecertificeerd moet worden. Dat kan dus niet aan de lopende band gebeuren.
Een systeem met externe, sterk verweefde dependency's duurt langer om bij te werken
Organisaties hebben gemiddeld 120 dagen nodig om de systemen te patchen. Die cyclus bevat onder meer het testen van verschillende applicaties om te zien of er geen conflicten zijn of dat de huidige functionaliteit niet verdwijnt. Het complexe web van dependency's betekent dat een update iets belangrijks kan doen omvallen. Neem bijvoorbeeld Windows XP - een oud besturingssysteem dat doorleeft in kiosksystemen en apparatuur en niet zo eenvoudig kan worden uitgefaseerd, hoewel de pc-versie al tijden niet meer wordt ondersteund. "We moeten een manier vinden om om te gaan met decenniaoude legacy en het simpele feit dat niemand een antwoord heeft op hoeveel effectieve beveiliging een bedrijf gaat kosten; we weten niet eens of het betaalbaar is", aldus Duo Security's Nather.
Wees realistisch en pragmatisch
Kijk naar oplossingen die toepasbaar zijn op de architectuur zoals hij nu is en niet het utopische ideaal van hoe de IT-infrastructuur eruit zou moeten zien. Organisaties hebben legacy en vele hebben enorme investeringen gestoken in onpatchbare systemen en apparatuur. Migraties zijn niet altijd de oplossing en de beveiligingssector zou creatiever kunnen kijken naar hoe ogenschijnlijk achterhaalde, maar voor organisaties belangrijke systemen kunnen worden beveiligd met aanvullende maatregelen. Je kunt het budget maar één keer uitgeven, wat betekent dat we ook creatiever moeten kijken naar hoe we omgaan met beperkte middelen. Nather vergelijkt het met het onder president Obama geïntroduceerde Amerikaanse stelsel van toegankelijke gezondheidszorg: "Gezien de complexiteit, externe dreigingen, economische stimulans en technische schuld die erbij komt kijken, hebben we een ACA nodig, maar dan voor IT."
Als een organisatie ongepatchte software heeft draaien is het bijwerken natuurlijk een goede eerste stap, maar als dat geen optie is - zoals regelmatig het geval is - moeten we niet met het geheven vingertje wijzen, maar work-around zoeken. Denk aan het beperken van admintools (als PsExec), strakker afstellen van gebruikersrechten, uitschakelen van oude protocollen (SMBv1) en poorten naar buiten toe blokkeren (445, 139).
In het geval van ExPetr lijkt het verhinderen van schrijven van c:\Windows\perfc.dat de infectie te blokkeren. Op oude ongepatchte machines die niet kunnen worden bijgewerkt met MS17-010 is het aanmaken van het bestand perf zonder extensie in %windows% ook een manier om deze ransomware te voorkomen.
"We zouden niet verbaasd moeten zijn dat we een nieuwe WannaCrypt-achtige aanval zien en we zouden eerlijk gezegd moeten toegeven aan onszelf en anderen dat het ook niet de laatste zal zijn. Waarschijnlijk wordt het slechter voordat het beter wordt", aldus Nather.
ComputerWorld Fahmida Y. Rashid