• Home
• Nieuws

Danny de Weille (Pentests.nl): Een kleine ingreep kan het verschil al uitmaken tussen wel en niet gehackt worden

Geplaatst door CorporatieMedia op Friday 22 July 2022

De dag waarvan veel mensen vreesden dat hij eraan zat te komen, was begin dit jaar eindelijk hier. De sector werd opgeschrikt door een grote ransomware-aanval die verschillende corporaties plat wist te leggen. Betekent dit dat het gevaar nu tijdelijk geweken is? Hoe weren corporaties zich in de toekomst tegen dit gevaar? En hoe ziet de ransomware-aanval van de toekomst eruit? CorporatieGids.nl sprak erover met Ethical Hacker Danny de Weille van Pentests.nl: “Woningcorporaties zijn voor criminelen een ware goudmijn.”

Het risico van een nieuwe ransomware-aanval is allesbehalve afgenomen, begint Danny het gesprek met een waarschuwing: “Het gevaar zal namelijk altijd blijven. Hackers liggen continu op de loer en er komen dagelijks nieuwe kwetsbaarheden aan het licht waarmee ze een nieuwe aanval in gang kunnen zetten. Het kan op momenten lijken dat het gevaar voor een aanval is afgenomen doordat er niets in het nieuws komt, maar het is natuurlijk niet zo dat alle incidenten publiekelijk bekend worden. Zolang de ‘bedrijfsvoering’ van de ransomware-criminelen dusdanig lucratief zijn, zullen ze er niet mee stoppen en zal het gevaar juist toenemen.”

Goudmijn
Ransomware-aanvallen beginnen in het algemeen met phishing, het raden van slechte wachtwoorden van medewerkers of is een gecompromitteerde softwareleverancier, vat Danny samen: “In eerste instantie zullen de meeste criminelen niet specifiek de focus bij woningcorporaties neerleggen, maar kijken ze waar ze het makkelijkst binnen kunnen komen. Eenmaal binnen is een woningcorporatie voor criminelen een ware goudmijn. De meeste corporaties publiceren de jaarcijfers online en met de nog steeds stijgende huurprijzen is de portefeuille van een corporatie vaak goed gevuld. Bovendien hebben ze een enorme hoeveelheid persoonsgegevens van huurders en oud-huurders; van financiële gegevens tot legitimatiebewijzen. De combinatie van al deze gegevens en pressiemiddelen leidt vaak tot een hoog losgeldbedrag.”

Artis, RTL en MediaMarkt
Iedere sector krijgt vroeg of laat te maken met ransomware-aanvallen. “Corporaties zijn dan ook geen uitblinker of uitzondering. De afgelopen jaren zijn er in Nederland genoeg voorbeelden van zulke aanvallen in het nieuws geweest; van de gemeente Hof van Twente tot Universiteit Maastricht, en van RTL Nederland tot MediaMarkt. Zelfs dierentuin Artis is niet buiten schot gebleven.”

Back-ups
Het voorkomen van een hackaanval is natuurlijk altijd beter dan genezen, gaat Danny verder. “Een belangrijke eerste stap is dus zorgen dat de beveiliging op orde is en blijft. Een periodieke toets van de beveiliging – een pentest – kan hiervoor uitkomst bieden. Hierdoor kan het een cybercrimineel een stuk moeilijker worden gemaakt. In geval van ransomware is het immens belangrijk dat er adequate back-ups zijn. Bij voorkeur wordt er gebruikgemaakt van offline of immutable back-ups. Een crimineel kan deze niet versleutelen of verwijderen. Als deze back-ups na de aanval bruikbaar blijken te zijn, kan dat een reden zijn om het geëiste losgeld niet te betalen. In veel gevallen zullen criminelen hierop voorbereid zijn en van tevoren al een grote hoeveelheid data hebben gedownload, wat ze dreigen te openbaren als er niet betaald wordt.”

Phishing
Binnen de IT wordt de mens echter vaak als zwakste schakel gezien. “Vaak wordt een ransomware-aanval dan ook voorafgegaan door een phishingcampagne. Sinds kort bieden wij als Pentests.nl phishingsimulaties aan. Hierbij sturen we phishingmails naar alle medewerkers en houden we statistieken bij over klik- en inloggedrag. Door periodiek phishingmails te sturen en de resultaten te vergelijken met een eerdere simulatie, kan de bewustwording van medewerkers worden gemonitord.”

Pentest
Pentests.nl kan corporaties op diverse manieren, zowel proactief als reactief, helpen zichzelf te bewapenen tegen ransomware-aanvallen, gaat Danny verder: “Door het uitvoeren van een pentest weet een corporatie bijvoorbeeld waar ze staat omtrent IT-beveiliging. Zo hebben wij afgelopen maand bij een corporatie een interne bedrijfsnetwerkpentest uitgevoerd waarbij we binnen één dag het account van een domain administrator hadden overgenomen. Het overnemen van dit account is voor criminelen vaak essentieel, omdat hiervandaan nagenoeg iedere server en machine bereikt kan worden én kan worden versleuteld. Veel van de doorlopen stappen zijn door een corporatie eenvoudig op te lossen, waardoor een crimineel in de toekomst veel meer moeite moet doen om tot dit resultaat te komen.”

Kleine ingrepen maken het verschil
Afsluitend kijkt Danny naar waar volgens hem de grootste winst ligt voor corporaties als het gaat om informatiebeveiliging: “Als je kijkt naar de menselijke kant, zijn phishing awareness en het gebruik van sterke wachtwoorden – al dan niet in samenwerking met een passwordmanager – essentieel. Voor de technische kant zijn dit multifactorauthenticatie, segmentatie van het netwerk, een geteste back-upstrategie, het doorvoeren van beveiligingsupdates en het periodiek toetsen van de beveiliging middels een pentest. Dit zijn kleine technische ingrepen die heel belangrijk kunnen zijn en zomaar het verschil kunnen maken tussen wel en niet gehackt worden.”

Bron: CorporatieMedia, Foto: Pentests.nl