Bij online games is een gebruikelijke actie: forceer het zwakke slot van het gebouw, open de poort en kijk aan! Je bent binnen én hebt toegang tot alles wat je nodig hebt: geld, gezondheid, ammunitie. Hoewel het in het dagelijks leven natuurlijk heel anders werkt, is de overeenkomst met de WannaCry-methode opvallend. Ook hier werd gebruik gemaakt van een bestaande zwakheid (in Microsoft software) om toegang te krijgen tot het netwerk, vervolgens werd een tweede poortje geopend en kon de ransomware zich razendsnel verspreiden. WannaCry heeft de afgelopen periode honderdduizenden computers besmet. En dit is nog maar het begin.
Razendsnel verspreiden
De meeste bedrijven hebben de randen van hun netwerk goed beveiligd. Dat is prima, maar helaas niet afdoende. Want geen enkele firewall houdt alle virussen en malware 100% tegen. Dat betekent dat er zo nu en dan malware het netwerk opkomt en zich razendsnel kan verspreiden. Bedrijven die hun netwerk in gescheiden zones opdelen, doen het beter. De zogenaamde segmentatie van het netwerk wordt in dit geval geregeld door de firewall in de kern.
Een geschikte firewall kan de functie van de switches overnemen, en regelt zodoende niet alleen het netwerkverkeer, maar inspecteert het verkeer en bekijkt of het voldoet aan veiligheidsregels en eisen. Het voordeel is dat de verschillende zones, zoals bijvoorbeeld bedrijfsservers, Virtual Local Area Network (VLAN), VOIP toestellen, gebruikersapparaten en eventuele IoT-toepassingen, los van elkaar staan. Mocht er onverhoopt een virus actief worden, dan grijpt de firewall direct in en sluit alle poorten naar de andere zones. Dit zorgt ervoor dat nooit het gehele bedrijfsnetwerk plat ligt en het is een effectieve vorm van ‘damage control’.
Waarom maakt niet elk bedrijf gebruik van segmentatie?
Het netwerkverkeer wordt standaard geregeld door een core switch, die niets anders doet dan het regelen van het verkeer. Het maakt de switch niets uit om hoeveel verkeer het gaat, wat de inhoud is of waarom het verstuurd wordt. Over het algemeen zijn verkeersstromen binnen netwerken vaak niet duidelijk. Een algemene misvatting is, dat het veel werk is om deze in kaart te brengen. Als de core switch is vervangen door een firewall, wordt niet alleen de veiligheid verhoogd, maar krijgen netwerkbeheerders ook eenvoudig inzichtelijk welke verkeersstromen er zijn. Vervolgens kunnen hier, in samenwerking met een ervaren consultant, regelsets voor worden gebouwd. Dit creëert niet alleen minimale toegang en verspreiding van ongewenst verkeer, het zorgt er ook voor dat de netwerkbeheerder altijd ‘in control’ is. Dit in tegenstelling tot core switches.
Waiting to happen
WannaCry was, zoals de Engels het zo mooi zeggen, an accident waiting to happen. Het zat er al een tijdje aan te komen. Ook de volgende virusuitbraak zal, indien er weer een kwetsbaarheid ontstaat, dankbaar gebruik maken van de open poorten die toegang geven tot alle uithoeken van het netwerk. Daarom is het team van Contec al jaren bezig om organisaties te informeren over het belang van netwerksegmentatie. Om de randen en de kern van het bedrijfsnetwerk veilig te houden, zetten we securityproducten van Hillstone Networks in. Hiermee wordt het netwerkverkeer geregeld, zorgt het intrusion prevention systeem ervoor dat hackpogingen voorkomen worden en kan de IT beheerder dankzij de inzet van abnormal behaviour detection direct actie ondernemen als er afwijkende activiteiten plaatsvinden.
Volgens Security.nl hebben de ontwikkelaars van WannaCry in totaal 315 betalingen ontvangen. Dit komt neer op 49 bitcoin, oftewel 95.000 euro. Waarschijnlijk is dit niet het grote succes waar de aanvallers op hadden gehoopt. Geen eindeloze hoeveelheid geld, gezondheid, ammunitie dus. Gelukkig maar: game over.
Bert Janssen, Contec
