Hoe gaat een cybersecurity assessment in zijn werk?
Geschreven door Stef Liethoff, cyber security specialist
Als cybersecurity experts, krijgen we bij SBL Cyber Monitoring vaak de vraag: "Ik heb wel geïnvesteerd in de veiligheid van mijn IT-omgeving, maar ik weet niet of dat voldoende is.” In dit artikel, neem ik je mee in onze aanpak. Deze methode is erop niet alleen op ingericht om technische zwakheden bloot te leggen, maar ook om ondernemers bewust te maken van de reële risico's voor hun bedrijf.
Het worst-case scenario
Een van mijn eerste vragen is altijd: "Wat is het worst-case scenario dat jouw bedrijf kan overkomen?" Dit ongeacht of dit scenario veroorzaakt wordt door een cyberincident. In de praktijk volgen meestal antwoorden die wel gerelateerd zijn aan cyberrisico's, zoals:
"Als al mijn belangrijkste systemen er een paar dagen uit liggen, dan kan ik mijn afspraken met mijn klanten niet nakomen. Dit heeft tot gevolg dat ik mogelijk klanten verlies of dat er financiële claims volgen. Indien het te lang duurt, dan kan dit grote gevolgen hebben voor de continuïteit van mijn bedrijf."
Bij bedrijven met een operationele productieomgeving (of een vergelijkbare OT-omgeving) stel ik ook vaak de vraag: "Wat is de impact als jullie productieomgeving geraakt wordt door een cyberincident?" Doorgaans krijg ik dan het antwoord: "Dat zou een hele grote impact hebben, maar is feitelijk niet mogelijk omdat de productieomgeving volledig gescheiden is van de IT-omgeving en geen verbinding heeft met het Internet."
Ik geef dan aan dat dit een uitstekende maatregel is om risico's te mitigeren. Maar zoals we later zullen zien, is de realiteit vaak anders.
Het assessment proces
Vervolgens start ik met het assessment. Ik kijk hierbij eerst naar het mogelijke aanvalsoppervlak. Welke systemen hebben een directe verbinding met het internet en hoe zit het met de systemen van de eindgebruikers?
Gaandeweg pel ik het dan af:
- Mogelijkheden tot initiële toegang
- Verkrijgen van meer privileges om bijvoorbeeld aanpassingen te maken aan de instellingen
- Verspreiden over het netwerk om zoveel mogelijk systemen te kunnen raken
- Het uiteindelijk bereiken van het doel
De netwerktopologie
Een vast onderdeel van het assessment is het maken en bespreken van de topologie van het netwerk en de systemen die eraan zijn verbonden. Is er sprake van segmentering? We doen dit aan de hand van een schematisch overzicht van het netwerk.
Daarna lopen we een rondje:
- Langs de ruimte waar het rack staat met de netwerkapparatuur (Firewall, switches, patch-panels en systemen)
- Naar de ruimte waar de gebruikers werkzaam zijn
- En waar de operationele productieomgeving staat
De realiteit vs. het schema
Niet zelden zie ik dan dat de praktijk er toch iets anders uitziet dan wat er op het netwerkschema is afgebeeld. Bijvoorbeeld, er lopen toch verbindingen tussen de operationele productieomgeving en de IT-infrastructuur. Dit betekent dat het voor cybercriminelen wél mogelijk is om bij de productiesystemen te komen en hier flink wat schade te veroorzaken.
Als ik de ondernemer hiermee confronteer, geeft men vaak aan dat de impact van een dergelijke aanval veel groter is dan het platleggen van de IT-omgeving middels een ransomware-aanval. Het stilleggen van de productieomgeving voor slechts een paar uur kan al desastreuze gevolgen hebben voor de continuïteit van het bedrijf.
Het belang van inzicht en monitoring
Ik probeer de ondernemer ervan bewust te maken dat het erg belangrijk is om exact te weten hoe het netwerk in elkaar zit, hoe de verbindingen lopen, etc. En als er wijzigingen zijn, dat men de impact van deze wijzigingen test middels bijvoorbeeld een pentest.
Netwerk security monitoring helpt hier ook bij. Door nauwgezet de verkeerstromen te monitoren, kan men zien welk verkeer tussen welke systemen loopt en vaststellen of dit conform het beleid is. Iedere afwijking kan men dan zien en vervolgens onderzoeken of dit geoorloofd is of niet.
Conclusie
Kortom, mijn aanpak is erop gericht om inzicht te verkrijgen in hoe het netwerk echt in elkaar zit. Vervolgens ga ik middels een dreiging- en kwetsbaarheidsanalyse na hoe weerbaar men is tegen cyberaanvallen.
Als het volledige inzicht ontbreekt, raad ik ook aan om een netwerkmeting te doen. Zo kan men vaststellen hoe de verkeerstromen nu echt lopen en of alles klopt. Dit vormt de basis om prioriteiten te stellen en effectieve maatregelen te nemen!
