Ja, ook jouw systemen zijn gehackt; tijd voor actie

Er bestaat een kans dat jouw bedrijf niet gehackt is, maar in de ontzettend actieve crimeware omgeving waar we op het moment in leven, is die kans echt heel klein. Als je niet gehackt bent, ben je ofwel extreem goed (met de volledige ondersteuning van het management en resources), ofwel een ontzettende mazzelpik.

Maar hoe zou de wetenschap dat je gehackt bent je eigen gedrag moeten beïnvloeden? Ten eerste is het wellicht geen slecht plan om het naar het IT-management te communiceren, als je dat nog niet gedaan hebt. Als zij op een slechte manier reageren, laat je ze deze column bijvoorbeeld lezen en maak je een lijst van alle grote beveiligingsgaten die ongerepareerd bleven de afgelopen jaren in het bedrijf.

Ten tweede is de beste manier om hacken te voorkomen, dat je alleen vooraf goedgekeurde software op werkstations en servers toelaat. De meeste IT-afdelingen hebben geen idee over wat er wel en niet op de computers draait die zij controleren. Gebruik een software inventaris of een application control programma om inzicht te krijgen wat waarop draait, bekijk elk actief programma van dichtbij, bepaal wat nodig is en blokkeer de rest. Als je deze stap niet kunt nemen, dan is het gevecht doorgaans al verloren. Maar er zijn ook andere verzachtende oplossingen.

De sleutel van die technieken is om het netwerkverkeer actief te monitoren en grote hoeveelheden data die naar onbekende locaties of tussen computers die niet zouden moeten communiceren verstuurd wordt te onderzoeken. Hackers kopiëren vaak de data intern naar een gecentraliseerde computer voordat ze het comprimeren en versturen naar een externe locatie. Er zijn veel tools en datalek detectie- en preventieproducten die je kunnen helpen bij deze typen van meten en laten weten.

Ik ben zelf een groot fan van Honeypot computers. Die doen helemaal niets, behalve wachten totdat iemand probeert in te loggen en jouw daarvan op de hoogte stellen. Hackers zijn misschien goed, maar ik moet de eerste nog tegenkomen die kan hacken zonder op z'n minst te proberen om in te loggen.

Sommige bedrijven stoppen data elementen in hun netwerk die de aandacht afleiden van wat belangrijk is. Ze kunnen helpen met het in kaart brengen van welke data naar buiten is gelekt. Soms is het zo simpel als het aanmaken van een nep e-mailadres die nooit legitiem gebruikt gaat worden. Andere snoodheden gaan zo ver dat ze neprecords, nepprojecten en zelfs nepbedrijven aanmaken om de aandacht af te leiden van wat wél belangrijk is.

Eén bedrijf waar ik kwam verkocht vis. Hun interne database bevatte een volledig gedocumenteerde, niet bestaande koper. Het nepbedrijf had een ongebruikt telefoonnummer en een adres dat tot een accountancy dochteronderneming behoorde. Maar geen van deze informatie bestond buiten de interne database van het bedrijf.

Op een dag kreeg het nepbedrijf e-mails en telefoontjes van een concurrent. Gedurende het nadere onderzoek vond men een geavanceerd, handmatig geschreven Trojan programma dat geïnstalleerd was op de centrale databaseserver. Het programma was er al zo lang dat de IT-werknemers het ding onderdeel hadden gemaakt van hun 'gold image' om database servers mee te maken. Nu hebben ze een echter een lijst van elk programma dat op de server en werkstations hoort te draaien.

Zelfs als je niet echt gehackt bent, moet je dus eigenlijk doen alsof je dat wel bent en besluiten wat je anders zou doen binnen jouw bedrijf om de hackers te stoppen. Echt waar, dat zouden we allemaal moeten doen!

Roger A. Grimes is een computerbeveiligingsveteraan die 20 jaar in het vak zit. Hij is auteur van 8 boeken en honderden artikelen over het onderwerp. Ook is hij beveiligingsarchitect voor het Microsoft InfoSec ACE team.

Bron: Techworld