Het netwerk van RSA, nota bene de autoriteit in beveiliging, werd begin dit jaar sluipenderwijs binnengedrongen door hackers. Twee samenwerkende groepen doorzochten de infrastructuur van RSA op zoek naar net dat ene kleine element in het product SecureID dat ze konden gebruiken in een volgende aanval. Die was op een klant van RSA gericht, namelijk defensiespecialist Lockheed Martin.

Volgens Thomas Heiser, president van RSA, kwam de aanval van een land, waarvan hij zegt dat niet meer te achterhalen is welk land het is. “Het was uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze zochten en waar wat op het netwerk te vinden was."

De aanval op RSA bestond uit verschillende lagen. De aanvallers hadden door phishing de gegevens van een “vertrouwd persoon" verkregen en konden zich als die persoon voordoen op het netwerk. Daarbij gebruikten ze een zero-day exploit, die door de eerste groep aanvallers werd gebruikt. Die groep kon door RSA worden getraceerd terwijl ze aan het werk waren, maar een tweede groep die de sporen in de infrastructuur volgde van de eerste, bleef onder de radar en kon pas na forensisch onderzoek worden ontdekt.

“De malware die ze gebruikten om de zero-day zwakheid te misbruiken, was slechts enkele uren voordat ze in actie kwamen, geschreven. Het was op maat en alleen bedoeld om op het RSA-netwerk te komen", zegt Heiser. Eigenlijk was RSA niet eens het doel, maar slechts een tussenstap om bij een ander bedrijf binnen te komen. Dat betekent dat de aanvallers veel investeringen hebben gedaan om tot een doel te komen. Dat is een van de redenen om aan te nemen dat de aanval door een vijandig land is gedaan en niet door hackers die vaak gaan voor een snelle winst.

Heiser zegt geleerd te hebben van de aanval. “Een goed gecoördineerde aanval wint het van de meest geavanceerde verdediging. Je kan alleen de mogelijkheden om binnen te komen kleiner maken." Volgens Heiser bestaan er maar twee soorten bedrijven in de wereld. “Zij die aangevallen zijn en zij die dat nog niet weten."

De topman van RSA zegt dat het bedrijf direct allerlei maatregelen heeft genomen om ten eerste het forensisch onderzoek goed te doen en ten tweede de aanvallers geen nieuwe mogelijkheid te geven binnen te komen. Hans Timmerman, country technology officer bij EMC Nederland, kan dat beamen. “Na de hack werd het hele netwerk afgesloten, buiten emailen kon niets meer. Toen werd eigenlijk duidelijk in hoeverre je als persoon en als bedrijf afhankelijk bent van internet. Langzaam werden meer diensten toegelaten, maar websites als Facebook zijn nog steeds taboe. Als je als werknemer bepaalde sites wil bezoeken, moet je daar bij de it-afdeling een verzoek toe doen. Je krijgt dan een bepaald tijdsframe waarin je dat kan doen, daarna vervalt je toegang weer."

Daarnaast worden werknemers van EMC, waartoe naast RSA ook VMware en Documentum behoren, gewaarschuwd dat hun internetbezoek wordt gemonitord. “We gaan ervan uit dat surfen op internet hetzelfde is als lopen door een achterbuurt. Je moet goed uitkijken. Je weet niet wie je tegenkomt, wat de bedoelingen van die persoon zijn."

RSA heeft zijn eigen maatregelen nu als advies aan klanten verpakt in vijf hoofdstukken. De vijf aanbevelingen van RSA aan klanten zijn:

1. Evalueer en blijf evalueren wat je beveiligingsdoelen zijn.

Daarmee bedoelt Heiser dat standaard beveiliging niet meer afdoende is. Bedrijven en overheden moeten eventuele doelen beschrijven van het beveiligingsbeleid. En daarmee de doelen waarom een kwaadwillende het bedrijfsnetwerk zou willen aanvallen. “Wat voor informatie hebben we in huis die waardevol kan zijn voor een ander?"

Niet alles hoeft op en top beveiligd te worden, beter is inspanningen te doen waar het er echt toe doet. Daarbij moet niet alleen de waarde voor het eigen bedrijf in de gaten worden gehouden. Wat zou schade kunnen toebrengen aan klanten of partners in de keten? “Wat we gezien hebben bij RSA is dat de aanvallers niet ons wilden hebben, maar defensiegeheimen bij een van onze klanten. Het gebeurt steeds meer dat hacks voor een ander doel worden gedaan dan puur met als doel de data van het aangevallen bedrijf te bemachtigen."

Overigens geldt dat ook andersom: wat ligt er bij klanten en partners dat schadelijk kan zijn voor jouw bedrijf? De laatste overweging in je strategie is de vraag hoe kwetsbaar je bent. “Daar houden veel managers niet van: met je billen bloot gaan. Maar kwetsbaarheden onderkennen is essentieel. Waar kunnen kwaadwillenden binnendringen en is dat erg? Soms niet, als er vervolgens niet naar belangrijke data of functies kan worden gegaan. En verder is het belangrijk te weten dat een goede bescherming vandaag geen garantie is voor de dag van morgen."

2. Vergeet je zero-day bescherming.

Om zich te weren tegen zero-day gaten in de beveiliging vertrouwen veel bedrijven op software die scant op signatures. Dat geeft onterecht een veilig gevoel, zegt Heiser. “Een goede aanval neemt een signatuur aan die bekend is op het netwerk en wordt dus niet herkend. Beter is te kijken naar ongewone gedragingen van netwerkvertrouwd verkeer.

De hackers van RSA namen signaturen aan die vertrouwd waren binnen de Active Directory (Microsoft) die het bedrijf gebruikte voor het netwerkmanagement. Daarmee deden de aanvallers zich voor als een bekende gebruiker of een bekend werkstation. De gedragingen van de aanvallers weken echter wat af van de gebruikelijke bewegingen die bij dat bekende signatuur hoorde. Mede daardoor werd de aanval volgens Heiser snel ontdekt, “zelfs terwijl die nog aan de gang was".

3. Focus op het continu monitoren van het netwerk

Heiser vindt dat bedrijven op zijn minst een continue en geautomatiseerde manier moeten hebben om het netwerk te monitoren, met bijvoorbeeld Security Information en Event Management-software. “Wees daarbij bereid om als het nodig is direct het netwerk af te sluiten van de buitenwereld of het helemaal neer te halen als er zich rare bewegingen voordoen op dat netwerk.

Het is een drastische maatregel en een laatste redmiddel, maar als je niet weet hoe ernstig een event is of kan worden moet je wel." RSA heeft dat niet gedaan, of heeft die beslissing te laat gemaakt, waardoor er tijdens het monitoren van de aanvallers toch data kon worden buitgemaakt door de hackers.

4. Maak authenticatie enorm strikt

Heiser pleit voor een strikter beleid op wie wanneer waar en waarom op het netwerk mag en bij welke bronnen mag komen. Zelfs bij een bedrijf dat in beveiliging doet worden werknemers zodanig vertrouwd dat er achteraf gezien daarin te veel mogelijk was. “Toegang moet moeilijker worden."

Een van de maatregelen die RSA heeft getroffen is een multifunctionele authenticatie, zoals Heiser dat noemt. “Naarmate iemand meer toegang tot bronnen moet hebben, worden ook de autenticatiemiddelen uitgebreider en moeilijker." Daarin past volgens hem een strategie die gebaseerd is op het risico dat het bedrijf loopt. Hoe hoger het risico dat er werkelijk schade kan worden aangericht, hoe meer restricties aan de gebruiker. “Je zou zelfs het aantal logins op bepaalde delen van het netwerk preventief kunnen beperken."

5. Onderwijs!

Heiser wil van educatie, onderwijzen, een mantra maken. De mens is de zwakste schakel, zo heeft hij ondervonden. “Dat begint al bij de directie. Daar moet de discussie plaatsvinden!" Als aan de top de gevaren van het hedendaagse internet worden ingezien, kan de rest van de organisatie makkelijker mee. “En druk de eindgebruikers maar met de neus op de feiten. Zij zijn de makkelijkste schakel waarbij de aanvaller binnen kan dringen."

Heiser pleit voor zware maatregelen in internetgebruik, iets dat RSA al heeft doorgevoerd in de organisatie. “Ik maak me niet populair door dit te zeggen, maar beperk het gebruik van social media door de werknemers. De informatie die ze daarop kwijt willen, kan onbedoeld schadelijk zijn voor je bedrijf." Ook heeft RSA een aantal sites onbereikbaar gemaakt, zoals Facebook.