(leestijd: 3 minuten)
De timing van hackers: waarom Log4J wel eens tot een donkere kerst kan leiden
Twee jaar geleden werd het management van de universiteit van Maastricht gebeld, kort voor het kerstdiner. De Universiteit bleek slachtoffer van een hack, die ervoor zorgde dat de netwerk infrastructuur uit de lucht ging en zaken als scripties, tentamens, onderwijsroosters en sollicitaties opeens niet meer beschikbaar waren.
De continuïteit van de universiteit stond op het spel en zij koos er uiteindelijk voor om de aanvallers te betalen, zodat zij weer bij haar gegevens kon. Daar bleef het overigens niet bij, herstelwerkzaamheden in de weken erna kostten nog eens 1 miljoen euro.
Log4j: stilte voor de storm?
De timing van de hackers is niet toevallig. Statistisch gezien vinden de meeste hacks plaats op tijden waarvan bekend is dat bezetting bij bedrijven en organisaties laag is, zoals bijvoorbeeld in het weekend en tijdens vakanties. Hackers weten ook dat er dan minder personeel aanwezig is en er minder goed opgelet wordt. Net zoals reguliere inbrekers dus.
Wat dat betreft is de bekendmaking van de log4j vulnerability deze week slecht nieuws. Het department van Homeland security in de VS noemde het de grootste, meest kritieke software-kwetsbaarheid van het afgelopen decennium. De library zit werkelijk overal in, al ontbreekt het bedrijven vaak aan inzicht waar dan precies. Er is al op grote schaal alarm geslagen, dit heeft ermee te maken dat deze vulnerability wijdverspreid is, relatief makkelijk te exploiteren is, en op afstand volledige controle over een systeem geeft.
Er in het gedrag van hackers een duidelijk patroon te herkennen. Sinds de vulnerability is ontdekt wordt er wereldwijd op grote schaal gescand. Deze kwaadwillende leggen door middel van scans vast welke systemen op het internet kwetsbaar zijn. Tegelijkertijd zorgen zij ervoor om toekomstige aanvallen zoveel mogelijk onder de radar te houden.Er zijn legio aan impact scenario’s te bedenken waar organisaties het slachtoffer van kunnen worden, en dit is voor elke organisatie anders. Het reikt van Nation State en Advanced Persistent Threats (APT) tot aan het stelen van geclassificeerde informatie. Echter is ransomware een bedreiging waar bijna iedereen zich zorgen om zou moet maken. De log4j vulnerability gaat in zijn totale omvang voor veel hoofdbrekers zorgen de komende maanden en mogelijk zelfs jaren.
Dit betekent dat voor veel IT-afdelingen de donkere dagen voor kerstmis dit jaar extra donker zullen zijn.Toch is er ook enigszins sprake van stilte voor de storm: we mogen verwachten dat de echte problemen tussen kerst en oud-en-nieuw zullen verschijnen. Hackers trekken zich namelijk niets aan van de kerstgedachte .. of geven daar wellicht een eigen betekenis aan!
Gebrek aan inzicht
Elk bedrijf kan slachtoffer worden van een security incident, maar weinig bedrijven weten echter in hoeverre ze risico lopen. Ook is men niet in staat om regelmatig security hygiëne te meten om hier een indicator voor te krijgen en of basismaatregelen als updates, back-ups en security awareness van haar medewerkers op orde zijn.
Dit gebrek aan inzicht leidt ertoe dat bedrijven niet weten welke security investeringen ze moeten doen en hoe effectief ze zijn, dat het onduidelijk is wie verantwoordelijk is voor wat, en in het ergste geval, dat bedrijven belangrijke gegevens kwijtraken, wat direct klantenverlies tot gevolg kan hebben.
Om Informatiebeveiliging en continuïteit van uw bedrijf beter te managen is er continue inzicht nodig. Continue inzicht in uw vulnerability management, verantwoordelijkheden binnen security en de awareness van uw eindgebruikers, maar ook inzicht in uw bedreigingsprofiel en uw business continuity
Dit zal in de toekomst situaties gelijk log4j beter inzichtelijk en bestuurbaar maken binnen uw organisatie.
Wij wensen iedereen een rustige kerst toe en de beste wensen voor het nieuwe jaar. Mocht u goede voornemens hebben voor 2022, dan hopen wij dat continue security inzicht op uw lijstje staat.
Namens Soapbox Security
Hessel Heerebout
Gerwin Tijink