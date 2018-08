Eerst zie je de pijnlijke publieke mededeling dat er is ingebroken. Dan, een paar dagen of weken later, nog een pijnlijk moment: er zijn een paar miljoen records meer gestolen dan aanvankelijk werd gedacht. In een later stadium volgt nog een derde mededeling naar buiten toe, met nóg een bijstelling naar boven. Met elke nieuwe bekendmaking verliest de gehackte organisatie haar geloofwaardigheid en wordt ze geconfronteerd met een grotere aansprakelijkheid.

Jon Connet, senior director voor bedrijfsstrategie bij ForeScout: "Deze organisaties doen te snel een uitspraak na de inbraak. Het na-ijleffect heeft veel van deze bedrijven de das omgedaan. Ze doen direct uitspraken op basis van de eerste eerste forensische bevindingen, waarbij de voor- en nadelen van worden afgewogen van het verhaal voor zijn, voordat ze goed en wel begrijpen wat er is gebeurd."

Imagoschade is niet de enige schade die je oploopt als je de omvang van een datalek niet weet. Zelfs als de inbraak niet openbaar wordt gemaakt omdat bijvoorbeeld de enige verloren gegevens intellectueel eigendom waren, dan zou het niet precies weten van wat de aanvallers te pakken hebben gekregen financieel uiterst schadelijk voor een bedrijf kunnen zijn.

Als een bedrijf niet kan zien welke systemen er zijn aangevallen, kunnen de aanvallers zich nog steeds in de omgeving bevinden, doorgaan met het exfiltreren van gegevens of zich klaarmaken om nog meer aanvallen uit te voeren.

Omdat zulke inbraken al zo vaak in het nieuws zijn geweest, is het verrassend dat bedrijven nog steeds zulke problemen met deze kwestie hebben. Hoe kunnen bedrijven het probleem aanpakken? "Als je je alleen richt op na de periode ná het datalek, dan is het antwoord: dat kan niet," zegt Adrian Asher, CISO bij de London Stock Exchange Group.

Je moet lang voordat de breuk ooit gebeurt begonnen zijn. "Als je niet hebt geïnvesteerd in de technologische middelen en mensen voordat een inbraak plaatsvindt, dan ben je slecht voorbereid als de nood eenmaal aan de man is," zegt hij. Volgens Asher en andere deskundigen, moeten de bedrijven assets inventariseren, logging hebben, en reacties oefenen met behulp van simulaties. "Dit zijn enkele van de mogelijkheden waarmee je zeker kunt zijn van de omvang en de gevolgen van een inbreuk," zegt hij.

Hieronder noemen we drie veelvoorkomende redenen waarom bedrijven moeite hebben met het beoordelen van de omvang van de inbraken, samen met advies voor een betere voorbereiding.

1. Niet weten waar gegevens staan, wie ze gebruiken en hoe ze worden gebruikt

Het begint allemaal met weten waar de gegevens zich bevinden, zegt Asher, zowel on-premises als in de cloud. Bedrijven moeten ook weten wie toegang heeft tot die gegevens, hoe deze worden gebruikt en met welk doel. "Deze eenvoudige eisen zijn echter uiterst complex voor een organisatie met vele jaren ervaring en gecompliceerde omgevingen die organisch zijn gegroeid", zegt hij.

Het is een lastig proces om erachter te komen welke gegevens zich op welke plaats bevinden, zegt Mike Hanley, VP of Security bij Duo Security, Inc. "Je moet dat aanvullen met een goed begrip van de bedrijfsprocessen en -middelen die je probeert te beschermen", voegt hij eraan toe. "Als je niet begrijpt hoe het bedrijf zijn gegevens gebruikt, kun je blinde vlekken hebben over hoe bedrijfsprocessen leiden tot duplicatie van gegevens elders."

De gegevens kunnen ook worden gebruikt door externe leveranciers, in platformen voor het delen van bestanden en opgeslagen in Amazon-buckets. Dit zijn allemaal potentiële bronnen van gegevensdiefstal en vereisen verschillende benaderingen voor monitoring en forensische analyse.

Je bent nog steeds aansprakelijk, zelfs als de gegevens verloren gaan door iemand anders, zegt Eric Blatte, president en medeoprichter bij RiskRecon, Inc. Uiteindelijk ben je verantwoordelijk voor het beheer van dat risico van derden. "Je kunt niet zomaar je kop in het zand steken, of je vingers in je oren", zegt hij. "Je moet een volledige catalogus hebben van waar je gegevens zich bevinden, niet alleen met wie je een contract hebt, maar ook met wie de providers zijn waaraan ze hun werkzaamheden uitbesteden." Vorig jaar was bijvoorbeeld een dieptepunt voor Amazon S3 qua gegevensverlies, met Accenture, Dow Jones, Verizon en Uber die allemaal per ongeluk gevoelige records blootstelden, en die tendens zette dit jaar voort met FedEx, Honda en Los Angeles County.

Een data-inventarisatie maken is niet sexy, en genereert geen inkomsten, en doet niet veel om een inbreuk te voorkomen. Basaal blokkeren en aanpakken van standaardissues wordt maar steeds voor onbepaalde tijd uitgesteld. Zelfs als een bedrijf de noodzaak begrijpt, kan het zijn dat het geen actie onderneemt. "Misschien wil je eerst nog iets anders doen," zegt Itzik Kotler, CTO en medeoprichter bij SafeBreach, Inc. "Er zijn verschillende prioriteiten. Elk bedrijf heeft een ander verhaal. Als er regulering is, is het gemakkelijk: het dwingt je om iets te doen. Zo niet, dan blijft het een onbeantwoorde vraag."

2. De juiste logs voor het uitvoeren van forensisch onderzoek ontbreken

Veel bedrijven beschikken niet over de juiste logs om te kunnen zien waar een inbreuk zich heeft voorgedaan en welke gegevens verloren zijn gegaan. Daar zijn verscheidene redenen voor, zegt Thomas Etheridge, VP van de diensten bij CrowdStrike, Inc. Deels komt dat door het niet weten welke logs precies nodig zijn, zegt hij. Er is natuurlijk ook een financiële reden. "Er is geld nodig voor bedrijven om logs op te slaan en bij te houden", zegt hij. "Het hebben van het budget en de investeringen is er zeer belangrijk."

Tot slot moet het bedrijf de logs correct configureren en weten wat er gedaan moet worden met de informatie. Hier helpt het om te oefenen, zegt Etheridge. Het doorlopen van een gesimuleerde inbraak kan een bedrijf helpen om hiaten in de plannen te identificeren. Aangezien gekwalificeerde forensisch deskundigen moeilijk zijn te vinden, houden sommige bedrijven ook een extern forensisch team op de loonlijst, voegt hij toe.

Een ander probleem met logs is weten wat je moet verzamelen, niet alleen wanneer er iets ongebruikelijks gebeurt, maar wanneer alles goed lijkt te gaan. "Neem een SQL-injectie in de body van een post-request," zegt Jeff Williams, CTO en medeoprichter bij Contrast Security. "De meeste van die gegevens worden nooit gelogd. Het wordt niet gelogd bij de firewall of bij de app-server. Het is aan de applicatie zelf om te loggen, maar vanuit het perspectief van de applicatie gaat er niets echt mis." Dus, de daadwerkelijke aanval zou nooit overal gelogd kunnen zijn, zegt hij.

Naast de verschillende injectie-aanvallen, heb je het probleem van onrechtmatige authenticatie. "Als iemand die niet bevoegd is je wachtwoord ziet en inlogt op je account, weet het systeem niet dat er een aanval is", zegt Williams. "Als iemand een manier vindt om zijn rechten te escaleren en actie te ondernemen waarvoor hij niet gemachtigd was, wordt dat meestal niet gelogd." Versleutelingsproblemen worden ook bijna nooit gelogd, voegt hij toe.

"Soms zie je nauwelijks iets", zegt Bob Anderson, chef bij The Chertoff Group. Anderson heeft dertig jaar in recherche doorgebracht en is onlangs als deskundige opgeroepen in verscheidene collectieve rechtszaken, die in de honderden miljoenen of miljarden dollars lopen. Deze rechtszaken halen het nieuws niet, zegt hij, omdat de schikkingen niet openbaar worden gemaakt.

"Ik denk niet dat de meeste bedrijven begrijpen hoeveel dit hen gaat kosten," zegt hij. "Zelfs als je wint, ga je tientallen miljoenen dollars uitgeven om jezelf te verdedigen. Als een bedrijf geen juiste logging heeft, voegt Anderson toe, kregen de bedrijven te maken met aanvullende (en zware) monetaire sancties in deze rechtszaken.

Behalve aanvallen die niet worden opgemerkt op de systemen, of waarbij zerodays worden gebruikt, of waarbij de aanvallers bewust hun sporen wissen, is een veelvoorkomend probleem dat bedrijven wel logsystemen hebben, maar deze nooit inschakelen. "Veel bedrijven begrijpen niet welke software automatisch wordt uitgeschakeld", zegt Anderson. "Zelfs als ze logsystemen hebben, hebben ze geen logs. Dat is een enorm probleem."

3. Een inbraak niet tijdig opmerken

Hoe langer het duurt voordat een bedrijf de aanval signaleert, hoe meer schade de aanvallers kunnen aanrichten en hoe moeilijker het wordt om die schade in te schatten. "Vroeger werkte ik bij een groot chemisch bedrijf, en als je een inbraak opmerkte, was dat de eerste vraag die je moest beantwoorden: Wat is de omvang van deze inbraak", zegt Tim Bandos, VP cybersecurity bij Digital Guardian. "Het identificeren van elke endpoint die hierbij betrokken was, is van cruciaal belang omdat de slechterik backdoors en andere tools kunnen hebben achterlaten."

Bandos zegt betrokken te zijn geweest bij een situatie waar meer dan honderd apparaten bij één enkele inbraak waren betrokken. Hoe langer de aanvallers binnenblijven, hoe gevoeliger de informatie is die ze kunnen verwijderen, hoe meer malware ze kunnen installeren en hoe moeilijker het zal zijn om alle systemen te desinfecteren.

"Een bedrijf, eenmaal gepenetreerd, kan er niet zeker van zijn dat het hele incident voorbij is en er geen onaangename verrassingen op de loer liggen", meent Elad Shapira, hoofd onderzoek bij Panorays, een in Israël gevestigd beveiligingsbedrijf. "Als bijvoorbeeld je server is aangevallen en je een recovery uitvoert, zal de inbraak waarschijnlijk opnieuw gebeuren als je de hoofdoorzaak niet vindt en aanpakt."

Er zijn verscheidene high-profile incidenten geweest waar de aanvallers gestolen gegevens publiceerden, om vervolgens later meer gegevens vrij te geven, zegt Shapira. Hij verwijst onder meer naar de Anonymous-aanval op HGGary en de vele malen dat de Shadow Brokers Hacking Group CIA-documenten uitbracht. "In het geval van een ransomwarebesmetting weet je niet zeker dat als je betaalt je niet opnieuw doelwit zult zijn of verdere schade zult lijden", hij voegt toe.

Volgens het recentste Data Breach Investigations Report van Verizon, duurde het bij 68 percent van inbraken minstens enkele maanden om ze te ontdekken. Sterker nog, veel bedrijven komen er zelfs niet achter totdat zij door een derde partij op de hoogte worden gebracht, zegt Etheridge. Zo kunnen bijvoorbeeld klantrecords op het Dark Web verschijnen of worden gestolen creditcardnummers gebruikt voor frauduleuze transacties.

Een goed geoefende incidentrespons is van kritiek belang, en bedrijven zouden moeten overwegen om het plan te testen met behulp van externe deskundigen, en forensisch te doen zodra een inbraak voorkomt. "Zelfs Fortune 500-bedrijven moeten een beroep doen op externe bedrijven om hen daarbij te helpen", zegt Mark Weatherford, SVP en chief cybersecurity strateeg bij vArmour.

Die plannen en relaties moeten uitgewerkt zijn alvorens een breuk voorkomt, zegt Weatherford. "Het ergste moment om iemand in het telefoonboek te zoeken die je kan helpen, is te midden van een incident."

De AVG

Op grond van de nieuwe Europese algemene verordening inzake gegevensbescherming (AVG) die afgelopen mei in werking is getreden, hebben bedrijven 72 uur de tijd om de omvang van de inbreuk te melden. Er is geen specifieke wettelijke sanctie voor het niet ontdekken van een inbraak in de regels van de AVG, maar als de onwetendheid opzettelijk of doelbewust was, zijn de rapen gaar.

De AVG stimuleert bedrijven om hun datamanagementstrategieën te heroverwegen en systemen op te bouwen die de locatie van gegevens volgen en de toegang tot gegevens te monitoren. De reglementen zullen ook de aandacht van C-level trekken en de nodige financiering aantrekken.

Ook de voortgaande digitale transformatie van bedrijven schept nieuwe mogelijkheden. "De cloud is een kans om het goed te doen", zegt Asher. "Bedrijven, groot en klein, moeten nadenken over hun erfenis van morgen die ze vandaag creëren".