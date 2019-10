Er zijn maar weinig aanvalsincidenten zo breed uitgemeten als die met ransomware NotPetya in 2017. De aanval legde een aantal bedrijven lam, waaronder de scheepvaartgigant Maersk, die tijdelijk de controle verloor over diens werk in de haven van Rotterdam en zijn wereldwijde containernetwerk.

Op de Risk Summit van Gartner in London spraken CTO Adam Banks en CISO Andy Powell van Maersk over de dag dat NotPetya toesloeg. Ze vertelden wat er gebeurde, hoe ze reageerden en hoe de recovery verliep. Vervolgens vertelden ze over de geleerde lessen van het incident.

Maersk heeft 76 havens, ongeveer 900 schepen, zo'n vier miljoen containers en om en nabij de 1000 opslagloodsen. Een groot schip bevat 22.000 containers, elk ongeveer zo groot als de oplegger van een vrachtwagen. "De sector verrichte fantastisch werk in de jaren '60 en '70 met het standaardiseren van containers", vertelt Banks. "Je kunt niet zien wat er in een container zit: hij is verzegeld door de douane, dus iemand moet bepalen op welk schip hij wordt gelaten, wat er inzit en hoe deze gegevens allemaal worden verwerkt", zegt hij om toe te lichten waarom containervaart zo'n datacentrische business is. Elke container heeft zo'n 300 pagina's aan documentatie voor douanediensten en andere import/export documentatie.

Niet EternalBlue, maar credentialdiefstal

Omdat er zoveel gegevens met het verschepen van containers gepaard gaan, werd het bedrijf behoorlijk verstoord toen NotPetya toesloeg. De aanval zelf is uitgebreid beschreven de afgelopen jaren: staatshackers die poogden storingen te veroorzaken in Oekraïne maakten een update voor een Oekraïens belastingprogramma M.E.Doc met NotPetya aan boord, een wiper die zich voordoet als ransomware. De update infecteerde bedrijven wereldwijd, bijvoorbeeld bouwbedrijf Saint-Gobain, Amerikaanse postdienst FedEx, voedselreus Mondelez en farmaceutisch bedrijf Merck & Co.

"Maersk was niet kwetsbaarder, er was geen fout in de manier waarop we werkten", zei Banks. "Net als de meeste belastingsoftware wordt M.E.Doc frequent bijgewerkt met nieuwe belastingvoorschriften en wijzigingen. De meerderheid van deze applicaties wordt automatisch bijgewerkt en past een update toe elke acht tot tien weken. Vanuit de beveiliging gezien gebeurt er iets normaals: een server in je omgeving stuurt een request naar een leverancier, controleert of daar een nieuwere versie van de software is en downloadt het dan. Er gaat geen alarm af bij antivirussoftware; je zal niets oppikken bij die activiteit. Op die manier komt het je netwerk binnen."

Hoewel NotPetya de NSA-exploit EternalBlue gebruikte, vertelt Banks dat het bedrijf al drie maanden volledig was gepatcht. Dat werd alleen ongedaan gemaakt toen de malware credentials stal. "Helaas voor ons zou de server het weekend erop worden gemigreerd naar de cloud. De zondag voor de dag dat we geraakt werden (dinsdag) had een van onze domeinadmins ingelogd op die machine, had een inventaris gemaakt van alles wat erop stond en was weer uitgelogd. Het eerste wat werd gestolen door de malware was een geldige admincredential. Zo kon de malware horizontaal en verticaal in het systeem bewegen, waardoor ongeveer 55.000 machines in zeven minuten werden geïnfecteerd."

De dag van de storing

Om ongeveer tien uur 's ochtends was Banks verwikkeld in een zakelijke fotoshoot toen hij meerdere telefoontjes kreeg van het team dat het wereldwijde bedrijfsnetwerk monitorde. "Ze zagen dat delen van het netwerk stil werden, ongebruikelijk stil", herinnert hij zich. "Terwijl ze aan het bellen waren, verloor het monitoringscentrum in het VK alle visibility. Op dat moment besloten we dat we alles zouden uitschakelen."

Alle apparaten die niet waren uitgeschakeld op het moment van infectie waren op dat moment verloren: Maersk miste ongeveer 49.000 laptops en computers. Alle 1200 kritieke bedrijfsapplicaties waren ontoegankelijk. Hoewel het bedrijf mainframes had en hardware die Linux draaide die technisch nog steeds draaiden, hadden ze geen netwerk om eraan te verbinden.

Het bedrijfsnetwerk was volledig weggevaagd. Elke van de 147 Active Directory-instances hield op te bestaan. Alle telefoonnummers die niet waren opgeschreven of als hard copy bestonden waren weg, omdat contactenlijsten werden gesynchroniseerd met Microsoft Outlook, wat was verdwenen met het verlies van het netwerk. Kortom: het bedrijf kon niet meer wereldwijd communiceren.

Op dat moment had Maersk geen informatie over wat er aan de hand was. Was dit een gerichte of breed verspreide aanval, een ongeluk, een falend systeem of een mengelmoes van van alles? Het proces om alles down te brengen duurde ongeveer zeven uur. Banks zorgde ervoor dat de telefoonnummers van alle leden van het bestuur op papier stonden. Hij belde toen de CEO, die op het punt stond op een vliegtuig te stappen, en legde uit dat er iets groots aan de hand was.

Om ongeveer 17.00 uur die dag was het bedrijf er nog steeds niet zeker van wat er nou precies was gebeurd, maar door middel van contact met leveranciers en partners beseften ze dat dit een wereldwijd issue was en geen gerichte aanval op Maersk.

Wat Maersk daarna deed

's Ochtends vroeg de volgende dag had Microsoft goed en slecht nieuws voor het bedrijf. "Hun CSO zei: 'Het goede nieuws is dat we een apparaat hebben kunnen ontsleutelen. Het kostte 22.000 computeruren om dat te doen. Het slechte nieuws is dat de code slechts één apparaat ontgrendelt'", aldus Banks. "Op één kantoor stonden ongeveer 1000 machines waarvan er drie werkten. Vermenigvuldig de 22.000 uur met een netwerk van 60.000 apparaten en je snapt meteen waarom ontsleuteling geen optie was."

Omdat decryptie geen realistisch plan was, was de volgende optie om verloren data te herstellen. Banks was daar echter geen voorstander van en besloot om opnieuw van de grond af op te bouwen. "Als je kijkt naar de impact van het verlies waar we mee te kampen hadden, de infectiegraad van 99 procent, is het wellicht geen goed idee om hetgeen wat net is vernietigd zoals het was te herstellen. De dreiging is zo robuust dat hetzelfde steeds opnieuw vernietigd gaat worden", legt hij uit. "Dus we besloten helemaal opnieuw te beginnen in plaats van een restore uit te voeren."

"De CEO belde op en zei: 'Ben je gek geworden? Denk je serieus dat we in enkele weken een heel bedrijf kunnen herbouwen dat we in 114 jaar hebben opgebouwd, waarvan er dertig jaar aan technologische historie is?' Mijn reactie was: 'Wat kunnen we anders doen? Of we gaan hier zitten duimendraaien gedurende acht tot tien dagen terwijl we wachten op patches en antivirusdefinities, of we kunnen proberen om iets te doen'", zegt Banks. "Als we na acht tot tien dagen nog weinig vooruitgang hebben geboekt en er is dan goede bescherming beschikbaar, kunnen we altijd nog een restore doen."

"Het kwam neer op die simpele keuze: we zitten stil of we doen iets. We kozen voor het tweede."

Er was goed nieuws in de zin dat er een stroomstoring was in Lagos ten tijde van de aanval, waardoor een volledige onversleutelde kopie van de Active Directory het NotPetya-incident had overleefd. "De 23-jarige IT'er die daar actief was, kreeg een gratis reis op een Gulfstream G450, waar hij fysiek de harde schijf op vervoerde die we gebruikten als de kiem om de rest van het netwerk opnieuw te laten groeien."

Op ongeveer de veertiende dag had Maersk zijn basistechnologie terug. Het bedrijf werkte met een veel lager volume, maar was weer op de been. Om volledig terug te keren naar het niveau van vóór de aanval duurde nog eens vier weken, onder meer vanwege de uitdagingen om 17.000 nieuwe devices toe te voegen. "De vraag die ik het meest krijg is: 'Wat heb je gedaan?' Wat ik wilde doen was naar huis gaan." In plaats daarvan bleef Banks 70 dagen op het hoofdkantoor om de recovery uit te voeren.

Wees transparant en gebruik partners, klanten en leveranciers

Om het kleine forensische team te ondersteunen nam het bedrijf Deloitte in de arm als partner. Op de eerste dag had Maersk vijf mensen van Deloitte's forensische teams op locatie en op de vierde dag waren het er 180. "Ik zou graag zeggen dat we ze hadden gekozen na een uitgebreide zoektocht en diepe analyse, maar we kozen ze omdat ze fysiek het dichts bij de locatie zaten van waar ik wilde herstellen", vertelt Banks. "Ik koos het VK en Deloitte heeft een groot cybercentrum in dat land."

Het bedrijf gebruikte zijn technologiepartners om data te distribueren naar lokale kantoren. "Op dagen vier tot negen maakten we een nieuwe build voor clients en servers en ik wilde die nieuwe build zo snel mogelijk uitleveren, maar ik had 599 locaties en Active Directory was nog aan het opkomen op het wereldwijde netwerk", legt Banks uit. "Zelfs met de bandbreedte die we hadden ging het nog negen dagen duren om de AD-server te herbouwen."

"We vroegen onze partners, Deloitte, IBM en Microsoft. We zeiden: 'We hebben hier een aantal bestanden die we wereldwijd willen distribueren. Ondanks dat we het meest geïnfecteerde bedrijf ter wereld zijn, zouden jullie deze over jullie netwerk willen verplaatsen?' De bedrijven zegden toe de builddata te leveren op plekken in de buurt van de Maersk-locaties, die vervolgens door lokale werknemers werden gebruikt." Om de techneuten te kunnen laten focussen op het herbouwen van servers, ontfermden sales- en marketingmedewerkers zich over de laptops.

Transparantie was ook een belangrijk element van de respons van Maersk en het bedrijf is daar veel om geroemd in de nasleep. Dat leverde genoeg goodwill op dat anderen de containerspecialist ondersteunden bij het herstel. "In andere bedrijven waar ik soortgelijke gebeurtenissen heb meegemaakt, bellen alle mensen van sales de technische afdeling voor informatie die ze kunnen delen met klanten en dat zorgt voor te veel afleiding", weet Banks. Om dat te voorkomen werd er iedere 12 uur een video gedeeld met een update van wat er was gedaan.

Na kennis genomen te hebben van Banks' wens om intern transparant te zijn, besloot de CEO hetzelfde extern te doen. Hoewel Banks toegeeft het op dat moment niet eens te zijn met die beslissing, heeft hij zijn standpunt herzien en besefte hij dat transparantie het bedrijf heeft geholpen. "Er zijn niet genoeg mensen met bepaalde vaardigheden meer. Als je opeens Azure Cloud-ontwikkelaars nodig hebt, kun je ze niet vinden. Omdat we transparant en open waren, konden we aan klanten vragen of ze ons enkele Azure Cloud-ontwikkelaars voor een week konden lenen. Ongeveer 65 mensen van externe partijen vlogen in om ons team te helpen met de recovery."

Nasleep NotPetya: Recovery en preventie

De totale kosten van de storing kwamen uit op 314 miljoen euro, waarvan 27 miljoen voor de recovery. In de nasleep van de aanval leerde het bedrijf het een en ander en werd de manier waarop beveiliging werd aangepakt en hier en daar gewijzigd.

Volgens Powell zijn er pro-actieve stappen gezet om de kans op toekomstige aanvallen te verkleinen, maar gaat Maersk ervan uit dat incidenten zich opnieuw zullen voltrekken en is er het een en ander veranderd wat betreft de respons in de toekomst. "Tenzij je een belangrijke overheidsorganisatie bent of een bank die hoge investeringen doet, kun je een staatshacker die een wapen inzet tegen jou niet tegenhouden", aldus de CISO. "We waren alleen nog maar de nevenschade van een staatsaanval en kijk eens wat dat aanrichtte. Als voorkomen je strategie is, kom je van een koude kermis thuis."

"Wat nodig was, was dat we snel konden herstellen als we opnieuw werden aangevallen", zegt Powell. "Je kunt nergens heen varen met een defecte motor. Je netwerk gebruikt Active Directory, DHCP en DNS - die moet je snel kunnen herstellen. We gaan ervan uit dat het neergehaald kan worden en bouwen alles om het idee van herstellen heen." Het duurde negen dagen om basisfunctionaliteit te herstellen, maar het doel is om dat in het vervolg binnen 24 uur te kunnen doen.

Behalve de focus op recovery, heeft het bedrijf nu ook het NIST-framework geadopteerd en kijkt het naar beveiliging vanuit een risico-inschatting. Het bedrijf gebruikt een piramidemodel met bovenaan "bedrijfsfatale incidenten" en onderaan "merkschade" om focus te krijgen in wat prioriteit heeft.

Security kijkt meer naar de daadwerkelijke business

Een van de grote gevolgen van het incident was dat Maerks als het ware op de resetknop drukte wat betreft monitoring om een duidelijk beeld te krijgen over hoe het bedrijf daadwerkelijk functioneert. "Visibility is alles", zegt Powell. "Als het bedrijf verandert, levert dat een kwetsbaarheid op, ongeacht wat die verandering is. Je hebt inzicht en visibility nodig."

"Het grootste struikelblok is niet de technologie. Het is de business en de integratie daarvan met technologie. Een scheiding tussen business en technologie bestaat vandaag de dag gewoonweg niet meer", vindt Powell. "En die zou er ook niet meer moeten zijn als je het over security hebt. Je kunt geen beveiligingshouding opstellen met technologie alleen. Je kunt alleen een goede houding bouwen als je de business integreert en de risico-afweging duidelijk maakt aan de business die bepaalt wat een acceptabel risico is."

Het beveiligingsteam ging om de tafel zitten met de stakeholders van het bedrijf om sleutelprocessen te definiëren en de knelpunten rond beveiliging te identificeren. Daarna werden de beveiliging en recoveryplannen rondom deze processen gebouwd. "Dat betekent dat de business uit zijn comfortzone moet stappen en processen moet bespreken met een hoop IT'ers en dat is best moeilijk. We gaven ze ownership en verantwoordelijkheden voor mitigatie-acties die mogelijk moeten worden ondernomen. Ze zijn behoorlijk van streek. Het was een leerproces, maar het werkt nu wel."

Als onderdeel van het plan om meer visibility te krijgen, werd er een "laat je schuld zien" beleid ingevoerd, waarbij elke afdeling laat zien welke systemen, software en processen worden gebruikt, ook als ze geen onderdeel zijn van het bedrijfsbrede beleid. "Na de aanval ging Maersk beter kijken naar hoe dingen daadwerkelijk functioneerden in plaats van hoe ze zouden moeten functioneren en zagen we de processen en de data ervan die onder de radar bleven", aldus Powell.

"Opeens begrijpen we hoe het hele bedrijf in de praktijk functioneert, waar alle data heenstroomt en kunnen we dat in kaart brengen en de architectuur eromheen bouwen. We weten nu wat we moeten doen qua mitigaties. Omarm een open mentaliteit, ontdek hoe dingen echt werken, breng die processen in kaart en weet waar je moet beveiligen."

Identiteit, kwetsbaarheden en hybride SOC's

Identiteit en toegang waren twee gebieden waar Maersk aandacht aan moest besteden. Nadat ze zagen wie toegang had tot welke systemen, besloot het bedrijf de hoeveelheid mensen te verkleinen die toegang hadden en introduceerde het controlemechanismen om het gebruik van accounts met hogere rechten te beheren en monitoren. "Het is ongelooflijk hoeveel mensen hoge toegang hebben tot alles in je bedrijf", zegt Powell. "Het is alsof je ze de sleutels geeft tot iedere kluis. We hebben dat onmiddellijk stevig onder handen genomen en dat flink teruggedrongen."

Zoals veel bedrijven, moest Maersk kwetsbaarheden doorlopend aanpakken in een grote en complexe omgeving. "Je kunt niet al je applicaties repareren. Een Microsoft-applicatie heeft gemiddeld ongeveer 120 kwetsbaarheden die behoorlijk pijn kunnen doen", aldus Powell. "Je hebt een systeem nodig om de kwetsbaarheden constant te beoordelen en op doorlopende basis te repareren. Als je dat niet doet, ben je kwetsbaar."

Door het in kaart brengen van bedrijfsstromen van gegevens kon het bedrijf zijn prioriteiten stellen en van de 1200 applicaties die van kritiek belang waren, identificeerde Maersk de 50 die geclassificeerd konden worden als funest voor de business bij een incident en deze werden het eerste aangepakt.

Wat betreft de operationele kant van beveiliging zweert Powell bij een goede hybride SOC dat on-premises combineert met cloudgebaseerd. "Geloof me, je hebt mensen nodig die de business on prem begrijpen."

Verder wil Powell de wijzigingen graag gevalideerd zien. De totale beveiligingshouding van het bedrijf is de afgelopen 17 maanden al 13 keer onderzocht, waarvan acht keer middels een externe audit.

Post-aanval openheid belangrijk

Powell zat ten tijde van de NotPetya-aanval bij Capgemini en zag hoe andere organisaties schade leden. "Iedereen die denkt dat wat er misging bij Maersk uitzonderlijk en groot was, heeft het mis. Er waren heel wat bedrijven die groter waren dan Maersk die in de problemen kwamen, waarschijnlijk zelfs nog veel erger, maar die waren daar niet transparant over."

Niet alleen zorgde de transparantie over de aanval en de recovery ervoor dat Maersk hulp ontving van partners die ze anders niet gehad zouden hebben, maar het aandeel van het bedrijf steeg zelfs in de nasleep ervan. Volgens Powell betaalt de open houding over de beveiliging zich nog steeds terug.

"Transparantie is enorm belangrijk. Onze klanten vonden het prettig om van meet af aan op de hoogte gehouden te worden over wat er aan de hand was en we betrokken ze bij wat we aan het doen waren", legt Powell uit. "We hebben contracten kunnen behouden met klanten omdat we kunnen bewijzen dat we hun gegevens beter bewaren dan anderen. Dat is winst voor de business."