De nieuwste malware-aanval die duizenden slachtoffers zwaar in de problemen bracht roept een déjà vu-gevoel op. Het is iets anders dan het WannaCrypt-debacle in mei en de partij erachter is waarschijnlijk een andere, maar de adviezen komen op hetzelfde neer: patch kwetsbare systemen, betaal geen losgeld en doe een recovery vanaf een back-up.
Nieuw maar niets nieuws
De nieuwe ransomware - Kaspersky noemt het ExPetr omdat het geen Petya-variant is en Cisco komt met de verwijzing naar de oorsprong uit de Oekraïne: Nyetya - had verschillende aanvalsvectoren, waaronder de door de NSA ontwikkelde Windows-exploits EternalBlue en EternalRomance, twee exploits voor een bug in netwerkprotocol SMBv1.
In tegenstelling tot Wannacrypt beperkt ExPetr zich tot lokale netwerken en verspreidt het zich niet via internet. Het maakt de MBR onklaar, wat veel schadelijker is dan het versleutelen van individuele bestanden. ExPetr is de nieuwe aanval, maar het is verder technisch gezien niets nieuws. Het gebruikt bekende kwetsbaarheden, verspreid zich via een protocol dat sowieso niet internet-facing zou moeten zijn en misbruikt een OS-utility (PsExec).
Waslijst oorzaken
Ook bekend is het wijzen met beschuldigende vinger naar de bron en bijdragende oorzaken. Zo lazen we op blogs, sociale media en persberichten onder meer dat:
- De aanval weer een voorbeeld was van hoe organisaties security niet serieus nemen.
- Deze aanvallen makkelijk te voorkomen hadden kunnen worden met patches en een gelaagde aanpak van netwerkbeveiliging.
- WannaCrypt ons al had moeten wakkerschudden en dat er nog steeds veel organisaties en gebruikers zijn die Microsofts patch uit maart niet hebben toegepast.
- SMBv1 heel oud is en de poorten niet open moeten staan naar buiten toe.
- Het negeren van beveiliging onverantwoordelijk zijn ten opzichte van investeringen, productiviteit, arbeid et cetera.
Die lijst met terechtwijzingen gaat maar door en door. Laten we daarmee ophouden. Schelden heeft geen zin. IT-organisaties snappen echt wel dat patch-, back-up-, incident- en recoverybeleid cruciaal is om het netwerk te beschermen tegen schadelijke aanvallen. Doen alsof ze onverantwoordelijk of incompetent zijn verandert in de eerste plaats al niets en ten tweede gaan we dan voorbij aan de uitdagingen waar systeembeheerders mee te maken hebben.
Bewustwording niet het probleem
Het staat buiten kijf dat kwetsbare systemen software draaien die niet meer ondersteund, verouderd of simpelweg ongepatcht is. Dat is voor niemand in de IT-wereld een verrassing - of dat zou het tenminste niet moeten zijn. "Maar hoeveel we ook praten over patchen als oplossing, in veel gevallen gebeurt het niet", zegt beveiligingsspecialist Wendy Nather van Duo Security. "Het is alsof het zorgen voor bewustwording geen zoden aan de dijk zet."
Hierna: Als we het allemaal weten, waarom gaat het dan steeds mis? Nou, vooral vanwege organisatorische en praktische redenen.
Het gaat niet om nalatigheid. Vaak komen systeembeheerders in deze situatie terecht door organisatorische en praktische uitdagingen:
Als je het niet onder beheer hebt, kun je het niet updaten
Het is makkelijk gezegd dat alle systemen regelmatig gepatcht moeten worden, maar dat gaat voorbij aan een cruciaal issue: IT heeft niet altijd toegang tot alle apparaten die verbinding maken met het netwerk. Vooral met iets als NotPetya/Nyetya/ExPetr, waar via één besmetting reeds gepatchte machines worden geïnfecteerd, is dat een heel belangrijk aspect.
Voor sommige systemen is patchen geen optie omdat dat niet mag onder de garantievoorwaarden of onderhoudslicentie. Of denk aan fabricage, waar pc's die verbonden zijn met machines gezien worden als onderdeel van de fabriek en niet van het IT-systeem. Beheerders van de machines hebben liever niet dat IT met de apparatuur rommelt, maar IT moet zich wel buigen over compatibiliteit en security binnen het netwerk.
"Het issue is wijdverspreid, vooral onder organisaties die het niet het niet zo breed hebben om IT-beveiliging toe te passen, maar het gaat net zo zeer om terminals van financiële bedrijven als het netwerk van een hoger onderwijssysteem", zegt beveiligingsspecialist Nather.
Herken de organisatorische beperkingen
Dit is vooral een issue in de publieke sector, waar regelgeving en bezuinigingen IT-uitgaves in de war schoppen. "Belastingbetalers gaan niet betalen om software en hardware bij te werken dat prima werkt", licht Nather toe. Buiten deze sector zijn er andere mogelijke beperkingen van de organisatie, bijvoorbeeld strikte regels bij non-profits over wat er met het geld mag gebeuren.
Duurzaam conflicteert met snelle updates
Sommige technologie kost miljoenen (denk aan een MRI-machine) en is gebouwd om vele jaren mee te gaan. Regelmatig aan de machine prutsen om de software bij te werken botst met dat idee van stevige duurzaamheid. In de zorg is de veiligheid van patiënten van kritiek belang, wat betekent dat de apparatuur na elke softwarewijziging getest en opnieuw gecertificeerd moet worden. Dat kan dus niet aan de lopende band gebeuren.
Op de laatste pagina: Wees realistisch over wat mogelijk is en ben pragmatisch.
Een systeem met externe, sterk verweefde dependency's duurt langer om bij te werken
Organisaties hebben gemiddeld 120 dagen nodig om de systemen te patchen. Die cyclus bevat onder meer het testen van verschillende applicaties om te zien of er geen conflicten zijn of dat de huidige functionaliteit niet verdwijnt. Het complexe web van dependency's betekent dat een update iets belangrijks kan doen omvallen.
Neem bijvoorbeeld Windows XP - een oud besturingssysteem dat doorleeft in kiosksystemen en apparatuur en niet zo eenvoudig kan worden uitgefaseerd, hoewel de pc-versie al tijden niet meer wordt ondersteund. "We moeten een manier vinden om om te gaan met decenniaoude legacy en het simpele feit dat niemand een antwoord heeft op hoeveel effectieve beveiliging een bedrijf gaat kosten; we weten niet eens of het betaalbaar is", aldus Duo Security's Nather.
Wees realistisch en pragmatisch
Kijk naar oplossingen die toepasbaar zijn op de architectuur zoals hij nu is en niet het utopische ideaal van hoe de IT-infrastructuur eruit zou moeten zien. Organisaties hebben legacy en vele hebben enorme investeringen gestoken in onpatchbare systemen en apparatuur. Migraties zijn niet altijd de oplossing en de beveiligingssector zou creatiever kunnen kijken naar hoe ogenschijnlijk achterhaalde, maar voor organisaties belangrijke systemen kunnen worden beveiligd met aanvullende maatregelen.
Je kunt het budget maar één keer uitgeven, wat betekent dat we ook creatiever moeten kijken naar hoe we omgaan met beperkte middelen. Nather vergelijkt het met het onder president Obama geïntroduceerde Amerikaanse stelsel van toegankelijke gezondheidszorg: "Gezien de complexiteit, externe dreigingen, economische stimulans en technische schuld die erbij komt kijken, hebben we een ACA nodig, maar dan voor IT."
Als een organisatie ongepatchte software heeft draaien is het bijwerken natuurlijk een goede eerste stap, maar als dat geen optie is - zoals regelmatig het geval is - moeten we niet met het geheven vingertje wijzen, maar work-around zoeken. Denk aan het beperken van admintools (als PsExec), strakker afstellen van gebruikersrechten, uitschakelen van oude protocollen (SMBv1) en poorten naar buiten toe blokkeren (445, 139).
In het geval van ExPetr lijkt het verhinderen van schrijven van c:\Windows\perfc.dat de infectie te blokkeren. Op oude ongepatchte machines die niet kunnen worden bijgewerkt met MS17-010 is het aanmaken van het bestand perf zonder extensie in %windows% ook een manier om deze ransomware te voorkomen.
"We zouden niet verbaasd moeten zijn dat we een nieuwe WannaCrypt-achtige aanval zien en we zouden eerlijk gezegd moeten toegeven aan onszelf en anderen dat het ook niet de laatste zal zijn. Waarschijnlijk wordt het slechter voordat het beter wordt", aldus Nather.
Het artikel laat een aantal zaken onbesproken. Ook in de discussie hierboven/onder komen wel die zaken aan de orde maar worden niet als bron van het kwaad benoemd.
Het genoemde voorbeeld van de medische tak stipt inderdaad een van de grote problemen aan. Er komt apparatuur binnen die niet voldoet aan zorgvuldig geformuleerde it eisen en protocollen. Helaas zijn degenen die de apparatuur kiezen en gebruiken ook niet bereid zich aan te passen aan IT. IT moet faciliteren is dan zon beetje altijd de kreet en niet tegenwerken.
Dat verklaarbare gedrag zorgt echter voor inherent onveilige apparaten. Ook BYOD projecten waar gebruikers toegang moeten hebben ( directie beslissing) tot het netwerk zonder dat er een fatsoenlijke scheiding van domeinen is komt nog steeds (vaak) voor.
En natuurlijk zijn er ook oorzaken te nomen die patchen voorkomen, al is een gemiddelde patchtijd van 120 dagen, zoals in dit artikel genoemd, heel bijzonder.
Dit artikel stipt punten aan waaruit blijkt dat IT nog altijd een onvolwassen vakgebied is. Zéker in de mainstream die naast Microsoft niets anders kent. Er bestaan namelijk genoeg platformen om machines met hele dure test- en certificeringscycli op te bouwen zonder dat die om de haverklap bijgewerkt moeten worden. Windows is dat niet, vanwege de vele onnodige bewegende onderdelen die de apparaatbouwer er niet uit kan halen. Linux is dit ook niet vanwege de licentie en de bewust onstabiele ABI. Zelf denk ik eerder aan bijvoorbeeld QNX.
Daarnaast is voor onderhoudbaarheid en veiligheid een ontkoppelde architectuur heel zinvol. Ook dit staat nog maar in de kinderschoenen. IT zou veel kunnen leren van de manier waarop marineschepen modulair in elkaar gezet worden.
Door een dure MRI-scanner uit te rusten met gescheiden systemen die elk een gedocumenteerde API publiceren, is functiescheiding al makkelijk. Certificering wordt ook eenvoudiger. Daarnaast kan het koppelvlak tussen de machine en het ziekenhuisnetwerk een veel snellere update-cadans hebben dan de rest van het systeem. Er kunnen zelfs clients tegenaan geprogrammeerd worden op mainstream platformen zoals IOS met weer een eigen life cycle.
Dat dit "onmogelijk" is bij dit soort apparaten ligt aan de inkoop die gewend is zulke spullen als een monoliet af te nemen en geen vragen stelt.
Het artikel trapt een open deur in: software updaten is in veel gevallen niet mogelijk.
Het probleem is dat er nog steeds organisaties zijn die software kopen met bugs erin, zoals WIndows.
Reageer
Preview