De cyberroof van 1 miljard dollar: wat leren we ervan?

Door Lourens BordewijkVolgens IT-beveiligingsbedrijf Kaspersky Lab heeft een internationale bende cybercriminelen (beter bekend als Carbanak) recentelijk een enorm bedrag gestolen van financiële instellingen over de hele wereld. Het zou om minstens 260 miljoen dollar gaan, maar sommigen beweren dat de buit maar liefst één miljard dollar zou bedragen. De bankmedewerkers werden middels ‘Spear phishing’ gericht aangevallen. Ze kregen een e-mail met een geïnfecteerde bijlage die de Carbanak malware op hun computers installeerde. De malware is ontwikkeld voor spionage en exfiltratie van gegevens en biedt toegang tot de computers waarop de malware is geïnstalleerd. Nadat de hackers hadden achterhaald hoe de verschillende banksystemen intern functioneerden, gebruikten ze de banksystemen en geldautomaten om geld te stelen. Het is niet bekend hoeveel geld er exact is verdwenen, wat wel duidelijk is, is dat professionele cybercriminelen – ondanks aanzienlijke investeringen door banken in beveiliging – nog steeds in staat zijn grote hoeveelheden geld te stelen.Het asymmetrische gevecht tussen hackers en security professionalsHet IT- en business landschap waarin veel grote financiële instellingen opereren, verandert snel. De markt is uitdagend en de concurrentie is sterk. Financiële instellingen moeten hier continu op anticiperen. De uitdagende markt en continue veranderingen maken het lastig om alle gaten in de beveiliging te dichten, terwijl georganiseerde criminelen die ene zwakke plek weten te vinden die nodig is om binnen te komen.In veel organisaties zijn de mensen en de apparaten waar zij mee werken de zwakste schakel. Ook in de Carbanak-zaak zijn de hackers via de computers van bankmedewerkers binnengedrongen. De criminelen hebben vervolgens de activiteiten en de systemen van bankmedewerkers geobserveerd. Zodra de criminelen genoeg wisten over de betalingsprocessen en de bijbehorende systemen, begonnen ze geld over te maken naar buitenlandse rekeningen en lieten ze geldautomaten geld uitspugen.In tijden van vrede voorbereiden op de oorlogDoor de continue veranderingen in het dreigingslandschap is het belangrijk dat organisaties hun beveiligingsstrategie regelmatig evalueren en aanpassen indien nodig. Het gebeurt regelmatig dat organisaties zich te veel focussen op specifieke IT beveiligingsaspecten, zoals pentesten van online applicaties en doorvoeren van updates. Door regelmatig pentesten uit te voeren, worden weliswaar de zwakke plekken in een bepaald IT-systeem blootgelegd, maar daarmee is nog niet duidelijk in hoeverre een organisatie voorbereid is op een gerichte aanval waarbij zowel de menselijke, fysieke als IT aspecten worden gebruikt om binnen te komen. Cybercriminelen zullen vaak kiezen voor het pad met de minste weerstand. Het is daarom belangrijk om alle mogelijke paden in kaart te brengen. Eerst moet er worden bepaald welke bedrijfsprocessen en middelen het meest gevoelig zijn voor een cyberaanval. Daarna worden de mogelijke actoren (criminelen, interne medewerkers, gelegenheids-hacker), hun tactieken, de mogelijke aanvalspaden en bijbehorende menselijke, fysieke en IT aspecten geanalyseerd.Vervolgens dienen organisaties zich voor te bereiden op de geïdentificeerde aanvalsscenario’s met behulp van zogenaamde ‘red & blue team’ oefeningen. Hierbij probeert het rode team in te breken in de organisatie, en de rol van het blauwe team is om de aanval te detecteren en de impact ervan te beperken. Op deze manier kan op een realistische manier worden gecontroleerd in hoeverre organisaties effectief kunnen omgaan met gerichte cyberaanvallen.Om de strijd met georganiseerde cybercriminelen te kunnen winnen, is het belangrijk dat organisaties de vijand en hun werkwijze begrijpen, ze moeten ze voortdurend nagaan welke aanvalsscenario’s er mogelijk zijn en deze simuleren. Het is tegenwoordig niet meer de vraag of je wordt aangevallen, maar wanneer. Je kunt dus maar beter goed voorbereid zijn om de vijand te ontvangen.Lourens Bordewijk is Manager binnen Cyber Risk Services van Deloitte, hij houdt zich bezig met onder meer security monitoring.