De aanleiding

Hans, kun jij vertellen waarom je aan de slag bent gegaan met Passguard?

Elke organisatie kan als ‘target of opportunity’ ten prooi vallen aan hackers: een kans te aantrekkelijk om te negeren. Als een miljardenbedrijf actief in gevoelige sectoren hebben wij echter te maken meteen aanvullend risico: wij zijn ook ‘target of choice’. Dit brengt risico’s met zich mee op onder meer industriële spionage en hacktivisme. Je kunt jezelf pas goed beschermen als je weet waartegen je je beschermt. Dat schept de verplichting naar buiten te kijken. Daarom hebben wij gekozen voor Passguard.

Een specifieke overweging daarbij is het infostealer-risico dat Passguard in kaart brengt. Juist omdat de rol van digitale identiteit toeneemt - zo ook bij ons - verschuift de point of failure naar dit onderwerp. We kunnen het ons daarom niet veroorloven die infostealer-infecties te missen.

"We kunnen het ons daarom niet veroorloven die infostealer-infecties te missen."

Gesproken over die infostealer-infecties, hoe kijk jij daar naar?

Infostealers zijn bijna een soort consument-gerichte APT’s: geavanceerd en zeer discreet. Daar zit ook het verschil met de klassieke virussen waar mensen al 20 jaar tegenaan lopen: die waren minder schadelijk, maar maakten juist heel veel lawaai, bijvoorbeeld omdat ze allerlei spam begonnen te versturen. Infostealers zijn heel stil maar stelen wel zeer relevante informatie, wat schadelijk kan zijn voor organisaties.

Bevindingen

Dan over de bevindingen uit Passguard, wat hebben jullie geconstateerd?

Het goede nieuws is dat we via Passguard ontdekten dat onze managed devices goed beschermd bleken en niet met infostealers geïnfecteerd waren. Het slechte nieuws is dat je toch ziet dat collega’s vanaf unmanaged devices ook toegang hebben tot bepaalde zakelijke systemen, waarbij op die apparaten wél infostealer-infecties plaatsvinden.

Onze kernsystemen hebben we volledig afgeschermd: alleen managed devices kunnen daarop inloggen. Er is echter een grijze zone aan systemen die wellicht niet essentieel zijn, maar waar toch ook informatie staat die beschermd moet worden. We zien dat met infostealers geïnfecteerde apparaten wel inloggen op die systemen. Door de infostealer-infecties in kaart te brengen kwam het besef dat we de toegang tot die systemen wellicht ook verder moeten afschermen.

Dus zo’n infectie op een privé-apparaat kan er toch toe doen?

Zeker. Zolang mensen met hun privé-apparaat toegang hebben tot zakelijke systemen en zakelijke informatie, is dit van belang. Dit kan al gaan over bijvoorbeeld een mailapplicatie. Als dat apparaat met een infostealer geïnfecteerd is, kan iemand de credentials en cookies verkrijgen om die toegang te misbruiken.

"Als dat apparaat met een infostealer geïnfecteerd is, kan iemand de credentials en cookies verkrijgen om die toegang te misbruiken."

Is er nog een specifieke bevinding die je kan delen?

Op een locatie ergens in het buitenland – waar iedereen in principe op onze standaard beveiligde werkplek werkt – bleek dat er ergens in een magazijn toch een computer gebruikt werd die voor het gemak lokaal was aangeschaft. Deze computer had daardoor niet de standaardbeveiliging die we normaal op onze apparaten hebben. Die computer werd door meerdere collega’s daar gebruikt, ook voor een aantal weliswaar niet essentiële interne systemen. Passguard heeft een infostealer-infectie met betrekking tot die computer geconstateerd. Hoewel er geen kritieke systemen gecompromitteerd zijn, zie je wel direct dat een ongeluk met infostealers in een klein hoekje kan zitten.

Aan de slag met infecties 

Als je dan zo’n infectie in het Passguard-platform ziet, hoe moeilijk of makkelijk is het om te bepalen wat er aan de hand is?

Omdat de sessies inzichtelijk zijn heb je altijd een gebruikersnaam, waardoor het heel makkelijk is om te identificeren welke gebruiker het betreft. Vervolgens kun je op basis van de beschikbare informatie snel vaststellen of het een zakelijk apparaat is en welke systemen wel of niet geraakt zijn. Zo weten we 9 van de 10 keer welke OS het apparaat heeft en is de hostname vaak bekend. Hierdoor kan je direct vaststellen welk zakelijk apparaat het is of juist uitsluiten dat het een zakelijk apparaat is. Welk privé-apparaat het vervolgens betreft kun je niet altijd met zekerheid vaststellen, maar valt meestal wel te herleiden.

En welke stappen zet je vervolgens?

Standaard is natuurlijk dat we een incident aanmaken, zodat we ook in de toekomst nog weten wat er is gebeurd. De specifieke opvolging hangt vervolgens af van het type melding. Voor alle recente en relevante logins hebben we de sessies ongeldig gemaakt en een password reset geforceerd. Zoals ik al aangaf vonden bij ons de infecties niet plaats op managed devices. Daarom hebben wij een reach out gedaan naar de gebruikers die de apparaten in beheer hebben. We hebben ze meegenomen in wat er gebeurd is, zonder ze in paniek te brengen.

Tot slot

Zou je mensen aanbevelen om met Passguard aan de slag te gaan? En waarom?

Ja, 100%. Traditioneel kijken heel veel organisaties alleen intern, naar hun eigen organisatie. Dan mis je alles wat er buiten je organisatie speelt. Door met Passguard te werken breng je extra aanvalsindicatoren in kaart. Zo ontdek je welke informatie van gebruikers buiten beschikbaar is die helemaal niet buiten beschikbaar zou moeten zijn. Informatie die ook tegen je gebruikt kan worden. Passguard geeft je de tijd om kwetsbaarheden te dichten voordat het echt misbruikt wordt. Daarmee biedt het waardevolle Early Warning Indicators.

"Zo ontdek je welke informatie van gebruikers buiten beschikbaar is die helemaal niet buiten beschikbaar zou moeten zijn."

Nog iets waar mensen rekening mee moeten houden als ze met Passguard aan de slag gaan?

Houd rekening met een eye-opener! Er zal informatie naar boven komen die je niet verwacht, hoe goed je ook denkt dat je alles dicht hebt staan.

‍