Wat te doen? We zijn gehackt!
Je denkt dat je alles perfect hebt beveiligd en dat je medewerkers zich heel bewust zijn van alle cybergevaren. Toch besef je je op een goede dag: we zijn gehackt! Wat doe je als je gehackt bent en wat komt daarbij kijken? Nick, Cyber Security Specialist bij Schippers IT, vertelt in deze blog hoe zijn dag eruitziet.
Ik begin de dag zo rond negen uur. Mijn collega en ik nemen de agenda door. Dan gaat de telefoon. Meneer X van bedrijf Y aan de lijn: ‘We denken dat we zijn gehackt. Kunnen jullie ons helpen?’ Mijn collega en ik staan gelijk ‘aan’. We vragen om wat voor soort systeem het gaat en waarom meneer X aan een hack denkt. Hij geeft aan dat er een nieuw administratoraccount in hun systeem is aangemaakt, maar niet door hem of een van zijn collega’s. Dat is belangrijke informatie voor ons. Het kan ook gaan om ransomware, dan krijgt de gebruiker een melding dat hun computer is overgenomen. En soms is er slechts een vermoeden: dan is een bepaalde kwetsbaarheid in het nieuws geweest, en als het bedrijf zich realiseert dat ze die kwetsbaarheid ook hebben, zijn ze mogelijk gehackt.
Computer of server
Gaat het om een computer, dan raden we de beller aan het systeem direct hardwarematig uit te zetten, dus via de aan-uit-knop. Als we dat er niet bij zeggen, kan het zijn dat iemand wel uitlogt, maar – onbewust – de computer in slaapstand laat staan. Dat is niet hetzelfde als uit. Als het om een server gaat, moet er eerst bekeken worden hoe kritisch de server is. Als een heel bedrijf stil ligt als de server uitgezet wordt, is de impact enorm. In zo’n geval maken we als dat mogelijk is, een kopie van de geïnfecteerde server en wordt de server teruggezet naar de meest recente, niet geïnfecteerde back-up.
Schroevendraaiers en harde schijven
Dan pakken we onze gereedschapskoffers met schroevendraaiers en harde schijven, onze laptops en de apparatuur om een forensische kopie te maken van een computer of server. Met zo’n forensische kopie kunnen wij dan verder om onderzoek uit te voeren. Als we nog afspraken hadden gepland voor die dag, zeggen we die af, en zo snel als we kunnen rijden we naar het getroffen bedrijf.
Te vroeg voor conclusies
Eenmaal aangekomen gaan we met de netwerkbeheerder in gesprek. Zo krijgen we een beeld van het bedrijfsnetwerk. Vervolgens kijken wij welke machine geïnfecteerd is en of deze machine mogelijk meerdere machines heeft kunnen infecteren. We stellen de geïnfecteerde machine veilig met onze apparatuur. Meestal is het dan nog te vroeg voor conclusies. Hiervoor moeten we eerst de geïnfecteerde machine onderzoeken.
Eerste resultaten dezelfde dag
In onze eigen kantoor, in een beveiligde, offline omgeving, gaan we zo snel mogelijk aan de slag met het geïnfecteerde apparaat. We noteren de stappen die we tijdens het onderzoek doorlopen, rapporteren deze en proberen zoveel mogelijk vragen te beantwoorden, zoals of er bedrijfsgevoelige informatie is gelekt en of er meerdere machines bij de aanval betrokken waren. Vaak kunnen wij de eerste resultaten dezelfde dag nog terugkoppelen aan de klant. Zo helpen wij de impact zoveel mogelijk te beperken.
De mens als zwakke schakel
Als je slachtoffer bent van een cyberaanval, wil je natuurlijk weten wat de oorzaak van de hack is, Uit de Cyber Security Monitor 2019 blijkt dat de meest voorkomende oorzaak van hacks is dat iemand aan wachtwoorden heeft kunnen komen. Tel daarbij op dat mensen vaak gebruik maken van hetzelfde wachtwoord voor verschillende sites. Als zo’n site gehackt wordt, ligt je wachtwoord op straat en kan door kwaadwillenden gebruikt worden om op andere sites in te loggen. Ook binnen een bedrijfsnetwerk ligt de grootste oorzaak bij de mens: de nietsvermoedende medewerker die op een verkeerde link klikt of een verkeerd bestand downloadt en uitvoert.
Meer weten?
Heb je te maken met een securityincident? Neem direct met ons op via +31 (0) 161 454 449 en vraag naar één van onze securityspecialisten. Ben je hackers liever te slim af? Misschien is dan een awarenesstraining of social-engineering-onderzoek iets voor jouw bedrijf. Neem gerust contact met ons op, we vertellen je graag meer!.