Red teaming kan van grote waarde zijn voor uw zorginstelling. Tijdens een red team-test wordt een cyberaanval uitgevoerd door een ingehuurde red team-provider om te kijken hoe uw organisatie haar cyberweerbaarheid verder kan versterken. Het geeft inzicht of een dergelijke aanval kan worden voorkomen door de genomen preventieve maatregelen, of de aanval gedetecteerd zou worden en hoe uw instelling zou reageren op een dergelijke aanval. Dit artikel beschrijft de belangrijkste lessen uit gedane red team-testen in de zorgsector.
In de praktijk levert een red team-oefening altijd bevindingen op die kunnen helpen om een zorginstelling nog veiliger te maken. Als er bij meerdere zorginstellingen red team-oefeningen worden uitgevoerd, komen er patronen naar boven. Aanvallers maken immers veelal gebruik van een vaste set aan technieken. Dit betekent dat met de opgedane kennis van een aantal red team-oefeningen er veel aanbevelingen kunnen worden gedaan waarmee andere instellingen veiliger kunnen worden. Dit artikel kon worden geschreven dankzij zorginstellingen die hun ervaringen met red teaming wilden delen.
Beperkte rechten
Het is bij de inrichting van gebruikersaccounts eenvoudig om (bijna) iedereen dezelfde rechten te geven, maar daardoor kunnen medewerkers bij veel meer systemen dan zij voor hun dagelijks werk nodig hebben. Raadzaam is het principe van 'least privilege' waarbij een gebruiker nooit meer rechten heeft dan hij of zij voor de betreffende functie nodig heeft. Dit betekent ook scheiding tussen normale gebruikeraccounts, administrators en serviceaccounts.
Wachtwoorden: lang en uniek
Eenvoudige wachtwoorden of wachtwoorden die hergebruikt worden, zijn een groot risico. Als wachtwoorden worden hergebruikt, zoals bij een lokaal administrator account, heeft een aanvaller direct toegang tot al deze accounts. Daarom is het advies om lokale administrators een uniek wachtwoord te geven of - nog beter - lokale administrator accounts in zijn geheel niet te gebruiken door de LAPS-oplossing van Microsoft1 te implementeren. Veel instellingen gebruiken nog een minimale wachtwoordlengte van acht karakters, maar dit is niet meer voldoende. Het advies is om over te gaan naar wachtwoordzinnen die langer zijn (bijvoorbeeld vijftien karakters), maar makkelijker te onthouden en in te typen. In ruil voor lengte kunnen complexiteitseisen en veranderfrequentie versoepeld worden.
Altijd actuele software
Het is altijd aan te raden om software zo snel mogelijk te updaten als er nieuwe kwetsbaarheden in worden verholpen. In de testen was het bijvoorbeeld mogelijk om een server aan te vallen doordat deze niet meer ondersteund werd. Het is vaak complex om alle systemen snel te voorzien van security updates. Een oplossing daarvoor is om onderscheid te maken op basis van risico. Systemen die toegankelijk zijn vanaf het internet (DMZ) wil je zo snel mogelijk bijgewerkt hebben. Medische systemen krijgen patches vaak later omdat deze eerst gevalideerd worden door leveranciers. Dit risico kan gemitigeerd worden door deze systemen te isoleren in een aparte netwerkzone die alleen de noodzakelijke communicatie toestaat. Maar: zelfs bij gebruik van de laatste versie blijft het belangrijk om te zorgen dat de software op de gewenste manier is ingesteld. Zo was een verouderde template in een van de testen de weg tot administratortoegang.
Centrale logging
Om goede detectie te kunnen doen, moeten verschillende signalen die u tijdens een aanval krijgt, op een centrale plek samenkomen. Deze signalen bij elkaar zijn mogelijk voldoende om een onderzoek te starten en de aanvaller te vinden terwijl de decentrale signalen verdwijnen in de drukte. In de meeste gevallen laat je alle logging samenkomen in een Security Information and Event Management systeem (SIEM)2 of een simpeler log managementsysteem waar je via geplande zoekopdrachten en notificaties geïnformeerd kan worden over mogelijke incidenten.
Eerst detectie, dan response
Uit de testen blijkt dat sommige acties van het red team wel gedetecteerd waren, maar dat er niet (adequaat) op werd gereageerd. Ter illustratie: na een geslaagde phishing-aanval werden de wachtwoorden van de gebruikers wel gereset, maar werd er geen inspectie van hun werkstation gedaan om te controleren of daarop malware was geïnstalleerd. Hierdoor kon de aanval worden voortgezet. Ook ging in enkele gevallen de virusscanner of een andere security-oplossing wel af, maar werd daar geen opvolging aan gegeven.
Een goede methode is het inrichten van een security Operations Center (SOC) of een Computer Security Incident Response Team (CSIRT), dat zich bezighoudt met opvolging van incidenten. Veel zorginstellingen besteden deze taak uit aan een extern bedrijf dat SOC-dienstverlening aanbiedt. Zij zijn gespecialiseerd en kunnen 24/7 monitoren, wat met eigen medewerkers meestal lastig te realiseren is. Continue monitoring is wel aan te raden aangezien aanvallers vaak wachten op het ideale moment zoals later op vrijdag of in het weekend om hun slag te slaan.
Meer dan één laag
Defense in Depth is een security-aanpak waarbij de beveiliging gelaagd wordt ingericht. Hierdoor zorgt het falen van één laag beveiliging niet voor directe toegang tot gevoelige data of systemen. Tijdens de testen kwam meerdere keren terug dat een aanvaller een beveiliging kon omzeilen en daarna ook zonder problemen verder kon. Het is daarom niet genoeg om te vertrouwen op één maatregel. Zo is het aan te raden om voor elke preventieve maatregel ook een opsporende maatregel in te richten.
Malafide macro’s
Macro's worden nog steeds veel gebruikt terwijl dit een bekende en simpele manier is voor een aanvaller om controle te krijgen over een systeem. Naast het direct uitfaseren van macro' s zijn er ook tussenoplossingen zoals gesigneerde macro's3 of macro’s alleen laten uitvoeren vanuit een trusted location. Bij gesigneerde macro's kunnen alleen bestanden met macro's worden uitgevoerd die gesigneerd zijn. Dit geeft instellingen de mogelijkheid om de bestanden met macro' s die echt noodzakelijk zijn te behouden. Een andere optie is het gebruiken van de trusted location functie van Office4. Het nadeel van beide opties is dat aanvallers met wat moeite hier ook omheen kunnen werken, maar het werpt wel een extra barrière op.
Back-ups niet altijd veilig
Omdat een ransomware aanval nooit helemaal uitgesloten kan worden, zijn goede back-ups een must. Deze kunnen worden teruggezet na de aanval om de data weer te herstellen. Als de back-ups echter in hetzelfde netwerk staan, kunnen deze ook getroffen worden door de aanval. Zorg daarom dat u altijd een actuele back-up heeft die los staat van het primaire netwerk en niet beschrijfbaar is door een eventuele aanvaller.
Wanneer ben ik klaar voor een red teaming-test?
Een red teaming-test is het meest waardevol als bij de instelling de basishygiëne op orde is. Als u weet dat de basis niet op orde is, dan kunt u zich beter eerst daarop focussen en daarna met pentesten de geïmplementeerde maatregelen testen voordat u een bredere red teaming-test doet.
Detectie en response: de grote meerwaarde van red teaming-test zit niet alleen in het testen van de preventieve maatregelen, maar juist ook detectie en response. Als u geen team heeft dat hier actief mee
bezig is, is een andere test wellicht beter geschikt.
Leerervaring: het is belangrijk dat uw organisatie open staat om te leren. Een red team-test levert altijd resultaten op die niet moeten worden afgestraft. Ondersteuning op bestuursniveau is hierbij belangrijk.
Budget en personeel: naast het budget voor het inhuren van een red teaming-provider en de tijd om de provider te begeleiden, moet u ook rekening houden met budget en capaciteit binnen de relevante teams voor het opvolgen van bevindingen. Zonder budget om met deze resultaten aan de slag te gaan, heeft een red team-test weinig zin.
ZORRO
Specifiek voor de zorgsector heeft Z-CERT samen met enkele zorginstellingen het red teaming-framework ZORRO ontwikkeld: ZOrg Redteaming Resilience Oefeningen. Bij deze red team-testen worden de mensen, processen en systemen van zorginstellingen op de proef gesteld met actuele, relevante tools, methoden en technieken die ook in het echt binnen en buiten de sector zijn waargenomen. Z-CERT ondersteunt haar deelnemers hierbij met een test manager en een gericht threat intelligence rapport om de red teaming-test te kunnen baseren op de echte dreiging in de buitenwereld.
