Op vrijdag 27 oktober hebben we samen met onze CISA-collega’s de Cybersecurity Maand op een boeiende en informatieve wijze afgesloten. We kregen de gelegenheid om een infosessie bij te wonen van Kaspersky en meer inzicht te krijgen in hun producten en vele voordelen hiervan. Tom Witvrouwen was de geknipte persoon om deze sessie te geven, met zijn 7 jaar ervaring als presales manager bij Kaspersky voor de hele Benelux en sinds 3 jaar ook voor de Noordse landen.
Algemene voorstelling Kaspersky
Tom begon met het schetsen van het Kaspersky-bedrijf. Tegenwoordig heeft Kaspersky kantoren in 34 landen en is het actief in meer dan 200 landen. Het bedrijf heeft altijd sterk ingezet op de ontwikkeling en verbetering van hun software. Dit werd duidelijk toen Tom ons liet zien dat de helft van al hun medewerkers betrokken is bij R&D voor hun producten. Dat betekent dat Kaspersky beschikt over meer dan 5000 specialisten in eigen huis om ervoor te zorgen dat ze hoogwaardige producten leveren. Bovendien zijn er nog ongeveer 40 security-experts die deel uitmaken van het Kaspersky Global Research & Analysis Team (GReAT). Dit team traceert wereldwijde APT’s, cyberspionagecampagnes, omvangrijke malware, ransomware en trends in de onderwereld van cybercriminaliteit.
Welke soorten malware identificeren we?
We gaan dieper in op de structuur van hun producten. Om een helder begrip te krijgen van het soort aanvallen en malware, deelt Tom enkele cijfers met ons. Momenteel wordt maar liefst 90% van alle malware beschouwd als “traditionele” (commodity) malware. Deze malware wordt op grote schaal verspreid en is een lucratieve bedrijfstak in de wereld van cybercrime. Het doel van deze malware is om zo veel mogelijk doelwitten te bereiken en maximale winst te genereren. Een goed voorbeeld hiervan zijn de overvloed aan spammails die dagelijks worden verstuurd. Een aanzienlijk deel van deze aanvallen kan worden gedetecteerd en gestopt met behulp van antivirus- of Endpoint-bescherming, die al actief is bij verschillende van onze klanten. Bovendien groeit het gebruik van AI en machine learning om een steeds groter deel van de malware af te weren, waardoor de betrokken IT-partij weinig tot geen inspanningen hoeft te leveren om zich te beschermen tegen dit soort aanvallen.
Daarnaast hebben we nog te maken met 9,9% van de aanvallen die slimmer zijn en gericht zijn op specifieke organisaties (Evasive threats). Voor deze aanvallen worden bekende TTP’s (Tactieken, Technieken en Procedures) gebruikt, wat betekent dat we gerichte bescherming kunnen bieden. In dit geval kijken we meer naar het lokale IT-securityteam en mogelijk naar de EDR-bescherming van Kaspersky. Later gaan we dieper in op deze EDR.
De overige 0,1% van de aanvallen vormt natuurlijk de grootste bedreiging voor bedrijven. Deze aanvallen zijn zeer gericht en maken gebruik van onbekende TTP’s die nog nooit eerder zijn waargenomen. Als we ons tegen dit soort aanvallen willen beschermen, moeten we samenwerken met een gespecialiseerd SOC-team (Security Operations Center). Het SOC-team is in staat om dergelijke aanvallen te analyseren en te onderzoeken, evenals ze te stoppen. Veel bedrijven hebben geen intern SOC-team vanwege de aanzienlijke kosten en middelen die daarvoor nodig zijn. Daarom wordt vaak gekeken naar gespecialiseerde bedrijven met een krachtige SOC-afdeling, zoals het eerdergenoemde GReAT-team van Kaspersky.
De eerste beveiligingslaag, de Security Foundations
Na het toelichten van de verschillende soorten aanvallen gaat Tom verder met ons in op het Kaspersky portfolio. Al snel is het duidelijk dat we hier ook deze structuur van de aanvallen terugvinden. We beginnen met de security foundations, hun basispakket. Dit omvat de standaard Endpoint protection en mogelijke pakketten voor mail, data en awareness training voor gebruikers. Tom wijst erop dat awareness training één van de belangrijkste onderdelen blijft. Gebruikers op een leuke en educatieve manier de security risico’s leren kennen, blijft het eerste punt van bescherming tegen cyberaanvallen.
De tweede beveiligingslaag, Optimum Security
De tweede laag, “Optimum Security” biedt een uitbreiding op de basislaag van security foundations. Hierin wordt nog extra ingezet op awareness training. Ook een belangrijke zaak dat hierbij beschikbaar komt is Kaspersky Endpoint Detection and Response (EDR). Dit is een service die een IT-afdeling kan helpen met identificeren, analyseren en neutraliseren van meer geavanceerde aanvallen. Dit met de hulp van tools die het toelaten om sneller aanvallen te kunnen opmerken en onderzoek van deze aanvallen weergeeft. De software zal aan de hand van reeds bekende gevallen hier sneller en meer op reageren.
De derde en laatste beveiligingslaag, Expert Security
De laatste laag die heel kort is toegelicht, heet “Expert Security”. Hier is het mogelijk om gebruik te maken van Kaspersky Managed Detection and Response (MDR). Met deze service gaat Kaspersky actief op zoek naar bedreigingen met de laatst bekende zaken in cybersecurity. Ook de expertise van een SOC-team komt hierbij kijken. Die zorgt dat je je eigen IT kan ontlasten en de zorgen rond security in je IT-omgeving een pak verlicht worden.
Daarna volgt er een demo van Tom. Hij laat ons de opties zien om Kaspersky te beheren, via de cloud of via lokale installatie. Vervolgens lopen we samen door de installatie en de mogelijke opties en uitbreidingen. Tom neemt optimaal de tijd om iets technischer te gaan en ons essentiële zaken en best practices toe te lichten. Zaken die nuttig zijn voor ons als IT-beheerders in onze dagdagelijkse job. Een interessant onderdeel hiervan is multi-tenancy. Multi-tenancy vergemakkelijkt het beheer van meerdere Kaspersky omgevingen. Ideaal dus voor CISA die Kaspersky aanbiedt aan meerdere van zijn klanten.
Wat zijn de meest kwetsbare factoren waarop cybercriminelen zich richten?
Na de demo haalt Tom de belangrijkste of meest kwetsbare factoren aan waarop cybercrime zich richt. Eerst en vooral wijst Tom op social engineering. Hierbij gaan de criminelen zich rechtstreeks op personen fixeren. Dit via mails met valse links naar portals waar dan de gebruikersgegevens worden ingegeven, gekende bestandssystemen die worden doorgestuurd met zogezegd belangrijke of gevoelige informatie, zich anders voordoen dan in werkelijkheid en andere zaken om het “doelwit” in kwestie om de tuin te leiden. Een andere belangrijke zaak zijn de aanvallen die gebruik maken van zwaktes die in bepaalde softwarepakketten of systemen zijn vastgesteld. Daarbij is een snelle reactie en de nodige patching van de IT-beheerders cruciaal. Ook zaken die mogelijk onbewust open staan naar de buitenwereld, vormen een risico voor een aanval. Daarom is het belangrijk je omgeving voldoende af te schermen en dicht te zetten voor de buitenwereld.
De meest voorkomende gang van zaken bij een aanval is dat er een encryptor het systeem infiltreert. Deze encryptor stuurt dan naar zijn server dat hij succesvol is binnengeraakt op het systeem. Vervolgens gaat deze encryptor alle lokale bestanden waar hij aan kan, encrypteren (onleesbaar maken). Na de encryptie gaat deze encryptor zorgen dat er zeker geen kopieën meer bestaan van je bestanden. Belangrijk is het als je opmerkt dat er iets mis is met je systeem, dat je deze zeker niet afsluit maar best gewoon van het netwerk haalt. Door het feit dat de encryptor je bestanden op verschillende manieren gaat encrypteren, is het soms zo goed als onmogelijk om deze bestanden opnieuw te decrypteren. Tom geeft ons nog enkele belangrijke tips als IT-beheerders om het risico te beperken alvorens er een Endpoint protection zijn werk moet doen.
De 6 lagen van een Kaspersky Endpoint Protection die je beschermen tegen een cyberaanval
Als deze voorbereidingen of maatregelen niet helpen om een aanval te verhinderen, is het belangrijk dat we kunnen vertrouwen op een goede Endpoint protection. In de Kaspersky Endpoint protection zijn er 6 lagen die zorgen dat de dreiging alsnog snel de kop wordt ingedrukt. Hun “Remedation Engine” is hierbij een belangrijk en interessant onderdeel. Bij een aanval gaat deze component zorgen dat als er mogelijk wijzigingen (encryptie bv) op je files worden toegepast, dat er een kopie van deze files beschikbaar zal worden gesteld. Zo zorgt dit onderdeel van hun Endpoint protection dat bij een aanval die kan worden verhinderd, de files op het systeem niet verloren gaan. Met het onderdeel “Application control” en “HIPS” gaat er gezorgd worden dat het uitvoeren van bepaalde files en/of applicaties beperkt gaat kunnen worden tot alleen hetgeen dat nodig is.
Na de pauze gaan we verder in op het EDR gebeuren. Zoals eerder al kort besproken zal EDR een beter beeld geven op de basislaag van Kaspersky EndPoint protection. EDR zal opmerken wanneer de Endpoint protection een security incident ondergaat. EDR gaat er alles aan doen om dit incident lokaal te houden, indijken op de plaats waar het zich voordoet, zodat het zich niet verder kan verspreiden in je systeem. EDR zal ook een onderzoek doen naar het voorgevallen incident en de IT-beheerder bijstaan bij het nodig herstel. De EDR van Kaspersky zorgt voor een informatief en uitgebreid verslag zodat er niet veel tijd verloren gaat met het zoeken naar bepaalde zaken. Dit alles zorgt voor een tijds- en kostenbesparing en laat snellere reacties op mogelijk nieuwe incidenten toe. Het is snel duidelijk dat EDR in de toekomst onmogelijk weg te denken zal zijn voor een stevige en goede cybersecurity bij elk bedrijf.
MDR, een extern SOC-team om je data te beveiligen
Een laatste zaak waar Tom het heel kort over wil hebben is MDR. Zoals eerder aangehaald, wil dit zeggen dat hier ook een extern SOC-team achter zit. Deze gaan natuurlijk niet het beheer van je lokale toestellen overnemen maar zijn wel 24/7 bezig met actief te zoeken naar actieve bedreigingen. Hierdoor kan dus snel gereageerd worden op deze bedreigingen. MDR zal er ook voor zorgen dat er constante monitoring zit op je metadata, aan de hand van een database waarin alle bekende risico’s en bedreigingen worden toegepast. Uitgebreide analyses en verslagen zorgen voor een constante verbetering van het MDR-systeem.
Na Tom zijn toelichting krijgen we de kans om enkele prangende vragen te stellen. Afsluiten doen we allemaal samen met een gezellige nabespreking, vergezeld van een hapje en een drankje. Alweer een educatieve Friday Academy die ons toch wat andere inzichten heeft gebracht over cybersecurity, Kaspersky Endpoint protection en het nut van EDR en MDR-services.
