De digitale jacht op het Coronavaccin

Dimitri van Zantvliet Rozemeijer over de digitale jacht op het Coronavaccin.

Sinds COVID-19 rondwaart en wij massaal zijn gaan thuiswerken hebben we ons snel moeten wapenen tegen het dreigingslandschap dat zich uitstrekt tot het wifi-netwerk van de medewerkers, de kinderen op de end-points en allerhande exotische tools om het werken op afstand gemakkelijker te maken. Niet alleen houdt het coronavirus de gemoederen bezig, ook het vaccin tegen dit virus krijgt de afgelopen maanden bijzonder gerichte belangstelling en wel van Advanced Persistent Threat (APT) groeperingen die vaak geassocieerd worden met statelijke actoren. Waar gaat dit over en hoe kun je je als organisatie hiertegen wapenen?

Begin juni dit jaar kopte een aantal kranten dat APT41, een hackerscollectief ondersteund door de Chinese staat en ook wel Double Dragon genoemd, uit was op vaccinkennis en zich regelmatig digitaal liet zien in de omgeving van organisaties die met onderzoek naar en productie van dit vaccin te maken hebben. De AIVD waarschuwde al eerder dat het stelen van technische kennis aan de orde van de dag is, maar nu werd farmacologische kennis er specifiek aan toegevoegd. Binnen de cybercommunity werd onderling al informatie uitgewisseld hoe deze groep hun aanvallen uitvoert en hoe ze te herkennen zijn.

Begin deze maand brachten Britse, Amerikaanse en Canadese geheime cyberdiensten naar buiten dat ook de Russische APT29, ook wel bekend als Cozy Bear, actief op zoek was naar vaccininformatie en via malware aanvallen organisaties probeerden binnen te dringen. De Engelse Nationaal Coördinator Cyber Security (NCSC) bracht snel een Advisory uit hoe te wapenen tegen deze aanvallen.

En begin vorige week werd duidelijk dat ook de Iraanse Threat Group (ITG18, a.k.a Charming Kitten) zich niet alleen met de Amerikaanse verkiezingen bezighoudt, maar nu ook met farmaceutische bedrijven die menen een mogelijke COVID19-remedie te hebben.

Bovenstaande is slechts een zeer kleine actuele greep uit de grote groep door staten ondersteunde hackerscollectieven die we dagelijks in de detectiesystemen tegenkomen.

Voorkomen én snel genezen!

Het is van belang te beseffen dat het stelen van vaccininformatie vaak met indirecte aanvallen gebeurt. Dit kan bijvoorbeeld door een leverancier te besmetten, een overheidsinstantie als stepping-stone te gebruiken of door de thuiswerkplek van een familielid van een medewerker over te nemen. Het voorkomen van een hack is lang niet altijd mogelijk, maar het tijdig signaleren en direct mitigerende maatregelen treffen kan wel degelijk. Iedere APT heeft namelijk een specifieke aanpak, een signatuur, die we herkennen via Tactics, Techniques en Procedures (TTPs) en Indicators of Compromise (IOCs). Naarmate hackers namelijk langer in een bedrijfsnetwerk onder de radar kunnen blijven, richten ze vanzelfsprekend mogelijk meer schade aan. Snel genezen door snelle detectie is dus cruciaal en dat kan niet zonder gespecialiseerde kennis en kunde.

Cyberdetection & Response is een belangrijk vakgebied dat bijdraagt aan de weerbaarheid van organisaties tegen APTs, zoals hierboven beschreven. Wij onderkennen binnen dit vakgebied een viertal onderdelen en helpen organisaties deze effectief in te richten:

  • Incident Response Planning
  • Managed Detection & Response
  • Risk Based Vulnerability Management
  • Hardening & Compliance

Het multidisciplinaire Cyberdetection & Response-team van Ordina helpt uw organisatie snel weerbaar te worden tegen onder andere APT-dreigingen. Onze aanpak vertaalt zich naar vier fases:

  1. Prepare: Inzicht in risico’s en voorbereiden van maatregelen
  2. Prevent: Selecteren en implementeren van maatregelen
  3. Detect: Controle of maatregelen die effectief zijn
  4. Response: Acteren op inzichten en daarmee de volwassenheid verhogen

Met deze vier stappen verhogen we samen iteratief de volwassenheid, weerbaarheid en veerkracht van uw organisatie op het gebied van Cyberdetection & Response.

Direct Effect met ESET Enterprise Inspector

Door onze strategische samenwerking met onder andere ESET zijn wij in staat direct in te spelen op de dreiging van bovenstaande statelijke actoren. De Endpoint Detection and Response-tool van ESET maakt het mogelijk om endpoint-activiteit continu en in realtime uitgebreid te monitoren, verdachte processen uitvoerig te analyseren en onmiddellijk te reageren op incidenten en inbreukpogingen. Zeker ook van APTs!

Samen met uw eigen specialisten kunnen wij op zeer korte termijn de eerste geautomatiseerde detectiestappen zetten. Dat kan door de tooling in uw bedrijfsprocessen aan te brengen en uw medewerkers op te leiden voor het gebruik ervan óf door de tooling en het managen van de detectiemeldingen als dienst aan u aan te bieden en u volledig te ontzorgen op dit gebied. Binnen een paar weken helpen wij u de volgende stap te maken in cybersecurity volwassenheid en een antwoord te implementeren op veranderingen in het cybersecurity dreigingslandschap.

In de tussentijd kunnen wij op strategisch, tactisch en operationeel cybersecuritygebied helpen met een breder cybersecurity assessment en samen met u een roadmap voor de komende jaren ontwikkelen om steeds, bij iedere nieuwe cyberdreiging ahead of change te kunnen blijven.

Dimitri van Zantvliet Rozemeijer MBA CISSP CISM CISA CIPP/E CIPM FIP, schrijver van deze blog, is senior principle expert bij Ordina Cyber Security & Compliance.

Wilt u hier meer over weten, neem dan contact op met Peter Groenewegen en we plannen een afspraak in. Digitaal of op locatie. Wel op anderhalve meter afstand, daar hebben wij helaas nog geen oplossing voor.

Vragen over Cyberdetection & Response?

Peter Groenewegen
Peter Groenewegen
Business Lead Cyberdetection & Response Services
Klik om direct telefonisch contact op te nemen: +31612725733 Bekijk mijn profiel op Linkedin Stuur een email