Wat we kunnen leren van de Log4j-dreiging voor een volgende cybercrisis

Wat is Log4j?

Op 10 december 2021 kwam de security-wereld opeens in actie, toen de CVE-2021-44228 kwetsbaarheid betreffende, Log4j, wijds bekend werd: niet het kerstcadeau waar iedereen op zat te wachten. De exploit werd, maar wordt nog steeds door aanvallers gescand om doelwitten te identificeren en te exploiteren. Het scala aan dreigingen dat gebaat is bij deze kwetsbaarheid omvat financieel en opportunistisch gemotiveerde threat actors (bijvoorbeeld ransomware operators), en op spionage gerichte dreiging. Wereldwijd vreesden IT en security professionals dat ze hun feestdagen moesten doorbrengen in de digitale loopgraven.

Log4j is een Java library (of bouwsteen) die in applicaties kan worden ingebouwd om zo logging en monitoring te ondersteunen. Dit soort libraries zijn makkelijk te integreren en worden daarom zowel in open- en closed-source-applicaties veel gebruikt. Hoewel er in 2021 ook andere kwetsbaarheden aan het licht zijn gekomen, zoals de zwakke plekken in de on-premise Microsoft Exchange servers, is de mate waarin Log4j gebruikt wordt vele malen hoger, en is de kwetsbaarheid daarom aanzienlijk alarmerender. De mogelijke impact hiervan is ernstig, vooral omdat sommige organisaties niet weten dat Log4j onderdeel is van hun digitale omgeving. Het is zeer waarschijnlijk dat deze kwetsbaarheid de komende tijd zal worden geëxploiteerd, omdat die lastig te detecteren is in productiesystemen, en omdat de aanvallers deze steeds makkelijker kunnen integreren in hun huidige arsenaal.

Ons Threat Intelligence team volgt deze dreiging op de voet en ondersteunt klanten met technische maatregelen om de dreiging op te sporen en te mitigeren, zodat aanvallers geen gebruik meer kunnen maken van deze kritieke kwetsbaarheid. Als executive, bestuurslid of hoofd cybersecurity, heeft u de unieke kans om over de juiste acties te beslissen. De eerste stap in dat proces is goede voorbereiding.

Hoe kunt u uw IT-afdeling voorbereiden op kwetsbaarheden in uw organisatie?

Nu is het Log4j die zorgt voor zwakke plekken in systemen, maar over een paar maanden kan het een nieuwe kwetsbaarheid zijn of een totaal andere dreiging. Een gewaarschuwd mens telt voor twee. Het nemen van de juiste voorbereidingen, is cruciaal in het effectief te reageren op zelfs de meest kritieke issue en kan er niet alleen voor zorgen dat u uit te crisis komt, maar het vergroot zelfs de kansen om sterker uit de crisis te komen.

Daarom is de vraag: wat kunt u doen ter voorbereiding? In deze blog geven we een overzicht vanuit een crisismanagement perspectief:

Begrijp de impact van een kwetsbaarheid op uw bedrijf

Vaak is er een scheiding tussen de business en de IT-afdeling. In het geval van de Log4j-kwetsbaarheid, is het belangrijk dat de IT-afdeling zich bezig houdt met:
- Het bewustzijn van de infrastructuur en de plekken waar een aanval mogelijk zou kunnen plaatsvinden.
- Het herstellen (als dat mogelijk is) van de getroffen software en hardware.
- Het beperken, waar mogelijk, van externe toegang tot servers. Het aansluiten van deze apparaten op een aparte VLAN of een ander gescheiden netwerk is een goede eerste stap.
- Het monitoren van kwaadaardig netwerkverkeer of abnormale transacties op de getroffen servers.
- Het identificeren van het gedrag van een threat actor na de exploitatie.
- Als de server niet essentieel is voor het bedrijf, kunt u overwegen hem uit te zetten totdat de bovenstaande aanbevelingen zijn opgevolgd.
  
  Als bestuurslid hoeft u niet alle technische details van de Log4j-kwetsbaarheid of soortgelijke zwakheden paraat te hebben. Wat wel belangrijk is om te begrijpen is de impact van zo’n kwetsbaarheid op jouw bedrijf, en dat dit niet alleen ‘IT-feestje’ is. Hierbij is het uiterst belangrijk dat uw deskundige security professionals in dienst hebt, op wie u kunt vertrouwen tijdens een cybercrisis, en die in staat zijn de dreiging te begrijpen en te communiceren.
Beschik over een solide en weerbare crisismanagementorganisatie met:
- Duidelijke rollen en verantwoordelijkheden
  Duidelijke rollen en verantwoordelijkheden zijn cruciaal tijdens een crisis. Dit houdt in dat een team dient te worden samengesteld op basis van de juiste vaardigheden en competenties. Niet voor elk type crisis hoeft een IT- of security-vertegenwoordiger aan te schuiven, maar er moet wel plek zijn voor hem of haar in het geval van een IT/security-crisis. Daarnaast is het goed om iemand in het crisis response team te hebben, die kan fungeren als 'advocaat van de duivel'. Deze persoon stelt kritische vragen over de besluiten, omdat de hersenen onder stress vaak de kortste route kiezen. Hierbij ligt er vaak te veel nadruk op de korte termijn, waardoor slechte besluiten worden genomen. Gaat u echt het losgeld betalen?
- Back-up team
  Vanuit een technisch oogpunt is het belangrijk om back-ups van de data en software te hebben. Maar dit stuk gaat niet over data-back-ups, maar over de back-ups van teamleden. Een crisis kan dagen, zoniet weken voortduren. Geen normaal mens kan de juiste beslissingen nemen na een stressvolle werkdag van 12 uur. Zorg er daarom voor dat er een back-up team is, dat kan inspringen en de leiding kan overnemen terwijl het primaire crisisresponse team kan opladen om weer scherp voor de dag te komen.
- Gebruiksklare plannen en procedures
  Hoewel een crisis altijd de verwachtingen zal ontstijgen, kunnen plannen en procedures een stabiele basis vormen, die de organisatie door de crisis kan leiden. Zorg ervoor dat de crisisprocedures klaar zijn voor gebruik met een duidelijke definitie van een crisis, communicatie templates en een effectieve manier om het crisis response team in te schakelen (in het geval dat communicatie via email of een ander platform niet mogelijk is).
- Train & simuleer
  Het is cruciaal om over een goed getraind team te beschikken. Veilig leren autorijden, leert u ook niet enkel uit een theorieboek. Ditzelfde principe geldt voor managementpraktijken. Daarom is het belangrijk om het crisis response team periodiek te trainen en om crises te simuleren, zodat er geoefend kan worden op kwalitatief goede besluitvorming onder stressvolle omstandigheden. Bovendien is dit een goede manier om meer te leren over de dynamiek binnen het team.
Het gouden uur - het moment dat er nog ruimte is voor manoeuvre
In het geval van een ransomware crisis (of elke andere soort crisis) is het gouden uur hét moment dat een organisatie haar werknemers op sleutelposities op de hoogte stelt en de belangrijkste feiten over de crisis verzamelt. Het is essentieel dat er een moment genomen wordt om het crisis response team in te schakelen, zodat er geen overhaaste en ongegronde besluiten worden genomen. Natuurlijk is er geen tijd te verliezen tijdens een ransomwareaanval, maar een goede voorbereiding is het fundament van verdere response-procedures.
Onderneem actie volgens de waarden van uw bedrijf
Verifieer bij het nemen van besluiten in een crisis of ze aansluiten bij de waarden van uw organisatie. Is één van de waarden ‘teamwork’? Evalueer dan of de kritische, maar waardevolle kanttekening van de security-expert is meegenomen in het besluit. Als de waarden van het bedrijf worden gevolgd, kunt u als organisatie altijd de genomen besluiten naderhand toelichten als de organisatie daarop aangesproken wordt.
Een langetermijnvisie
Vooral in een positie van leiderschap is het belangrijk om de langetermijnvisie van de organisatie in het achterhoofd te houden en te bedenken op welke manier kortetermijnbesluiten invloed hebben op de langetermijnpositie. Op deze manier zal het team beter begrijpen hoe uw plannen een onmisbaar gevolg zijn van de visie en missie van de organisatie.

In een wereld waarin alles onderling verbonden is, zullen dreigingen zoals de Log4j-kwetsbaarheid blijven voorkomen. Voorbereid zijn op de gevolgen en de potentiële crises die zulke dreigingen kunnen veroorzaken, maakt u en uw organisatie weerbaar.