Dave Maasland – Eset Nederland – beantwoordt vragen over EternalBlue

Afgelopen maandag schreef ISP Today over het EternalBlue en de manier waarop de GDI Foundation dat probleem aanpakt. Daarin maakten we melding van de aandacht die o.a. NOS aan deze onveilige situatie heeft besteed. De NOS klopte niet alleen aan bij GDI, ze namen ook contact op met ESET. ISP Today heeft dat ook gedaan. We hebben Dave Maasland, managing director van ESET Nederland vijf vragen voorgelegd.

Was je verbaasd dat de gewone pers zo geïnteresseerd was in het onderwerp en heb je het idee dat de journalisten die je benaderden ook echt in de materie zaten?

Het is wel even wennen moet ik zeggen. Jarenlang in deze industrie is het zo geweest dat de stof als zeer complex wordt ervaren en de echte interesse bij het grote publiek leek ook te ontbreken. Gezamenlijk met de opkomst van ransomware in het algemeen worden er meer mensen geraakt door cybercrime en ervaren ook de disruptieve werking ervan. Daar komt bij dat “cyber” in de term zelf, (en ook op Google afbeeldingen) een gevoel van magie & duisternis bezit. Het is voor veel mensen niet tastbaar waardoor de nieuwsgierigheid hier wel naar groeit. Ik ben wel echt verrast door de landelijke media met de frequentie dat zij iets wilden plaatsen en de ruimte die ze hier voor vrij wilde maken. Dit ging veel verder dan verplichte verslaggeving.

Om op het tweede gedeelte van de vraag terug te komen, je ziet een duidelijk verschil tussen media met een tech-redacteur en diegene zonder tech-redacteur. Zonder tech-redacteur wordt al sneller naar sensatie gegrepen dan dat er echt voor de inhoud wordt gekozen. Bij de media met een tech-redacteur is het fijner om wat openlijker te spreken omdat er zeker weten nuances worden ingebouwd. Wel merk je dat cybersecurity echt iets anders is dan IT in het algemeen. En wanneer je hier 24/7 mee bezig bent zie je gewoon dat wij dieper in de materie zitten. Aan de andere kant moet er ook een vertaalslag zijn naar de massa, en die vertaalslag vind je simpelweg het beste bij media die technologie-aware zijn. Denk hierbij aan nu.nl, tweakers, rtl & nos.

Betekent EternalBlue voor ESET dat alle verloven worden ingetrokken en dat er overuren gedraaid worden. Of zijn jullie in staat dergelijke pieken goed op te vangen?

Ik denk dat de menselijke maat en het hebben van ontspanning erg belangrijk is. We gaan niet zo ver als het intrekken van verloven, de kennis zit bij ons dan ook verspreid en verdeeld tussen support & security consultants. Wel hebben we de regel dat men nooit tegelijk op vakantie gaat en brengen hier zorgvuldig een balans in aan. In deze industrie is het onderzoek wat we doen eigenlijk van belang om zo snel mogelijk te publiceren (doen we dit niet meer kans op slachtoffers etc…) en de actualiteit is ook eigenlijk altijd dringend, wel is de organisatie er goed op ingericht en draaien we 24×7 emergency response voor onze klanten. Dit betekent dat wij altijd mensen aan het werk hebben, zodra er iets gebeurd waar andere wat vanaf moeten weten worden de juiste personen in geschakeld.

Overuren daarentegen komen wel erg vaak voor, zeker de afgelopen twee maanden. Maar dit zijn ook wel de cases waar wij van waarde kunnen zijn en ons team op zijn scherpst is. Ik vergelijk het met de politie en een grootschalig onderzoek, het is verschrikkelijk dat er dit soort dingen gebeuren, maar dit is wel waar je het voor doet.

Wat levert een incident met de persaandacht al deze voor jullie op in de vorm van extra kennis? Hebben jullie bijvoorbeeld nu meer zich gekregen op de omgang met met shadow of zombie IT?

Helaas rust er op cybercrime en voor iedereen die daar slachtoffer van wordt nog steeds een gevoel van schaamte. Bedrijven voelen zich dom, zijn bang voor imagoschade of weten simpelweg niet wat ze moeten doen. Eén van de weinige voordelen van deze grote uitbraken is dat veel bedrijven zien dat ze niet de enige zijn. Hierdoor durven bedrijven en klanten zich kwetsbaarder op te stellen naar ons om gerichter in gesprek te gaan hoe we het één en ander kunnen verbeteren. Dan leer je inderdaad veel meer over waar zij denken dat uitdagingen zitten, Zombie / Shadow IT is daar met name één van. Maar ook de flexibiliteit en wendbaarheid van de organisatie (mbt updaten en patchen) plus het algemene awareness niveau worden veel eerlijker besproken. Voor ons betekent dit inzicht, en overal zijn stappen te maken. Nu zetten bedrijven deze stappen sneller.

EternalBlue raakt heeft veel Windows versies. Bestrijkt jullie portfolio dat allemaal?

Bij ESET werken we met lagen in onze technologie. Alleen antivirus scanning op basis van signatures is niet genoeg. Zo hebben we meer dan 10 modules in bijna elke versie van het product. Een aantal van deze lagen zijn gericht op het blokkeren van exploit technieken. Bekende en onbekende. Al onze nieuwste versies bevatten deze modules, ook al zouden we de malware nog niet herkennen, ESET had al een aantal maanden detectie voor het misbruiken van Eternal Blue.

Vijfde en laatste vraag: wat is je advies naar de lezers van ISP Today, zijnde de hosting -en datacentersector?

Als hosting of datacenter partij heb je een verantwoordelijkheid richting je klanten maar ook een voorbeeldfunctie. Ik denk vooral dat we met elkaar eerlijk moeten blijven zijn over wat er goed of fout gaat. Ik denk dat klanten veel kunnen leren van data & hosting partijen zeker op het gebied van fysieke beveiliging. Maar in cybersecurity voor grotere bedrijven is één KPI erg belangrijk. Wanneer een kwetsbaarheid wordt ontdekt en hoe lang duurt het om te patchen / updaten. Dit bepaalt je window of opportunity. Daarnaast raad ik iedereen aan om na te gaan denken over een incident response plan. Wat doe je als het fout gaat? De trend van Ransomwormen (ik noem het maar even zo) zal waarschijnlijk groter worden. Slimmere varianten die zich via slimme trucjes verspreiden binnen je netwerk, en de schade kan enorm zijn. Laat je daarom ook goed adviseren door gerenommeerde cybersecurity bedrijven. Dit hoeft niet altijd veel te kosten, belangrijk is om te vermelden dat cybersecurity dynamisch is en snel veranderd. Dit soort bedrijven doen 24×7 niets anders dan hiermee bezig zijn. Gebruik die kennis!

Algemeen advies (mbt tot deze kwetsbaarheden onder andere) :

* Doe aan External & Internal vulnerability Management
* Patch Management
* Netwerksegmentering door middel van firewalling
* Maak gebruikers geen local admin (aparte account met beheerrechten)
* Draai endpoint security en anti-malware ook op servers