Ransomware

Het is tijd om de dreiging van ransomware voor bedrijfskritische SAP-applicaties serieuzer te nemen

Bijna elke dag zien we weer een nieuw geval van ransomware. In het verleden waren bedrijven van alle groottes het doelwit, maar de laatste tijd lijkt al het nieuws te draaien om slopende aanvallen op missiekritische of bedrijfskritische systemen van grote ondernemingen – van brandstof- en energiebedrijven tot voedselverwerkende bedrijven.

Het is niet zo dat deze bedrijven geen maatregelen hebben genomen om deze bedrijfsmiddelen te beschermen; het is gewoon zo dat de “traditionele” manier om zich voor te bereiden op en te reageren op ransomware gewoon niet meer werkt.

Wat is er dan nodig om de bedrijfskritische applicaties van uw organisatie te beschermen tegen de dreiging van ransomware? Dat is precies wat SAP en Onapsis hier proberen aan te pakken.

Wanneer de meeste mensen aan ransomware denken, zijn er twee directe, ‘traditionele’ oplossingen die in hun opkomen: back-ups en endpointbeveiliging. Beide zijn zonder twijfel essentiële onderdelen van een solide beveiligingsprogramma. Hun aanwezigheid kan organisaties echter een vals gevoel van veiligheid geven, omdat er nog steeds hiaten zijn, vooral met betrekking tot bedrijfskritische systemen die op meer manieren dan ooit tevoren met elkaar verbonden zijn.

De uitdaging is dat veel bedrijven zich te laat realiseren dat, ter voorbereiding op een ransomware-aanval, je alle deuren en ramen van je huis moet sluiten – niet alleen de voordeur van endpointbeveiliging. Bij het nadenken over ransomware-aanvalsvectoren, is het noodzakelijk om alle potentiële toegangspunten tot de bedrijfskritische omgeving te overwegen en hoe deze te beveiligen. Om deze metafoor voort te zetten, omvat dit ook het evalueren van uw buren en hoe zij uw huis binnenkomen.

Als u over al deze vectoren nadenkt, realiseert u zich langzaam dat deze uitdaging veel verder gaat dan alleen endpointbeveiliging en back-ups. Het vereist een meer holistische kijk op het beveiligen van uw bedrijfskritische applicaties, inclusief – ja – dingen die we zouden classificeren als “goede beveiligingshygiëne”.

In een recent gezamenlijk dreigingsrapport van Onapsis en SAP hebben we aangetoond dat bedreigers duidelijk de middelen, de motivatie en de expertise hebben om onbeschermde bedrijfskritische applicaties te identificeren en te exploiteren, en dat ze daar ook actief mee bezig zijn.

Een voorbeeld: een grote, beursgenoteerde onderneming werd onlangs het slachtoffer van een ransomware-aanval op de gegevens van haar enterprise resource planning (ERP)-applicatie. Hadden ze back-ups? Ja: de back-up werd eens per week ververst. De activiteiten werden echter toch stopgezet. Als dit gebeurt, kan het, zelfs met bestaande back-ups, nog steeds uren of zelfs dagen duren om een back-up te herstellen, en de negatieve gevolgen voor het bedrijf en de financiële verliezen zijn hoe dan ook groot. Hadden ze endpointbeveiliging? Ja, maar de aanvallers omzeilden de EDR-software (Endpoint Detection and Response) door via de applicatie toegang te krijgen tot de gegevens. EDR is geweldig voor het identificeren van activiteiten op gecompromitteerde bedrijfsmiddelen en maakt het mogelijk artefacten te bevatten en te verzamelen, zoals procesbomen en bestanden die door malware zijn aangemaakt, maar het toepassingsniveau vormt nog steeds een uitdaging. En deze aanvallers gebruikten die toepassingslaag, die niet werd bewaakt door de tool zelf, om de bedrijfskritische bedrijfsmiddelen in gevaar te brengen.

Kwetsbaarheden zoals 10KBLAZE, PayDay en RECON stellen bedreigingsactoren in staat de volledige controle over toepassingen over te nemen via de toepassingslaag zelf. Deze bedreigingsactoren gaan rechtstreeks naar de applicatie en, eenmaal binnen, gaan ze naar het niveau van het besturingssysteem daar. Wanneer u kijkt naar de digitale transformatie-initiatieven van CIO’s of de snelle aanpassing aan werken op afstand als gevolg van de COVID-19-pandemie, is er sprake van een aanzienlijke vergroting van het risico. Onapsis heeft geconstateerd dat nieuwe, onbeveiligde SAP-applicaties in IaaS-omgevingen in minder dan drie uur door dreigingsactoren zijn ontdekt en aangevallen, waarbij op de datum van deze publicatie meer dan 400 succesvolle exploitaties zijn waargenomen.

Uiteindelijk is er dus een nieuw model nodig voor de verdediging tegen ransomware, een model dat verder gaat dan alleen het beschermen van endpoints, het maken van back-ups van bestanden en er het beste van hopen. Gartner stelt dat organisaties “een op risico’s gebaseerd proces voor vulnerability management moeten implementeren dat informatie over bedreigingen omvat. Ransomware vertrouwt vaak op ongepatchte systemen om laterale bewegingen mogelijk te maken. Dit moet een continu proces zijn. Het risico dat is verbonden aan kwetsbaarheden verandert naarmate deze kwetsbaarheden door aanvallers worden uitgebuit.” Daar zijn we het helemaal mee eens.

Wat nodig is, is een hernieuwde toewijding aan enkele belangrijke beveiligingsprincipes:

  1. Verbetering van de beveiliging van bedrijfskritische toepassingen
  2. Tijdig patchbeheer
  3. Point-in-Time kwetsbaarheidsbeoordelingen
  4. Voortdurende bewaking van kwetsbaarheden en bedreigingen voor uw bedrijfskritische applicaties
  5. Beveiliging van uw aangepaste code in bedrijfskritische applicaties
  6. Toewijding aan controle en governance

SAP streeft naar voortdurende innovatie van onze software om uw informatie veilig te houden, zowel ter plaatse als in de cloud. Wij geven prioriteit aan beveiliging, zodat u zich kunt blijven concentreren op het runnen van uw bedrijf en het effectief beheren van uw klantrelaties met behulp van SAP-oplossingen, in de veilige wetenschap dat uw gegevens zijn beveiligd. Om klanten tegen ransomware-aanvallen te beschermen, is de beveiliging van ontwikkelingsinfrastructuur, zoals de build- en deploy-keten, van het grootste belang om manipulatie van verzendingsartefacten te voorkomen.

Als onderdeel van onze betrokkenheid bij klanten volgt SAP een veilige levenscyclus voor softwareontwikkeling en -exploitatie om alle soorten zwakke en kwetsbare plekken in de beveiliging tijdens de ontwikkeling van producten en diensten te identificeren en te verhelpen. Door het gebruik van risico-identificatietechnieken zoals de SAP threat modeling-methode en veilige ontwikkelingstrainingen stelt SAP ontwikkelingsteams in staat om potentiële toegangspunten voor ransomware en andere soorten aanvallen te elimineren. Het zorgt er ook voor dat basisbeveiligingsprincipes, zoals die van least privilege, deel uitmaken van het DNA van SAP-ontwikkelaars.

SAP blijft zijn systemen versterken met geautomatiseerde statische codeanalyse, kwetsbaarheidsscans en validatie door een speciaal, onafhankelijk intern SAP-beveiligingsteam. SAP’s softwareontwikkelingscyclus dient als voorbeeld voor klanten over hoe een DevSecOps-model kan worden ondersteund dat ontwikkelings- en operationele aspecten omvat voor een continue en veilige levering van software.

Bij het implementeren en uitvoeren van SAP-applicaties is het noodzakelijk dat organisaties zich richten op het harden van hun systeem om het algehele aanvalsoppervlak te minimaliseren – bijvoorbeeld door te zorgen voor de juiste instelling van systeemparameters en andere aspecten van de systeemconfiguratie, waaronder de activering van beveiligingskenmerken en -functionaliteiten. Het is belangrijk dat de juiste configuratie-instellingen zijn ingevoerd om een organisatie te beschermen tegen mogelijke kwetsbaarheden in de beveiliging.

SAP biedt belangrijke functies zoals de SAP EarlyWatch Alert-service, die toezicht houdt op de essentiële administratieve gebieden van SAP-componenten om organisaties op de hoogte te houden van prestaties en stabiliteit, en de SAP Security Optimization-service, die de beveiliging controleert en verbetert door potentiële beveiligingsproblemen met betrekking tot uw SAP-oplossing te identificeren en belangrijke aanbevelingen te doen.

Omdat bedreigers nieuwe aanvalsmethoden blijven bedenken en kwetsbaarheden voor deze aanvallen worden geïdentificeerd, levert SAP voortdurend beveiligingsupdates voor bestaande code om uw systemen veilig te houden. SAP levert deze beveiligingsupdates via ondersteuningspakketten en op de tweede dinsdag van elke maand publiceert SAP in het kader van “Security Patch Day” beveiligingsnotities met de nieuwste beveiligingscorrecties en -aanbevelingen. Zoals gezegd is het implementeren van een proces voor beveiligingsonderhoud om aanbevolen beveiligingsupdates te beoordelen en te implementeren een bewezen best practice voor het beperken van risico’s.

Onapsis richt zich sinds 2009 op de bescherming van bedrijfskritische applicaties. Met ons Onapsis-platform richten we ons op de applicatielaag en vormen we een essentieel onderdeel van de plannen van onze klanten om hun bedrijfskritische SAP-applicaties te beschermen tegen ransomware-aanvallen.

  • Door automatisch inzicht te bieden in kritieke kwetsbaarheden, ontbrekende belangrijke patches en beveiligingsupdates, misconfiguraties en onveilige interfaces, identificeert Onapsis alle open deuren. Dit is een cruciaal onderdeel van elk initiatief om ransomware te voorkomen. Zodra de toegangspunten zijn geïdentificeerd, kunnen ze worden gesloten, waardoor het aanvalsoppervlak dat kan leiden tot ransomware wordt verkleind.
  • Door middel van voortdurende bewaking en realtime waarschuwingen voor bedreigingsindicatoren helpt Onapsis realtime pogingen om toegang te krijgen tot kritieke systemen via alle resterende open deuren te bewaken. Win kostbare tijd om te voorkomen dat bedreigingsactoren verdere toegang krijgen.
  • Met codeanalyse in realtime, voordat deze in productie wordt genomen en tijdens het transport, kan Onapsis helpen vreemde code, zoals malware, of nieuwe kwetsbaarheden te identificeren voordat deze worden vrijgegeven aan het publiek. Kwetsbaarheden in code kunnen een kleine aanvalsvector lijken, tot ze dat niet zijn, zoals in het geval van de Solar Winds-aanval. De ervaring van Onapsis is dat we over het algemeen één kritieke kwetsbaarheid per 1.000 regels code zien, maar onze klanten hebben over het algemeen miljoenen regels aangepaste code. Het is belangrijk om die duizenden open deuren te sluiten om toegang tot bedrijfskritische systemen te voorkomen.

Het is tijd om anders over ransomware te denken. We zitten midden in een perfecte storm, met meer onbeschermde SAP-toepassingen en externe medewerkers dan ooit tevoren, deskundige bedreigers die de expertise hebben om deze systemen aan te vallen, bedrijfskritische systemen in de cloud die onderling sterk zijn verbonden, en overbelaste InfoSec-teams die mogelijk achter zijn geraakt met patchen en kwetsbaarhedenbeheer. Ransomware is de laatste stap van een aanval die gebruik kan maken van een groot aantal aanvalsvectoren om rechtstreeks toegang te krijgen tot uw bedrijfskritische applicaties.

Organisaties moeten gebruikmaken van de krachtige native beveiligingsmogelijkheden van SAP, de juiste, op risico’s gebaseerde processen voor patch-, code- en kwetsbaarheidsbeheer instellen en gebruikmaken van de geoptimaliseerde tools en kritische informatie over bedreigingen van Onapsis. Als ze dat doen, kunnen organisaties hun risicoprofielen drastisch verlagen, ransomware-groepen een stap voor blijven en uiteindelijk hun naam uit het nieuws houden.


Tim McKnight is CSO van SAP.
Richard Puckett is CISO van SAP.
Mariano Nunez is CEO van Onapsis.

Extra bijdragers aan deze inhoud zijn: Elena Kvochko, Imran Islam, Oliver Meli, Vic Chung, en Robert Lorch van SAP, evenals David D’Aprile, Maaya Alagappan, en Tess Cunard van Onapsis.