Ransomware stopt niet aan de grens van je netwerk

Een ransomware-incident is geen perimeter-incident. Het is een keten-incident. De versleuteling die je uiteindelijk ziet, is het sluitstuk van een reeks stappen die ergens anders begon: bij een leverancier die toegang had, bij een identity die niet streng werd gevalideerd, bij een back-up die wel bestond maar niet immutable was, of bij een recovery-procedure die op papier stond maar nooit onder druk was uitgevoerd. Wie ransomware bestrijdt door de buitengrens van het netwerk te verstevigen, verdedigt het verkeerde stuk. De buitenkant is allang gepasseerd voordat de eerste versleutelde bestanden verschijnen. De vraag op tafel is dus niet hoe hoog je perimeter is, maar hoe goed de keten erachter standhoudt op het moment dat iemand er doorheen is.

Dit stuk legt uit waarom de framing "wij hebben een goede perimeter" achterhaald is, welke vijf lagen samen wel een verdediging vormen, en hoe je als CISO de eerlijke meting doet: niet of je een ransomware-aanval kunt voorkomen, maar of je hem kunt indammen, herstellen en doorstaan zonder dat de organisatie wekenlang stilstaat.

Waarom is de perimeter-framing achterhaald?

De aanname onder de perimeter-framing is dat een aanvaller buiten staat en binnen probeert te komen, en dat de kunst is om de muur hoog genoeg te maken. Dat beeld klopt al een decennium niet meer met de werkelijkheid. Aanvallers komen binnen via routes die niet als "buiten" worden gezien: via een leverancier met een vaste VPN-koppeling, via een gestolen identity die geldig is in jouw directory, via een browser-sessie van een gebruiker die op een legitieme link klikte, of via een beheerd systeem van een dienstverlener dat zelf is gecompromitteerd. ENISA beschrijft in zijn Threat Landscape terugkerend dat supply-chain en identity-misbruik de dominante initial-access-paden zijn bij ransomware-operaties, en het Nationaal Cyber Security Centrum benadrukt in zijn handreikingen dat netwerksegmentatie en strikte identity-controle binnen het netwerk basismaatregelen zijn juist omdat de buitengrens niet meer de relevante grens is.

Wat dit betekent voor de praktijk is concreter dan de framing suggereert. Een ransomware-actor die via een gecompromitteerde managed-service-provider binnenkomt, staat niet "aan de grens van je netwerk". Hij staat in een vertrouwde zone, met geldige inloggegevens, met legitieme beheerpaden, en met de tijd om rond te kijken. Een perimeter-firewall ziet hem niet, want hij doet niets wat de firewall hoort tegen te houden. Een aanvaller die een phishing-link binnenkrijgt bij een gebruiker met administratieve rechten, doet hetzelfde. De inbraak heeft al plaatsgevonden voordat er ook maar één klassiek alarm afgaat. Wat hem stopt of doorlaat is niet de buitenkant, maar wat er aan binnenkant staat: hoeveel paden er open zijn vanaf het systeem waar hij landde, of zijn identity bij elke gevoelige actie opnieuw wordt gevalideerd, of je back-ups buiten zijn bereik staan, en of je organisatie zonder die back-ups een week kan blijven draaien als het toch misgaat.

Welke lagen vormen samen wel een verdediging?

Een ransomware-verdediging is geen muur en geen product. Het is een keten van vijf lagen die elk een ander stuk van het incident afvangen. Zwakte in één laag drukt de winst van de andere vier weg, en dat is precies waarom organisaties die fors investeren in één laag toch ten onder gaan. De vijf lagen, in volgorde van waar ze in de aanvalsketen ingrijpen:

Segmentatie. Het netwerk is intern opgedeeld in zones die niet vrij met elkaar praten. Een gecompromitteerd werkstation kan niet zomaar bij een fileserver, een fileserver kan niet zomaar bij de back-up-omgeving, en de back-up-omgeving heeft geen pad terug naar productie. Het MITRE ATT&CK-raamwerk beschrijft onder Impact-tactieken (TA0040) hoe ransomware-actoren systematisch oost-west bewegen voordat ze versleutelen; segmentatie verkleint die bewegingsruimte. Dit is geen vendor-keuze, dit is een ontwerpkeuze.

Identity-validatie binnen het netwerk. Een identity die geldig is bij de voordeur, is niet automatisch geldig voor elke vervolgactie. Beheer-accounts worden afzonderlijk beheerd, gevoelige acties vragen om herhaalde authenticatie, service-accounts hebben minimale rechten en worden gemonitord op afwijkend gedrag. Een gestolen wachtwoord of een gekaapte sessie geeft dan niet automatisch domeinrechten.

Immutable back-ups. Back-ups die door een aanvaller niet versleuteld, niet verwijderd en niet vroegtijdig vervallen kunnen worden. In de praktijk betekent dat: back-ups die op een ander beheerdomein staan, met onafhankelijke inloggegevens, met een retentie die niet zonder bevoegde tussenkomst kan worden verlaagd, en met een offline of write-once kopie van de meest kritieke datasets. NIST SP 800-184 over Guide for Cybersecurity Event Recovery beschrijft expliciet dat de integriteit van back-ups de bepalende factor is voor herstel; een back-up die binnen het bereik van de aanvaller stond, is geen back-up.

Geteste recovery. Het verschil tussen een recovery-plan en recovery is een oefening. Hoe lang duurt het om de tien meest kritieke systemen terug te zetten vanuit back-up, in welke volgorde, met welke afhankelijkheden, en wie doet wat. Dat antwoord is alleen geloofwaardig als het in een geoefende setting is vastgesteld, niet als het in een document staat. Het verschil tussen een recovery van 24 uur en een van twee weken zit zelden in techniek; het zit in of de procedure ooit volledig is doorlopen onder tijdsdruk.

Grip op de leveranciersketen. Welke partijen hebben toegang tot jouw omgeving, met welke rechten, via welke koppeling, en wat gebeurt er als een van hen gecompromitteerd raakt. Een ransomware-actor die binnenkomt via een dienstverlener met domain-admin-rechten, omzeilt de eerste twee lagen volledig. Toegang vanuit derden hoort daarom dezelfde validatie en segmentatie te krijgen als interne toegang, en in veel organisaties is dat juist het stuk waar dat niet is geregeld.

Deze vijf lagen werken alleen samen. Segmentatie zonder identity-validatie is een hek met een opengelaten poort voor iedereen met een geldige sleutel. Immutable back-ups zonder geteste recovery zijn een verzekeringspolis die je niet kunt verzilveren. Geteste recovery zonder grip op leveranciers is een herstelprocedure die opnieuw begint zodra de partij die je binnen liet ook bij de tweede ronde betrokken is.

Wat is de eerlijke meting voor jouw weerbaarheid?

In veel organisaties wordt ransomware-weerbaarheid gemeten als afwezigheid van incidenten. Dat is geen meting, dat is geluk. De juiste meting is samengesteld uit vier vragen die je op elke laag concreet kunt beantwoorden. Eén, hoeveel paden zijn er vanaf een willekeurig werkstation naar de back-up-omgeving, gemeten in netwerkstappen en in geldige rechten. Twee, hoe lang duurt het voor een gestolen identity wordt herkend en gestopt voordat hij bij een gevoelig systeem komt, gemeten vanaf het moment dat het ongebruikelijke gedrag optreedt. Drie, hoeveel tijd zit er tussen het besluit om vanuit back-up te herstellen en het moment dat de tien meest kritieke systemen weer draaien, gemeten in een geoefende setting en niet in een document. Vier, welke leveranciers hebben toegang die in een ransomware-scenario je verdediging zou doorbreken, en welke voorwaarden gelden voor die toegang.

Deze vier metingen samen vertellen je iets dat de optelsom van losse controls niet vertelt: of de keten als geheel standhoudt. CISA beschrijft in zijn Stop Ransomware-materiaal eenzelfde benadering: weerbaarheid is geen som van producten, het is een doorlopende toets op de samenhang tussen preventie, detectie, indamming en herstel. Wie deze vier metingen niet bij de hand heeft, weet niet hoe ver hij is, ongeacht hoeveel er op het securitybudget staat.

Wat is een ransomware-incident eigenlijk?

Het is nuttig om hier de definitie scherp te zetten, omdat de framing in veel besluitvorming nog steeds is dat ransomware "een virus is dat bestanden versleutelt". Dat is wat je aan het eind ziet. Een ransomware-incident is een meerstaps-operatie waarin een aanvaller initial access verwerft (vaak via identity-misbruik of een leveranciersketen), zich lateraal verplaatst, persistentie opbouwt, data exfiltreert voor dubbele afpersing, back-ups verwijdert of versleutelt, en als laatste stap productie-data versleutelt. Tegen die definitie is "wij hebben een goede perimeter" geen verdediging maar een aanname over één onderdeel van stap één. De andere stappen vinden plaats binnen jouw eigen omgeving, en de verdediging tegen die stappen zit in de vijf lagen hierboven, niet in de buitengrens.

Deze framing verandert ook waar het geld het meeste risico wegneemt. Een extra investering in perimeter-controls bovenop een al volwassen perimeter, levert minder op dan een eerste serieuze investering in geteste recovery of in grip op de toegang van derden. Niet omdat de perimeter onbelangrijk is, maar omdat de marginale winst van de zesde laag op die plek lager is dan de eerste laag op een plek waar nog niets staat.

Wat dit betekent voor de keuze die jij maakt

Voor de CISO die hiermee intern het gesprek opent, is de bruikbare samenvatting dat ransomware geen aanval is die je aan de grens van je netwerk tegenhoudt, maar een keten die je verderop in vijf lagen ontmantelt. Naar Operationele teams is de boodschap dat segmentatie, identity-validatie, back-up-integriteit, geteste recovery en leveranciers-toegang aan elkaar moeten worden geketend in één samenhangend ontwerp, niet als losse projecten met eigen eigenaren. Naar het bestuur of de CFO is de boodschap zakelijker: de meting die telt is hoe lang de organisatie stilstaat als het misgaat, en die tijd hangt aan vijf investeringen tegelijk, niet aan één.

De logische volgende stap is geen aanschaf en geen architectuurdocument. Het is een eerlijke vaststelling van waar je op die vijf lagen staat, en welke laag de zwakste schakel is in jouw specifieke keten. Die schakel bepaalt namelijk de impact, ongeacht hoe sterk de andere vier zijn. Leg je eigen situatie naast die vijf lagen: als een van hen niet helder is, of als een ervan alleen op papier bestaat, dan is dat het gesprek dat je eerst moet voeren, intern en eventueel met iemand die er onafhankelijk naar kijkt.