Verder dan patchen: vijf manieren om het risico van Hafnium of andere zero-day-aanvallen op Microsoft Exchange Server te helpen beperken

Zero-day-aanvallen, zoals de recente Microsoft-aanval die door de Hafnium-groep werd uitgevoerd, vormen een verhoogd risico voor de cyberbeveiliging. Door hun aard vormen deze aanvallen een duidelijk en aanwezig gevaar. De meeste deskundigen zullen terecht zeggen dat het implementeren van een rigoureus patchproces essentieel is om zich ertegen te verdedigen. Maar gezien het feit dat uw organisatie al is blootgesteld op het moment dat een zero-day aanval wordt ontdekt - en dat cybercriminelen de nieuw ontdekte kwetsbaarheid mogelijk al weken, maanden of zelfs jaren aan het misbruiken zijn - roept dit de vraag op: is er niet meer dat u zou moeten doen? Het antwoord is volmondig ja, en dat ligt in het opbouwen van een alomvattende cyberweerbaarheidsstrategie.

Het is moeilijk om de verbondenheid van de manier waarop bedrijven tegenwoordig werken en de manier waarop aanvalsgebieden als gevolg daarvan zijn uitgebreid, te overschatten. Afhankelijk van de beweegredenen van de bedreiger leiden referenties naar software en systemen die kunnen leiden naar e-mails, samenwerkingstools, financiële of andere gevoelige bedrijfsinformatie, intellectueel eigendom, vertrouwelijke verkoopinformatie, onderzoek en ontwikkeling, concurrentieanalyse en meer. Het opbouwen van veerkracht in uw IT-infrastructuur vermindert niet alleen het risico, maar kan u ook helpen een vroegtijdig waarschuwingssysteem op te zetten voor vele soorten cyberaanvallen. Hieronder volgen vijf stappen die u op weg kunnen helpen om dit te bereiken:

1. Verhard uw e-mailperimeter - Als aanvallers ongeautoriseerde toegang krijgen tot uw omgeving, maakt de informatie van insiders die ze kunnen verkrijgen u uiterst kwetsbaar voor vervolgaanvallen op basis van e-mail. De bedreiger kan zien wie de salarisadministratie beheert, processen voor het aftekenen van handtekeningen begrijpen, communicatiepatronen spiegelen, enzovoort, waardoor hij zeer gerichte, zeer realistische vervolgaanvallen kan uitvoeren op basis van zijn beweegredenen. Krachtige e-mailbeveiliging, zoals inkomende en uitgaande scanning, preventie van gegevenslekken en DMARC-beleid, is ontworpen om te voorkomen dat kwaadwillenden gebruikmaken van uw legitieme domeinen, en kan u helpen aanvallen te identificeren en te verijdelen die zelfs voor uw meest beveiligingsbewuste medewerkers moeilijk te herkennen zijn.
2. Archief naar een onafhankelijke omgeving die afzonderlijk is beveiligd - Het handhaven van een grote hoeveelheid transactiegegevens in uw e-mailberichtensysteem maakt uw organisatie kwetsbaarder voor aanvallen. De beste werkwijze is om een kleine hoeveelheid gegevens te bewaren. Een aanvaller die ongeautoriseerde toegang krijgt tot drie maanden of minder van uw e-mailgegevens, bijvoorbeeld, is minder schadelijk dan wanneer hij een volledige of zelfs meerjarige geschiedenis in handen krijgt. Uw aanvalsoppervlak kan worden verkleind en uw gegevens beschermd door archivering naar een onafhankelijk beveiligde omgeving.
3. Stel een continuïteitsplan op - Verstoring van de e-mailstroom is een realiteit waarmee alle organisaties te maken krijgen en waarvoor ze plannen moeten maken, en het kan op talloze manieren gebeuren. Aanvallers kunnen uw e-mailsysteem of uw toegang tot sommige of al uw bestanden uitschakelen met behulp van ransomware. Bij een aanval kan het zijn dat u het systeem zelf uit de lucht moet halen, om een dringende patch toe te passen tijdens kantooruren, een inbreuk te herstellen of zelfs het systeem volledig opnieuw op te bouwen met een schone infrastructuur. De lijst met scenario's is ontmoedigend, en dergelijke gebeurtenissen doen zich elke dag voor. Omdat e-mail nog steeds het levensbloed is van de overgrote meerderheid van bedrijven, is het vermogen om e-mail functioneel te houden tijdens verstorende gebeurtenissen een fundamenteel onderdeel van een strategie voor cyberresilience. Een continuïteitsoplossing kan ervoor zorgen dat wanneer e-mail onbereikbaar is, uw bedrijf niet ten onder gaat.
4. Een nauwkeurige en herstelbare opslagplaats voor e-mailcommunicatie onderhouden - Gegevens zijn zeer waardevol voor cybercriminelen; en wanneer ze ongeautoriseerde toegang tot uw omgeving hebben, hebben ze vele opties, afhankelijk van hun beweegredenen. Ze kunnen de gegevens vernietigen, losgeld eisen of zelfs wijzigen door er onjuiste, ongepaste of belastende informatie in op te nemen. Het bijhouden van een nauwkeurige registratie van uw communicatie helpt bij de bescherming tegen onjuiste weergave van informatie, voorkomt gegevensverlies en maakt snel en eenvoudig herstel mogelijk van gegevens die door kwaadwillige of onbedoelde acties verloren zijn gegaan.
5. Geef mensen en technologieën de kans om samen te werken - Gezien de snel toenemende complexiteit van cyberaanvallen in de afgelopen jaren, zijn de technologieën die we allemaal gebruiken om onszelf te beschermen niet onfeilbaar, net zomin als de medewerkers waarop we vertrouwen als laatste verdedigingslinie voor aanvallen die er toch doorheen komen. Daarom is het raakvlak tussen technologie en mensen een steeds belangrijker onderdeel geworden van cyberresilience. Om uw medewerkers deel te laten uitmaken van uw systeem voor vroegtijdige waarschuwing, is het van essentieel belang dat zij de beschikking krijgen over kennis en bewustzijn, en over hulpmiddelen zoals de mogelijkheid om verdachte activiteiten eenvoudig te melden. En aangezien het aantal technologieën dat organisaties gebruiken om hun beveiliging te verbeteren, blijft toenemen, is het vermogen om deze technologieën te laten samenwerken en gebruik te maken van de collectieve informatie over bedreigingen die ze bieden, de sleutel tot vroegtijdige detectie, proactieve respons en snelle beperking.

Om zero-day-aanvallen te bestrijden, biedt het Mimecast Email Security 3.0-framework cloud-first bescherming tegen deze kwaadaardige tactieken via alomtegenwoordige e-mailbeveiligingsservices die gebruikmaken van meerlaagse detectie-engines en informatie over bedreigingen om bedreigingen tegen te houden voordat ze het netwerk bereiken.

De kern van de zaak

De recente zero-day aanval was gericht tegen Microsoft Exchange Server door Hafnium. Morgen kan de volgende cyberaanval net zo goed gericht zijn tegen Microsoft 365 of andere delen van de IT-infrastructuur door een andere, even gevaarlijke, door de staat gesponsorde bedreiger. En de realiteit is dat er voortdurend 'zero-day'-aanvallen worden ontdekt die het nieuws niet halen. Moet u regelmatig patchen? 1.000 keer ja. Maar om het zero-day-risico te beperken, moeten organisaties verder gaan dan patchen en een alomvattende strategie voor veerkrachtige cybersystemen implementeren.