De dreiging van cyberaanvallen neemt alleen maar toe. Hoe voorkom je als retailer dat je bedrijfskritische systemen geraakt worden en winkels plat liggen? Supermarktketen PLUS heeft gekozen voor Managed Detection & Response van Simac. Een team van specialisten houdt alle IT-systemen dag en nacht in de gaten en grijpt zo nodig meteen in.
PLUS beschikt in Nederland over ruim 550 winkels, die hun goederen ontvangen vanuit meer dere distributiecentra. Edwin van Kalkeren moet er niet aan denken dat de bevoorrading van de winkels of de verkoop aan klanten verstoord raakt door een cyberaanval. “Dat is het grootste risico: dat we een groot deel van onze winkels moeten sluiten omdat de kassa’s niet werken. Of dat een distributiecentrum uitvalt, waardoor winkels met lege schappen komen te zitten. Als één winkel wordt geraakt, is de schade misschien nog te overzien. Maar als het om meerdere winkels gaat, wordt het een ander verhaal.”
Edwin is als Enterprise Security Lead verantwoordelijk voor cybersecurity binnen PLUS. Hij herinnert zich een moment uit het verleden, toen het mobiele netwerk van een telecomprovider uitviel. Retailers die hun pinautomaten daarop hadden aangesloten en dus niet konden pinnen, kwamen meteen in de problemen. “Klanten lieten massaal hun boodschappenmandje achter en waren snel vertrokken”, vertelt Edwin. “Maar uitval van cruciale IT-systemen is niet het enige risico. Stel dat een cybercrimineel ons IT-netwerk binnendringt en klantgegevens steelt of prijsinformatie manipuleert. Of rommelt met de houdbaarheidsdata, zodat we producten onnodig weggooien. Dat zijn niet alleen risico’s voor ons, maar voor elke foodretailer.”
Spray-attack
PLUS heeft Simac ingeschakeld om het hele IT-netwerk 24 uur per dag en 7 dagen per week te monitoren. Als met een van de servers, werkplekken, netwerkapparaten, mailsystemen of cloudoplossingen iets vreemds gebeurt, gaan bij Simac de alarmbellen af. “Stel dat vanaf één IP-adres kort achter elkaar meerdere inlogpogingen worden uitgevoerd. Simac checkt in dat geval of er echt iets aan de hand is. Wellicht gaat het om een geautomatiseerd proces dat verkeerd is geconfigureerd, maar het kan ook een hacker zijn die via een password spray-attack onze systemen probeert binnen te dringen”, verklaart Edwin.
Binnen Simac is Robbert Vriens verantwoordelijk voor de dienst Managed Detection & Response. Volgens hem gebeurt binnen een groot IT-netwerk als dat van PLUS elke dag wel iets verdachts. “Vorige week zagen we een klant succesvol inloggen vanuit Nederland en meteen daarna ook vanuit Oekraïne, terwijl de betreffende medewerker natuurlijk niet binnen een paar minuten van Nederland naar Oekraïne kan reizen. Bovendien: waarom zou iemand vanuit Oekraïne inloggen bij PLUS? Toen we de melding binnenkregen, hebben we direct contact opgenomen. Het bleek dat de betreffende medewerker vanuit Neder land een VPN-verbinding met Oekraïne had opgezet en die per ongeluk aan had laten staan. Gelukkig was er dus niets aan de hand.”
Vitale sector
PLUS maakt sinds twee jaar gebruik van Managed Detection & Response van Simac. Het besluit om op zoek te gaan naar externe deskundigheid werd genomen toen de wereldwijde cyberdreiging door geopolitieke conflicten sterk toenam. “En die dreiging is sindsdien alleen maar verder toegenomen, juist ook voor retailers”, zegt Edwin. “Financiële instellingen zoals banken hebben hun cybersecurity inmiddels zo hoog opgevoerd, dat daar voor cybercriminelen weinig meer te halen valt. Met als gevolg dat ze het proberen in andere sectoren die ook grote maatschappelijke impact hebben. Dan kom je al snel terecht in de foodsector. Het is niet voor niets dat in NIS2, de nieuwe cybersecurity-richtlijn, foodretail als vitale sector wordt aangemerkt.” PLUS heeft met meerdere IT-dienstverleners gesproken over de monitoring van het IT-netwerk. “We zochten een partner die bewezen ervaring had op dat gebied, maar ook in staat was om op te treden in verdachte situaties. Die een onderzoek kan starten om ‘false positives’ van ‘true positives’ te onderscheiden en kan ingrijpen om erger te voorkomen”, weet Edwin. “De keuze voor Simac maakte uitbesteding wel zo gemakkelijk. We werkten al langer samen op het vlak van IT-beheer en monitoring van firewalls. Simac was dus al bekend met onze systemen en processen.”
Edwin van Kalkeren, Enterprise Security Lead bij PLUS:
“We zochten een partner die verdachte situaties onderzoekt en direct kan ingrijpen om erger te voorkomen.”
Logbronnen
Op een moment dat een bedrijf kiest voor Managed Detection & Response, maakt Simac eerst afspraken over de aan te sluiten logbronnen. “Hoe meer logbronnen we aansluiten, hoe beter we de veiligheid kunnen waarborgen. Het liefst sluiten we alle systemen aan die logdata genereren, van servers tot werkplekken en van firewalls tot cloudsoftware. Dat gaat al gauw over honderden gigabytes aan logdata per dag”, legt Robbert uit.
In het monitoringsysteem van Simac zijn honderden detectieregels vastgelegd. Aan de hand van die regels gaat het systeem volledig automatisch op zoek naar verdachte patronen in de logdata. Daarbij wordt niet alleen gelet op het gedrag van gebruikers, maar ook op bijvoorbeeld afwijkende informatiestromen, gebruik van kwetsbare protocollen of verbindingen met verdachte landen. Of op een onverwachte software-installatie die een gebruiker onbedoeld in gang heeft gezet door op een linkje in een phishingmail te klikken. Robbert benadrukt dat het onderhouden van de lijst met detectieregels een dagelijkse bezigheid is. “Dat blijft een voortdurend kat-en-muisspel tussen enerzijds de hackers en cybercriminelen en anderzijds ons als verdedigers van het netwerk. Elke dag stellen we onze voelsprieten scherper.”
In quarantaine
Als het monitoringsysteem een verdachte situatie ontdekt, geeft het systeem een waarschuwing. Vervolgens onderzoeken de analisten van Simac wat er precies aan de hand is. Als er daadwerkelijk sprake is van een cyberaanval, kunnen zij afhankelijk van de gemaakte afspraken direct ingrijpen. Zij kunnen bijvoorbeeld gebruikers of computers blokkeren of servers in quarantaine plaatsen.
Als dat nodig is, neemt Simac contact op met het IT-team van PLUS om maatregelen te bespreken. “Als het gaat om complexe situaties met mogelijk ingrijpende gevolgen, vindt er altijd overleg plaats”, stelt Robbert. “Met name in het begin is veelvuldig contact gewenst, omdat onze analisten dan vaak nog niet met volledige zekerheid kunnen vaststellen of er daadwerkelijk sprake is van een cyberaanval. Dan is overleg nodig om de context te begrijpen en de risico’s beter in te schatten.”
Edwin benadrukt het belang van goede afspraken. “Met een gedwongen reset van wachtwoorden heb ik niet zo’n probleem, daar ondervindt een enkele interne gebruiker maar beperkt hinder van. Dat mag Simac zonder overleg in gang zetten. Dat wordt anders als het gaat om het uitzetten van een server in een winkel. De beslissing daarover laten we niet aan Simac over, aangezien ons primaire proces daardoor flink wordt verstoord. Dat is natuurlijk nog meer het geval als het een centrale server betreft waar meerdere winkels van afhankelijk zijn.”
Maandelijks overleg
Naast het contact bij acute cyberdreiging voeren PLUS en Simac maandelijks overleg om de ervaringen te bespreken. PLUS vertelt over nieuwe ontwikkelingen in het IT-landschap. Zijn er logbronnen bijgekomen of juist weggevallen? Simac deelt de feiten en cijfers over de monitoringactiviteiten, bespreekt de trends en ontwikkelingen en geeft advies over maatregelen om de cybersecurity structureel te verbeteren. “Vervolgens bespreken we die adviezen met elkaar. Het kan zijn dat Simac de risico’s rondom een bepaalde applicatie ziet toenemen en aanraadt om daarmee te stoppen, maar dat is vanwege de bedrijfsvoering lang niet altijd mogelijk. Wel kunnen we in overleg misschien andere maatregelen treffen om de risico’s te beperken”, zegt Edwin. Hij benadrukt nogmaals het belang van de juiste context om risico’s correct in te schatten. “Neem het geval waarin Simac het netwerkverkeer richting enkele onbekende IP-adressen zag toenemen en vroeg of wij deze verkeersstroom herkenden. Wij zijn daarin gedoken en konden aangeven dat dit interne IP-adressen van PLUS zijn en dat die dus helemaal geen bedreiging vormen.”
Robbert Vriens, Managing Director Cyber Security bij Simac:
“We monitoren het liefst alle systemen die logdata genereren. Dat gaat al gauw over honderden gigabytes per dag.”
Grote stap vooruit
Na twee jaar kijkt Edwin uiterst tevreden terug op de samenwerking met Simac. “Het laatste wat we willen, is een cyberaanval die leidt tot lege schappen of gesloten winkels. Wij doen er alles aan om dat te voorkomen, maar hebben niet zelf de mensen en middelen om ons IT-netwerk continu te monitoren. Met Managed Detection & Response van Simac hebben we op dat vlak een grote stap vooruit gezet.”
Reacties 0