‘Hackers stelen afleveringen en script Game of Thrones’. ‘Hacker gijzelt nieuwe seizoen Netflix-hitserie Orange Is The New Black en eist losgeld’. Deze headlines waren alleen al in de afgelopen 3 maanden in de Nederlandse media te vinden. Dergelijke hacks vormen de grootste nachtmerrie voor ieder mediabedrijf. Maar hoe voorkom je dat de laatste aflevering met de ontknoping van je succesvolle serie ruim voor de uitzending op straat komt te liggen? Of dat het nieuwe seizoen waar heel ‘binge watchend’ Nederland naar uit heeft gekeken voor de start al online staat – tenzij je met een flinke som geld over de brug komt? Met onderstaande 9 adviezen maak je de kans op een hack, en kijkers die geconfronteerd worden met een spoiler alert, een stuk kleiner.
Inventariseer security in de keten
Omdat de commerciële belangen rondom populaire series of blockbusters groot zijn, zou je denken dat de beveiliging in de keten rondom deze bestanden volledig is dichtgetimmerd. Recente incidenten zoals met Game of Thrones, Orange is the New Black en Pirates of the Caribbean laten echter zien dat dit vaak niet het geval is. Neem daarom bij het evalueren van je beveiliging ook toeleveranciers mee. Hoe heeft bijvoorbeeld het postproductiebedrijf zijn security georganiseerd?
Zorg voor logging / chain of custody
Zorg dat je kunt herleiden wie welke bestanden opent en op welk moment. Wat gebeurt er met de bestanden? Dit kan bijvoorbeeld door alle logs van de systemen te verzamelen op een centrale plek. Bij een incident is het belangrijk dat de logbestanden van de betreffende server zijn gehaald. Veel hackers wissen namelijk alle logs om sporen te wissen. Logs die extern opgeslagen zijn, bijvoorbeeld in Logstash, voorkomen dat een aanvaller zijn sporen kan wissen.
Daarnaast wordt in logbestanden vaak interessante informatie opgeslagen over wat met bestanden is gebeurd. Het opzetten van een ‘Security Information and Event Management-systeem (SIEM) biedt diverse oplossingen waaronder logging en waarschuwingen op netwerk- en systeemniveau. Deze systemen geven vaak realtime informatie, zoals een alert als een aantal keer een verkeerd wachtwoord wordt ingevoerd op een server waardoor incidenten sneller opvallen. Voor echt gevoelige informatie kan het nuttig zijn om elke keer als de bestanden worden benaderd een melding te geven. Daarnaast kun je zelfs een honeypot integreren binnen je SIEM-oplossing om een mogelijk security incident proactief op te merken waardoor je meer tijd hebt om te reageren.
Koppel publieke diensten los
Richt je netwerken gesegmenteerd in en zorg ervoor dat publieke diensten, zoals de website, los draaien van het netwerk. Wees je er daarnaast van bewust wat online wordt aangeboden en geef alleen toeleveranciers toegang tot diensten zoals SFTP of leveranciersportalen, bijvoorbeeld met een IP-whitelist. Belangrijke bestanden moeten afgeschermd in het eigen netwerk worden bewaard met specifieke authenticatie-instellingen. Het is bijvoorbeeld niet noodzakelijk dat salescollega’s toegang hebben tot de videobestanden en de directie hoeft niet te kunnen inloggen bij beheersystemen. Op deze manier creëer je een logische scheiding die er bij een incident voor kan zorgen dat de kroonjuwelen veilig blijven.
Gebruik beveiligde verbindingen
Binnen de mediawereld zien we dat veel data wordt uitgewisseld. Dit moet doorgaans snel en vaak gaat het om grote bestanden. Zeker als de bestanden worden verzonden via publieke netwerken zoals internet, is het belangrijk ervoor te zorgen dat de verbinding veilig is. Gebruik daarom encryptie voor het verzenden en ontvangen van bestanden. SFTP of FTPS is veiliger dan onversleutelde FTP-communicatie. Daarnaast is het uiteraard raadzaam ook de e-mail communicatie te versleutelen, bijvoorbeeld met S/MIME of PGP.
Wees alert bij het openen van bestanden
Er is een toename van ransomware aanvallen, waarbij in het geval van WannaCry zelfs Engelse ziekenhuizen en parkeergarages in Nederland werden getroffen. Om deze incidenten te voorkomen, is het raadzaam om alleen bestanden van personen van wie je ook daadwerkelijk bestanden verwacht, te openen. Het gebruik van goede antivirus software is daarnaast ook belangrijk, voorkomen is immers beter dan genezen. Verder kun je overwegen de bestanden te openen op een een air-gapped pc (die is niet aangesloten op een netwerk) of op een virtuele machine.
Laat je software-infrastructuur testen
Meten is weten. Ontwikkelingen volgen elkaar snel op en ontwikkelaars zijn zich ook vaker bewust van security. Helaas gebeurt het nog vaak dat kwetsbaarheid in de applicatie sluipt, omdat men nou net op die ene plek vergeten is om bijvoorbeeld te ‘escapen’. Daarom is het slim regelmatig de toepassingen te testen die binnen de organisatie worden gebruikt. Zo kun je kwetsbare plekken in je infrastructuur of applicatie identificeren.
Installeer updates
Dit lijkt een open deur (en dat is het ook), maar het komt nog vaak voor dat organisaties gecompromitteerd worden doordat geen software-updates zijn toegepast. Het is zelfs één van de grootste beveiligingsproblemen. Dit is echter gemakkelijk te vermijden met behulp van een goed updatebeleid. Maak iemand in de organisatie verantwoordelijk voor het toepassen van de updates en zorg bijvoorbeeld voor monitoring op de systemen. Deze monitoring kan periodiek controleren welke softwareversies geïnstalleerd zijn en een waarschuwing geven wanneer software achterloopt. Op deze manier heb je meer controle over de situatie.
Maak ook offline back-ups
Bij incidenten kan een back-up belangrijke data, die bijvoorbeeld is versleuteld door ransomware, redden. Het is belangrijk dat deze back-ups ook offline staan. Daarom moet je niet alleen back-uppen naar een netwerkshare die altijd online is, maar ook naar bijvoorbeeld tapes of andere opslag die niet makkelijk overschreven kan worden. Veel ransomware of malware scant namelijk ook naar aanwezige netwerkshares of back-up oplossingen. Hierdoor bestaat het risico dat de back-up die bereikbaar is vanuit het interne netwerk, ook versleuteld wordt. Het terugzetten van de back-up is dan niet meer mogelijk.
Kies unieke wachtwoorden
Gebruik een uniek wachtwoord voor je verschillende toepassingen en bestanden. Mocht een wachtwoord gekraakt of ontdekt worden, dan is het uiteraard goed dat deze niet gebruikt kan worden voor andere diensten. Vaak genoeg lukt het tijdens een test om een ontdekt wachtwoord te gebruiken op andere beheerportalen of systemen. Zorg er ook voor dat er niet ‘one password to rule them all’ is. In de praktijk zie je nog te vaak organisaties waar alle beheerders gebruik maken van hetzelfde account voor een server. Als één van de beheerders dan uit dienst gaat, wordt het wachtwoord van het account vaak niet aangepast, wat uiteraard wel een standaardprocedure zou moeten zijn.
Het opvolgen van deze adviezen zal de kans dat er een spoiler alert is aanzienlijk verkleinen. Dat is niet alleen goed voor mediabedrijven, maar ook voor kijkers is wachten hoe die cliffhanger aan het einde van seizoen 3 afloopt stiekem best leuk.
Bovenstaande blog is geschreven door Yannick Verhoeven en Thijs Alkemade en werd deze maand gepubliceerd in Broadcast Magazine.