Nederlandse bedrijven worden momenteel geteisterd door een computervirus (XDocCrypt of Trojan-Ransom.Win32.Dorifel, maar in sommige media SasFis genoemd) dat voor grote verstoringen zorgt. Gemeentes als Den Bosch, Venlo en Borssele hebben te maken met verstoringen in hun primaire bedrijfsprocessen.
Hier zijn een aantal tips om besmetting te voorkomen.
– Systeembeheerders doen er goed aan om de updates van hun antivirussoftware in de gaten te houden. Als ze slechts éénmaal daags de updates op hun distributiepunt, servers en werkplekken verversen, is het verstandig om deze frequentie te verhogen.
– het virus verspreidt zich via e-mail (spam) of drive-by downloads. Het heeft zich vermoedelijk op de pc’s genesteld via een oude malware besmetting. De kans is dus zeer groot dat de organisaties al lange tijd zonder dat ze het wisten met andere malware geïnfecteerd waren en dit pas merkten toen het virus muteerde en actiever de gebruikers lastig ging vallen. Banking trojans veroorzaken in die zin minder zakelijke verstoringen dan virussen die bestanden aanpassen.
De kans op besmetting door virussen en andere malware voorkom je onder andere door:
– Actief aan awareness te doen. Gebruikers moeten zich bewust zijn van het feit dat ze via een e-mailbijlage een virus binnen kunnen halen. Het is verstandig om in ongebruikelijke of onverwachte mails geen bijlagen te openen.
– Software te blijven updaten. Veel bedrijven gebruiken alleen Windows update en vergeten de updates van software als Java, Adobe Reader, Adobe Flash en Shockwave. De huidige exploitkits plaatsen via kwetsbaarheden in deze software malware/virussen op de pc’s van gebruikers. Dit gebeurt bijvoorbeeld door op een gehackte website (nu.nl en weeronline.nl zijn hier bekende voorbeelden van) een verwijzing naar een kwaadaardig flash filmpje of een pdf-bestand te plaatsen.
– Bedrijven doen er goed aan de gateway van andere antivirus software te voorzien dan de werkplekken en servers. Nog beter is het om op de gateway verkeer met meerdere antivirusproducten te controleren.
– Virussen worden steeds slimmer waardoor ze antivirus software kunnen misleiden. Ze muteren soms wel meerdere malen per dag. Dit maakt het voor antivirussoftware steeds lastiger om besmettingen te voorkomen. Naast preventiemiddelen kun je als bedrijf ook detectiemiddelen inzetten. Succesvolle antivirusbesmettingen zijn te detecteren met behulp van een intrusion detection systeem. Dit systeem slaat alarm als een geinfecteerd systeem via het netwerk contact zoekt met de internetcrimineel.
Maarten,
Zeer actueel stukje. Ondanks het wel al veel besproken punten en geen schokkende punten zijn, is het altijd handig om ze even op te sommen in een lijstje.
Waar voor dank.
Hoeveel veiligheid biedt AV-software als virussen meerdere malen per dag muteren?
Beste Ewout,
Het is goed om beveiliging te zien als een optelsom van maatregelen waarmee risico’s worden gereduceerd tot een acceptabel niveau. Wat acceptabel is verschilt per organisatie. AV-software is een onderdeel van deze risicoreductie. Als je op virustotal.com kijkt beschermt 50% van de pakketten inmiddels tegen dit virus. Op dit moment is een deel van de AV-software dus zeker nuttig voor dit specifieke probleem en voor andere virussen met een herkenbaar patroon. Maar feit blijft dat AV-software steeds vaker achter de feiten aanloopt. Zie het daarom als een maatregel die in belangrijke mate bijdraagt aan je bescherming, maar niet als de heilige beveiligingsgraal.
mvg, maarten hartsuijker
50% Herkent nu dit virus, wat zich weer onherkenbaar kan maken door mutatie. Hoe weet je of de goede 50% van de AV-sofware is uitgerold op alle devices, inclusief de smartphones en tablets en dus tijdig de risico’s ontdekt worden? Krijg mede door andere spraakmakende en gerichte trojans/virussen de indruk dat we steeds vaker achter de feiten aanlopen, dat verdediging vooral reactief is.
Met de optelsom ben ik het wel eens maar met ontwkkelingen als BYO en HNW is hier eerder sprake van aftrekken. Een meegebrachte USB-stick, de met Bluetooth gesynchroniseerde bijlagen van telefoon e.d. slaan namelijk de eerste verdedigingslinies al over. En meeste interne netwerken zijn ‘plat’ waardoor verspreiding daarna vrij eenvoudig is.
Bij “Bring Your Own USB” (of andere externe datadrager) krijg ik ook erg een onrustig gevoel. Daarmee is de kans groot dat een medewerker langs 70% van de bescherming wandelt. Door de autorun uit te schakelen beperk je het risico, maar een medewerker die op het bedrijfsnetwerk een van de thuis-pc meegenomen kwaadaardig bestand op de stick opent vormt natuurlijk een groot gevaar. Zeker als de malware vervolgens alle content op de netwerkschijven besmet.
BYO kan naast bedreigingen ook kansen opleveren. Volgens mij hangt dat af van de keuzes die je er in maakt. Als je medewerkers met een veilige gecentraliseerde (anytime/anyplace/anydevice) werkplek met goede toegangsbeveiliging faciliteert, dan neem je de noodzaak weg om data te verplaatsen. Denk VDI/TS/Citrix met SSL-VPN inclusief NAC. Dit geeft een hoop regie waarmee de besmettingskans richting de centrale ook kan afnemen.
Van de genoemde maatregelen is, zeker vandaag de dag, het kweken van bewustwording wel het belangrijkste.
Met BYOD worden er al risico’s geïntroduceerd, maar wat te denken van mensen die dat mailtje van de teamgenoot even doorsturen naar het werk om daar te printen; de leuke screensaver die via huis naar het werk gestuurd wordt of, en dat zijn de meest risicovolle, de mensen die via slimme webservers zelf verbindingen op gaan zetten naar hun thuisnetwerk zodat ze vanuit het werk bij hun thuisdocumenten en muziekcollectie kunnen.
Zolang mensen bedrijfsinfrastructuur gebruiken voor privé doeleinden loop je risico’s. Je kunt deze proberen te beheersen, maar tegen menselijke domheid zijn weinig virusscanners opgewassen.
Het virus richt zich op .docx- en .xlsx- bestanden en die worden klaarblijkelijk veelvuldig gebruikt. Wat is nu overgebleven van het initiatief om bij de overheid gebruik te gaan maken van open source zodat documenten worden opgeslagen in het internationaal gestandaardiseerde formaat .odt?
@redactie
Waarom maar 2 sterren voor een reactie waar misschien wat veel reclame in zit maar net zo valide is als anderen?
@maarten
Gezien de recente problemen is een (brede) discussie over de problemen meer dan terecht. Beveiliging staat niet of nauwelijks op de agenda terwijl de risico’s al jaren bekend zijn. Enige jaren geleden werd door Microsoft al aandacht hiervoor gevraagd en het belang aan gegeven van software firewalls, segmentatie van netwerken en gebruik van encryptie voor zowel data in beweging als data in rust. Beveiliging aan de randen van het netwerk bieden in elk geval niet voldoende bescherming.
Bewustwording is natuurlijk ook belangrijk maar kijkend naar veel discussies wordt beveiliging als lastig ervaren, tot het mis gaat natuurlijk want dan wordt er wel geluisterd. Helaas meestal alleen om de shit op te ruimen waarna uiteindelijk weer dezelfde fouten gemaakt worden.
Heb er echt niets aan toe te voegen, of toch een kleintje i.v.m. verschillende anti-virus en malware progs; zet je die dan op verschillende comps en stuur je ze naar de verschillende of heb jij een idee om 6 pc’s te beveiligen ? Ben te bereiken op walter.wittocx1@telenet.be.
Gevaarlijk, ik weet het.
Dank bij voorbaat, Walter