Afpersing is zo oud als de weg naar Rome. Of het nu de Il Mano Nero (methode van afpersen uit het begin van de vorige eeuw) betreft, of de zaak omtrent Holleeder. Afpersing vindt plaats in de schaduw van onze samenleving. Ook in deze schaduwzijde heeft de ‘digitale transformatie’ zich ingezet. Een veel gehoorde kreet in de media is op dit moment dan ook ransomware, oftewel afperssoftware (maar dat klinkt niet zo soepel).
De digitale transformatie zet zich steeds verder door, waardoor ransomware steeds eenvoudiger, en daarmee grootschaliger, beschikbaar komt. De recente WannaCry aanval is hier een triest voorbeeld van.
Na eerder zelf getroffen te zijn, wil het kabinet voor deze vorm van cybercriminaliteit in 2018 dan ook extra geld uittrekken en investeert de nationale politie in allerlei nieuwe teams om betere aangifte en bestrijding te kunnen verzorgen. Steeds meer zorgt ransomware voor behoorlijk wat hoofdbrekens bij menig ceo.
Ransomware
Ransomware ontstaat door kwaadwillende software (malware) op een werkplek die alle bestanden middels versleuteling onleesbaar maakt. De malware zit veelal verscholen in email berichten (spam) of wordt gedownload vanuit kwaadwillende websites. Logischerwijs versleutelt de malware allereerst alle bestanden waar ze schrijfrechten heeft, maar zal vervolgens proberen meer rechten te verkrijgen. Hierdoor kunnen niet alleen individuen worden getroffen, maar kunnen hele bedrijven of organisaties worden stilgelegd. Pas na betaling van een bepaalde som geld kunnen de bestanden weer worden benaderd. Helaas is het niet altijd zo dat betalen werkt; het schept immers een precedent, waardoor er steeds meer moet worden betaald. Ook dit is niet nieuw ten opzichte van de traditionele afperszaken.
Securitymaatregelen
Virusscanner
De bescherming tegen malware wordt vaak nog op een traditionele manier uitgevoerd, door gebruik te maken van een centrale gateway en lokale virusscanner. De gateway (Next generation firewalls, intrusion detection/prevention e.d.) zorgt voor het scannen van de inkomende bestanden en de virusscanner test tegen een aantal vooraf bekende virusafdrukken (signatures). Met de huidige mobiliteit van de medewerker biedt de gateway echter onvoldoende mogelijkheden en de virusscanner loopt letterlijk altijd achter de feiten aan. Dat ransomware voor hoofdbrekens zorgt, is dan ook volledig terecht.
Awereness
Een belangrijk onderdeel van een goede aanpak tegen ransomware is het creëren van awareness, zodat mensen malware zoveel als mogelijk herkennen en weten wat ze moeten doen. Ook de traditionele maatregelen, zoals segmentering en antivirus, moeten we niet overboord gooien. Een veelgehoorde maatregel is het toepassen van ‘white listing’. Hierdoor kunnen alleen toegestane applicaties vanaf de werkplek worden opgestart. Helaas heeft hierdoor niet alleen malware nauwelijks kans, maar wordt ook de helpdesk overspoeld met ontevreden medewerkers die meer rechten nodig hebben om applicaties op te starten. Uiteindelijk is white listing dan ook zelden succesvol.
Priviledged accounts
Een ander probleem is dat specifieke gebruikers, zoals ontwikkelaars, meer rechten nodig hebben om bepaalde applicaties te installeren of code te testen en daardoor een grotere kwetsbaarheid vormen voor ransomware. Het goed beheren van deze privileged accounts is een belangrijke stap tegen de verspreiding van deze malware.
Grey listing
Inmiddels is er technologie beschikbaar om de ‘end point’ goed te beschermen door onbekende applicaties, in een veilige omgeving, vanaf het end point te testen op malware. Dit noemen we ‘grey listing’ en biedt de gewenste bescherming zonder de helpdesk en/of medewerker onnodig te belasten.
Tijdelijke rechten
Daarnaast kunnen tijdelijke rechten vanuit een workflow worden verkregen, waardoor bijvoorbeeld ontwikkelaars gebruik kunnen maken van de hogere rechten, zonder onnodig hoog risico te lopen op malwarebesmettingen.
Integrale aanpak
Essentie is dat we komen tot een integrale aanpak om de risico’s van ransomware te mitigeren, waarbij de mens (Awareness), het proces (aanvullende rechten aanvragen) en de techniek (bescherming tegen kwaadwillende code) samen optrekken.
Deze mogelijkheden om hier iets aan te doen komen dan ook niets te vroeg, want als de digitale transformatie van deze schaduwzijde zich verder voortzet, zullen er zich veel meer Ransom-as-a-Service momenten voordoen.
Het doel moet zijn dat we niet wakker liggen dat onze continuïteit in gevaar wordt gebracht door een Russische hacker die Il Mano Nero nieuw leven wil inblazen.
Ik mis een eenvoudige regel …..
Cybercrime, a war lost! Je loopt namelijk altijd één stap achter. Such is life.
En ik mis de hardwarematige bescherming tegen ransomware (en andere malware). Ik ben het niet eens dat wij altijd één stap achter lopen. Indien de gegevens op een snel lineair file-systeem opgeslagen wordt, zoals op de Silent Bricks, kun je via de Continuous Snapshot functie eenvoudig terug naar de niet-geïnfecteerde versie. Vergelijkbaar met een goede tape-back-up, alleen sneller en eenvoudiger.
Beste Axel,
Je loopt altijd één stap achter. Updates van virusdefinities en patches bestaan bij de gratie van de ontdekking van …. Je kunt alleen maar hopen dat IT professionals de gaten en mogelijkheden eerder vinden dan de cybercrimineel en dit dan ook kenbaar maken bij de desbetreffende producent. Ik zie dat een crimineel natuurlijk niet zo snel doen. ;O)
Juist daarom heb ik het ook niet over updates en virusdefinities maar over het automatisch bewaren van een schone kopie die je a-la-minuut weer kunt benaderen.
@Axel
Daarmee bestrijd je geen ransomware maar bereid je je voor op de stap nadat het je is overkomen. Maar hoe zeer ik het technisch met je eens bent, de meeste gebruikers kijken hier na korte tijd al niet meer naar om. Welk product je ook adviseert of implementeert.
Mee eens. Daarom is het ook belangrijk dat het continuous snapshotting volledig automatisch gaat. Een airbag in de auto zou ook nutteloos zijn als ie altijd omslachtig aan en uitgezet zou moeten worden. Maar omdat de airbag automatisch en altijd op scherp staat voorkomt hij weliswaar geen ongevallen maar beschermt toch zeer tegen de gevolgen. Zo ongeveer moet je ook het continous snapshotting van de Silent Bricks zien.
Als iedereen nou eens Windows de deur uit zou doen… Op Linux kan je jezelf veel beter beveiligen. Windows is structureel onveilig en blijft altijd dweilen met de kraan open.
@Henk
Linux is misschien beter te beveiligen maar niet eenvoudiger. En als iedereen Windows de deur uit zou doen en Linux zou gaan gebruiken hebben wij dezelfde malware-problemen op Linux, gewoon omdat het dan zo veel gebruikt wordt. Zie bijv. actueel Sambacry. Ik ben geen voorstander van een bepaald besturingssysteem maar denk dat verschillende besturingssystemen voor de verschillende toepassingen gebruikt kunnen worden. Diversiteit beschermt overigens ook een beetje tegen malware.