De laatste tijd haalt ransomware herhaaldelijk de krantenkoppen. De Universiteit van Maastricht en Thuisbezorgd zijn slechts enkele voorbeelden van de afgelopen tijd die dit onderstrepen. Organisaties over de hele wereld zijn het doelwit geworden van cybercriminelen en er worden aan de lopende band systemen gegijzeld om vervolgens losgeld te vragen.
Volgens de politie is het afgelopen jaar 4.690 keer aangifte gedaan van cybercrime en was er met name een stijging te zien in de hoeveelheid ransomware-aanvallen. Dat is een toename van 64 procent vergeleken met 2018. Hoewel de dreiging dus ernstig is, zijn veel organisaties niet goed voorbereid op een eventuele aanval.
Uit een enquête, die wij onlangs hebben gehouden onder 541 organisaties, blijkt dat maar liefst 39 procent van de organisaties die getroffen zijn door een ransomware aanval geen toegang hebben tot een werkende backup. 37 procent van de getroffen organisaties kon hierdoor maar een deel van hun data terughalen. Daarentegen geeft maar liefst 83 procent van de bedrijven aan dat het belangrijk is om je goed voor te bereiden op een ransomware aanval. Momenteel is geen enkele organisatie veilig. Het is daarom belangrijk dat organisaties de nodige voorzorgsmaatregelen nemen om risico’s te verminderen.
Goede backup
Een goede backup is cruciaal om te herstellen van een ransomwareaanval. Echter maken organisaties vaak een verkeerde backup. Bovendien weten ze vaak niet dat gekoppelde backups ook ten prooi kunnen vallen. Het is daarom verstandig om altijd drie kopieën (3-2-1-strategie) te maken: twee lokale kopieën op twee verschillende media (meestal op schijf en tape) en isoleer één kritische backup van het netwerk (air gap) op een externe locatie. Vergeet niet om de backups regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het recovery-proces versnellen.
Tapes zijn een veilig alternatief backup-systeem met betrekking tot gegevensopslag. Zodra je backup op een tape is gezet, wordt de tape uitgenomen en is deze niet meer verbonden met het netwerk. Zo kan de tape nooit last hebben van een malware-aanval. Indien ook je backups worden getroffen door ransomware of niet meer werken, dan hoeft de data nog niet weg te zijn. Een datarecovery-bedrijf, kan vaak de data nog herstellen of de ransomware omzeilen om zo bij de data te komen.
Indien je grote hoeveelheden data moet opslaan en gebruikmaakt van raid-systemen, is het verstandig om copy-on-write-file-systemen, zoals Netapp Wafl of Linux ZFS, te implementeren. Dankzij dergelijk systemen worden er continu snapshots en klonen van de data gemaakt. Een snapshot is een momentopname van een bestandssysteem dat enkel te lezen is. Een kloon is een snapshot die is aan te passen. Door het gebruik van klonen ontstaat er een plaats-besparende manier om vele kopieën van veel gedeelde data op te slaan. Dankzij deze momentopname is het mogelijk data te herstellen bij een ransomware-aanval tot een specifiek tijdstip, zolang alle iteraties van de data beschikbaar zijn. Indien je gebruik maakt van een nas-systeem of ander apparaat, voeg dan de write once read many (worm)-functie toe. Op deze manier kunnen backups niet gewist worden door cybercriminelen.
Maar wat doe je als de back-up data weg is? Indien ook je back-ups worden getroffen door ransomware of niet meer werken, dan hoeft de data nog niet weg te zijn. Een data recovery bedrijf, kan vaak de data nog herstellen of de ransomware omzeilen om zo bij de data te komen. Als ransomware de netwerkperimeter bereikt en er geen volledige back-up beschikbaar is, kan je data meestal nog hersteld worden. Betaal in ieder geval nooit losgeld, datarecovery-bedrijven kunnen vaak via geavanceerde technieken de back-up controleren en data herstellen. Bovendien vererger je hiermee het ransomware-probleem en heb je geen garantie dat je de data terugkrijgt.
Tips om ransomware te voorkomen
Naast een backup zijn er veel mogelijkheden om ransomware en andere cyberaanvallen te voorkomen. Wees er zeker van dat al je apparaten en software geüpdatet zijn. Hierdoor kunnen cybercriminelen geen toegang krijgen tot je systeem via mogelijke kwetsbaarheden.
Zorg daarnaast voor de nieuwste beveiligingssoftware en sterke wachtwoorden. Wanneer je een wachtwoord instelt, moet je ervoor zorgen dat ze complex zijn en dat je niet steeds hetzelfde wachtwoord gebruikt. Heb je moeite om je wachtwoorden te onthouden, gebruik dan een passwordmanager. Je kunt ook overwegen om two-factor authenticatie in te stellen. Two-factor authenticatie is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per login-sessie aanpast. Op deze manier wordt inloggen een stuk veiliger, want zelfs als je wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen.
Gezien de meeste fouten worden gemaakt door mensen, is het belangrijk dat medewerkers goed worden getraind om hun cyberbewustzijn te verhogen. Het succes van een aanval is vaak afhankelijk van de goedgelovigheid van slachtoffers en dit gebeurt meestal middels phishing. Bij phishing proberen cybercriminelen middels e-mails je naar een valse website te lokken. Als slachtoffers vervolgens op de link in de mail klikt of de bijlage opent, wordt er ransomware geïnstalleerd. Als mensen aanvalstechnieken kunnen herkennen zullen cybercriminelen immers sneller door de mand vallen.
Daarnaast is het belangrijk om te benadrukken dat geen enkele organisatie het zich kan veroorloven om op haar lauweren te rusten. Een ondoordringbare verdediging tegen ransomware is er niet en zal er voorlopig niet komen. De technieken die cybercriminelen gebruiken gaan sneller dan ooit, organisaties moeten er daarom voor zorgen dat ze over de wil en technologie beschikken om continu te verbeteren.
Jaap Jan,
Bij ’tapes uitnemen’ neem ik aan dat je hiermee bedoeld uit de drive maar nog gewoon in de library zodat ze beschermd zijn tegen verlies of diefstal. Uiteraard staat die library wel op een andere locatie zodat er niet alleen bescherming is tegen ransomware maar ook tegen rampen zoals brand e.d.
Een Write-Once-Read-Many optie op disksystemen zou ik alleen toepassen op de data die nog vaak geraadpleegd wordt. Data die niet meer geraadpleegd wordt kun je namelijk beter verhuizen, bijvoorbeeld naar tape. Met het nieuwe Lineair Tape File System (LTFS) protocol is tape tenslotte het meest duurzame medium voor een groot aantal workflows. Data op tape in een library vraagt namelijk 0 Watt, data op spinning disk vraagt al snel om zo’n 70 Watt.
Natuurlijk kent een robot arm een hogere mechanische latency maar zodra de tape in de drive zit dan wint deze op doorvoer van spinning disk. En vooral de workflows met een sequentiële datastream profiteren op kosten dan ook enorm van een op LTFS-gebaseerde back-end, zeker als er nog een flash-cache tussen zit. Tenslotte kan er ook naar 2 tapes tegelijk geschreven worden waarbij er een checksum aangemaakt kan worden om na verloop van tijd te bewijzen dat de data tot op bit niveau onveranderlijk is gebleven. Deze onweerlegbaarheid is voor een groot aantal administratieve workflows erg belangrijk en werkt beter dat de traditionele back-up.
De technieken die cybercriminelen gebruiken gaan niet sneller, de verdienmodellen veranderen alleen maar.
Beste ‘een oudlid’,
Bedankt voor je reactie!
Met tapes uitnemen bedoel ik ook de tapes uit de library nemen en op een veilige locatie, bijvoorbeeld in een data bunker, opslaan. Op deze manier is de kans van een aanval op de library kleiner.
Voor de keuze van copy-on-write-file-systemen, WORM, het door jouw genoemde LTFS en andere technologieën spelen diverse design overwegingen mee. Energie verbruik en hitte kan inderdaad ook zo’n overweging zijn. Ik heb copy-on-write-file systemen meegenomen in het blog omdat we hierdoor data hebben kunnen herstellen. Het herstel was mogelijk omdat onze klanten gelukkig gebruik maakten van copy-on-write-file-systemen .
Technieken gaan inderdaad niet sneller. Sneller heeft betrekking op gevonden exploits die razendsnel de wereld rond gaan. Maar bij de gevaarlijke Advanced Persistent Threat zitten de cybercriminelen vaak langdurig in het netwerk om zelfs de back-up administrator passwords te achterhalen om die te vernietigen.
Met vriendelijke groet,
Jaap Jan Visser
Air gap technologie wordt al heel lang gebruikt om kroonjuwelen te beschermen. Nieuw is misschien dat we ons niet meer realiseren wie toegang heeft tot wat, het best ingewikkeld is geworden en omdat alles wel op een manier met alles is verbonden.