Volgens het rapport Cybersecuritybeeld 2022 van de NCTV groeit de dreiging van ransomware dusdanig snel dat de kans dat de maatschappij ontwricht raakt aanwezig is. De overheidsinstantie stelt vast dat ransomwarebendes hun aanvallen sneller aanpassen en ontwikkelen dan de verdediging bij organisaties kan bijhouden. Een zorgelijke ontwikkeling.
Ransomware is geen recente ontwikkeling. Al in 1989 verscheen een voorloper van wat we nu
ransomware noemen: de Aids-trojan. In een tijd waarin nog nauwelijks bedrijven of consumenten
toegang tot internet hadden, werd deze trojan verspreid via floppy disks, waarvan er 20.000 werden
verstuurd naar de deelnemers aan een aids-congres van de Wereldgezondheidsorganisatie. Slachtoffers moesten losgeld (à 189 dollar) naar een postbus in Panama sturen.
Wat een verschil met vandaag. Iedereen kan nu op het darkweb voor weinig geld een ransomware-as-a-service (raas)-kit kopen. Er zijn talloze kanalen waarlangs aanvallers een organisatie kunnen binnendringen; het gevolg van het gebruik en onze afhankelijk van de cloud en mobiele technologieën. Elke organisatie is in principe kwetsbaar.
Een ransomware-aanval is niet slechts één actie. Aanvallers volgen een stappenplan. In de eerste fase gaat het om het onopgemerkt verkrijgen van toegang door de criminelen. Nu werknemers overal toegang hebben tot bedrijfsgegevens, hebben organisaties vaak geen zicht meer op hoe, met welke apparaten en via welke netwerken ze dat doen. Voor een effectieve bescherming tegen dit soort aanvallen is antivirus niet meer voldoende. Organisaties hebben continu inzicht nodig in gebruikers, in de endpoints waarmee ze werken en in de applicaties en gegevens waar ze toegang toe hebben.
Zinloos
Hoewel de daadwerkelijke malware die wordt gebruikt om gegevens te gijzelen ‘ransomware’ wordt genoemd, is dat niet waar organisaties zich op zouden moeten focussen. Voordat ze iets kunnen doen, hebben aanvallers namelijk toegang nodig tot de infrastructuur. Steeds meer gebruikers benaderen gegevens via netwerken en apparaten die niet beheerd worden door de organisatie. Dit betekent dat de on-premises securitymaatregelen die op zeker moment zijn geïmplementeerd en die bedoeld zijn op het buitensluiten van indringers, in feite zinloos zijn geworden.
Cybercriminelen proberen bijvoorbeeld via phishing logingegevens te bemachtigen of ze maken misbruik van een kwetsbare app. Als ze eenmaal binnen zijn, installeren ze malware om achterdeurtjes te creëren waarlangs ze vervolgens kunnen komen en gaan wanneer ze willen. Als het ze dan lukt hogere toegangsrechten te krijgen, wordt het bijna onmogelijk om te voorkomen dat ze zich door de organisatie gaan bewegen, waarna ze uiteindelijk gegevens kunnen gijzelen. En dat is een lucratief businessmodel voor deze criminelen. De investeringen zijn laag, terwijl de potentiële buit in de tientallen miljoenen kan lopen.
Stappen
Er is een aantal stappen die een aanvaller neemt tussen het moment dat hij voor het eerst toegang krijgt tot de infrastructuur en het moment dat hij daadwerkelijk om losgeld vraagt. Hier is een overzicht van wat er allemaal gebeurt en hoe u uw organisatie kunt beschermen.
- Voorkom phishing-aanvallen en verberg web-enabled apps
Een van de gemakkelijkste manieren waarop aanvallers toegang krijgen, is door een
gebruikersaccount over te nemen met logingegevens zijn die buitgemaakt via phishing. Het is daarom
essentieel om het webverkeer op ieder apparaat te kunnen inspecteren, om te voorkomen dat
aanvallen zowel pc- als mobiele gebruikers treffen. Dit voorkomt dat ransomware-criminelen een
aanval kunnen lanceren via gecompromitteerde accounts.
Veel organisaties maken gebruik van apps of servers die toegankelijk zijn via internet, zodat
medewerkers op afstand toegang hebben. Maar dit betekent ook dat aanvallers deze apps en servers
op internet kunnen vinden en vervolgens op zoek kunnen gaan naar eventuele kwetsbaarheden. Een
mogelijke verdedigingstactiek is om dit soort apps te verbergen via Zero-Trust Networking Access
(ZTNA), zodat ze niet zomaar zichtbaar zijn op internet. Organisaties kunnen zo ook een einde maken
aan de ongelimiteerde netwerktoegang die VPNs bieden en ervoor zorgen dat geautoriseerde
gebruikers alleen toegang krijgen tot de apps en de gegevens die ze daadwerkelijk ook nodig hebben
voor hun werk.
- Detecteer afwijkend gedrag en reageer
Als aanvallers er inderdaad in slagen de infrastructuur binnen te dringen, zullen ze eerst op
verkenning gaan. Hun doel daarbij is om meer kwetsbaarheden te vinden, met als uiteindelijke doel
gevoelige gegevens te stelen. Enkele van de mogelijke stappen die ze daarbij nemen zijn het wijzigen
van instellingen om de toegangsrechten te verlagen, het wegsluizen van gegevens en het installeren
van malware.
Sommige van deze stappen worden mogelijk niet direct als gevaarlijk gezien, maar kunnen wel als afwijkend worden beschouwd. Dit is waar goed inzicht en begrip van het gedrag van gebruikers en
apparaten en het segmenteren van toegang op applicatieniveau essentieel worden. Om lateral movement door het netwerk tegen te houden, moet voorkomen worden dat gebruikers vrij kunnen rondneuzen in de infrastructuur en schadelijke handelingen kunnen uitvoeren. Het is dan ook cruciaal om te brede of verkeerd geconfigureerde privileges voor apps en cloudhosting te kunnen detecteren.
- Gebruik versleuteling om ervoor te zorgen dat buitgemaakte gegevens niet gebruikt kunnen worden om meer losgeld te eisen
De laatste stap van een ransomware-aanval is het gijzelen van gegevens. Maar naast het ‘op slot’ zetten de gegevens en het buitensluiten van beheerders, sluizen aanvallers ook steeds vaker gegevens weg om ze vervolgens te gebruiken als nieuw pressiemiddel om meer geld te eisen. Ook kunnen gegevens verwijderd worden van de systemen van de organisatie.
Op zeker moment zal duidelijk zijn dat de organisatie is aangevallen. Als er gegevens zijn
gewijzigd, dan gaan de alarmbellen af en volgt er een eis om losgeld te betalen. Al die inspanningen van de aanvaller zijn echter voor niets als die buitgemaakte gegevens proactief van
tevoren door de organisatie zelf worden versleuteld, waardoor ze voor een crimineel verder waardeloos zijn. Versleuteling is daarom een essentieel onderdeel van data loss prevention (dlp).
Lateral movement
Een ransomware-aanval is dus niet slechts één gebeurtenis, maar een continue dreiging. Voor effectieve bescherming hebben organisaties een compleet en geactualiseerd beeld nodig van wat er gebeurt met hun endpoints, gebruikers, apps en data. Zo zijn phishing-aanvallen te blokkeren, is het mogelijk web-apps te verbergen, kan lateral movement binnen het netwerk gedetecteerd worden en is het mogelijk kostbare gegevens te beschermen, zelfs als deze zijn weggesluisd en er losgeld voor wordt gevraagd.
Historisch gezien hebben organisaties telkens nieuwe tools aangeschaft om nieuwe problemen op te lossen. Maar deze aanpak werkt niet tegen dreigingen zoals ransomware. Hoewel bedrijven misschien wat telemetriegegevens hebben over de toegangsactiviteiten van gebruikers en de status van hun werkdevice, zal een securityteam meerdere consoles moeten beheren die niet met elkaar communiceren of samenwerken.
Een geïntegreerd sse-platform is een betere benadering, omdat het inzicht en overzicht biedt van alles wat er binnen een organisatie gebeurt. Zo’n geïntegreerd platform zou dlp, user and entity behavior analytics (ueba) en enterprise digital rights management (edrm) moeten omvatten.
Ik schreef ooit een opinie over Zero-Trust Networking Access (ZTNA) toen het nog niet zo heette, reden was een truc in het OSI-model die voor een slimme segmentatie zorgde. En uitgangspunt in deze beveiliging is dat als je geen verbinding met een applicatie kunt maken je ook geen kwaad kan doen. Vanuit de optiek van de voordeur een prima strategie maar ransomware gaat via de achterdeur door niet de applicatie aan te vallen maar de data. Idee van de ‘airgap’ als verdediging hiertegen lijkt me een herhaling van zetten.
“Historisch gezien hebben organisaties telkens nieuwe tools aangeschaft om nieuwe problemen op te lossen.”
Wat betreft de vele puntoplossingen is dat zeker waar omdat de focus teveel op de applicaties ligt en alle voordeuren in de gaten houden is dan misschien niet de meeste slimme oplossing. De gemiddelde gebruiker heeft zo’n 3 tot 5 apparaten voor de toegang tot (bedrijfs)data en wij van WC-eend zeggen dan ook dat de klok niet gestolen wordt maar dat de meeste organisties hierdoor wel moeite hebben om de tijd te bewaken.
Da’s cryptisch omdat afpersing het beste werkt als imago beschadigd dreigt te worden. I know what you did last summer gaat om het geheugen en versleuteling is geen essentieel onderdeel van DLP hierin omdat je nog altijd een groot risico loopt op een verlies aan data als een aanvaller of een ambtenaar gewoon de schijven wist. Versleuteling is een essentieel onderdeel in het informatiebeheer waarbij je via het sleutelbeheer de toegang regelt. En het mooiste zijn de sleutels die de rechten op lezen, muteren en kopieëren beperken. Dat laatste is trouwens de essentiele inzet van DRM om de intellectuele eigendommen te beschermen hoewel dit niet erg succesvol is.
Even terugkomend op eerdere (1 mei 2022) reactie over Zero-trust want het ijkpunt van vertrouwen hierin gaat om de gebruiker en niet het apparaat. Hierin is zoiets als een ‘single strong source of user identity’ essentieel is want hacker die toegang krijgt tot account/password kan veel schade aanrichten. Maar even belangrijk is het rechtenbeheer want het recht op inzage in bepaalde informatie kan komen te vervallen door een wijziging in organisatorische rollen. Nieuwsgierigheid is misschien wel een groter risico dan ransomware want wat betreft het bewaken van de voordeur moeten we de achterdeur van spionage niet vergeten.
Oud Lid, dank voor de reactie. Met betrekking tot ‘single strong source of user identity’ vermoed ik dat je dan doelt op Attribute-Based Access Control qua rechtenbeheer ook? Ik heb eerlijk gezegd geen zicht op hoeveel organisaties dit daadwerkelijk ook hebben doorgevoerd en gebruiken in hun policies richting data.