Ransomware kan bedrijven van elke omvang treffen. Kwaadwillenden gebruiken een reeks tactieken om zonder toestemming toegang te krijgen tot de data en systemen van hun slachtoffers, zoals het uitbuiten van niet-gepatchte kwetsbaarheden, profiteren van zwakke of gestolen referenties en social engineering. Vervolgens beperken zij de toegang tot de data en systemen en vragen zij losgeld voor de ‘veilige teruggave’ van deze digitale bezittingen.
Regeringen wereldwijd hebben richtlijnen afgekondigd waarin wordt opgeroepen tot strengere informatiebeveiligingsmaatregelen tegen ransomware. in Nederland houdt ook het Nationaal Cyber Security Center zich bezig met het informeren van Nederlanders over ransomware.
Er is niet één snelle oplossing om ransomware te stoppen. Daarom hieronder tien (!) maatregelen om algemene best practices op het gebied van beveiliging te bevorderen.
Tien maatregelen
- Gebruik security-framework
Organisaties die migreren naar de cloud moeten overwegen een security framework zoals het National Institute of Standards and Technology’s (NIST) Ransomware Risk Management te gebruiken. Met dit framework gaan organisaties na of alle onderdelen van hun beveiligingsprogramma zijn voorzien van gedefinieerde controles, verantwoordelijkheden en mechanismen. Georganiseerd rondom vijf stappen – identificeren, beschermen, detecteren, reageren en herstellen – kan het NIST-framework helpen de algehele beveiliging, het risicobeheer en de veerkracht van een organisatie te verbeteren.
- Patchen en versterken van systemen
Bekende kwetsbaarheden in software die nog moeten worden bijgewerkt met een beveiligingspatch zijn vaak het doelwit van aanvallers om toegang te krijgen tot het netwerk van een organisatie. Het identificeren en patchen van kwetsbaarheden in soft- en hardware is cruciaal om de blootstelling aan ransomware-aanvallen te beperken.
- Stop met langdurige credentials
Toegangssleutels en credentials, die nodig zijn voor toegang tot en manipulatie van bronnen in de cloud, zijn vaak het doelwit van criminelen. Als toegangssleutels niet regelmatig worden gewijzigd en goed beveiligd worden, bestaat het risico dat ze per ongeluk worden vrijgegeven en dat bronnen worden aangevallen. Probeer toegangssleutels die allang bestaan te elimineren en sleutels regelmatig te veranderen.
- Gebruik meerdere accounts
Organiseer je infrastructuur op zo’n manier databronnen zoveel mogelijk gesegmenteerd en geïsoleerd zijn. Dit beperkt het verkeer en vermindert het vermogen van ransomware om zich te verspreiden en meer systemen te infecteren. Het gebruik van meerdere accounts in deze strategie zorgt ook voor extra controles en kan de impact van een ransomware-aanval verminderen.
- Gebruik onveranderlijke infrastructuur zonder menselijke toegang
Wanneer configuratie-updates, inclusief versterking en het installeren van beveiligingssoftware, worden uitgevoerd voordat een systeem wordt opgestart, is het makkelijker om de systeemwijzigingen die ransomware aanbrengt te detecteren. Zelfs als je geen volledig onveranderlijke infrastructuur kunt inzetten, helpt elke reductie van menselijke toegang het risico te verlagen dat systemen worden blootgesteld door een menselijke fout of een kwaadwillende.
- Implementeer gecentraliseerde logging en monitoring
Beveiligingsteams kunnen systeemlogs monitoren om verdachte activiteiten op hun netwerken te ontdekken. Als je je niet realiseert dat er iets mis is totdat het verzoek om losgeld verschijnt, is het waarschijnlijk te laat. Security information and event management (siem)-systemen kunnen gebeurtenissen centraliseren voor analyse om ongebruikelijke gebruikersactiviteiten, gebeurtenissen op het netwerken wijzigingen in de infrastructuur op te sporen en zo de respons te stroomlijnen.
- Maak regelmatig back-ups en bescherm ze
Regelmatige data back-ups verminderen de impact van een ransomware-aanval en verbeteren het vermogen om er snel van te herstellen. Sommige vormen van ransomware zoeken actief naar back-ups en proberen deze te verwijderen of te vergrendelen, dus het is essentieel dat ze goed beveiligd zijn. Organisaties moeten ook een herstelstrategie definiëren en hun herstelprocedures regelmatig testen om ervoor te zorgen dat het proces effectief is.
- Bereid incident response plan voor en oefen
Bereid je voor op een incident voordat en voer incident-response-simulaties uit om de paraatheid van de organisatie te testen. Dit helpt bij het ontwikkelen van effectief beleid en effectieve procedures om te reageren op beveiligingsincidenten. Deze aanpak zorgt voor vertrouwen en richting voor het bedrijf tijdens een echt incident.
- Voer zelfevaluaties uit op workloads
Beoordeel workloads regelmatig op risico’s en leg verbeteringen vast om ervoor te zorgen dat ze de best practices op het gebied van beveiliging volgen en potentiële kwetsbaarheden kunnen identificeren.
- Automatiseer security guardrails en responsacties
Gebruik automatisering om regelmatig te controleren op onveilige bronconfiguraties en deze bij te werken.
(Auteur Esteban Hernandez is senior security solutions architect bij AWS.)