Ransomware maakt aan de lopende band slachtoffers, van pensioenfondsen tot zorginstellingen. Na een korte terugval zit het tempo van aanvallen weer in een hogere versnelling. Vaak wordt er bij het bestrijden van ransomware gesproken over backup en disaster recovery. Maar wat kun je doen met de endpoints?
Het belang van endpoints in de beveiliging tegen ransomware werd recent duidelijk bij aanvallen van twee ransomware-bendes, Cl0p en BlackCat (ook bekend als ALPHV). De Moveit Transfer-hack van Cl0p trof tot dusver vijftien miljoen burgers en 121 organisaties, waaronder CalPERS en CalSTRS, twee grote pensioenfondsen van ambtenaren en onderwijspersoneel in Californië. BlackCat is vaardig in het naar buiten smokkelen van informatie. Deze ransomware-bende dreigde met het lekken van foto’s en gevoelige data van de patiënten van een plastisch chirurg. Volgens een rapport van Check Point zorgde BlackCat eerder voor een lek van foto’s en medische dossiers van patiënten van het Amerikaanse zorgnetwerk LVHN.
Blokkeren
De aanval door BlackCat laat zien waarom organisaties de focus van hun beveiligingsstrategie moeten verleggen van servers en de infrastructuur naar de rand van het netwerk, en meer in het bijzonder de endpoints van eindgebruikers. Volgens een analyse van TrendMicro van BlackCat zijn het blokkeren van kwaadaardige e-mails en de inzet van de laatste security-oplossingen voor e-mail, endpoints, internet en het netwerk essentiële beveiligingspraktijken.
De beste verdediging is om bedrijfsgegevens en applicaties te scheiden van computerhardware. Door het onderbrengen van data en apps in de cloud wordt het aanvalsoppervlak sterk verkleind. Door data op te slaan in de cloud en een besturingssysteem te gebruiken dat eindgebruikers veilige toegang biedt tot hun applicaties en data, kunnen werknemers flexibel en veilig werken vanaf elke locatie en elk apparaat.
De beveiliging is verder te versterken door de hosting van workloads in de cloud te combineren met role-based access control (rbac) en verplichte multi-factorauthenticatie (mfa). De kans dat cybercriminelen het netwerk binnendringen is verder te verkleinen door het beperken van de toegang tot enkel de bestanden en applicaties die voor het werk nodig zijn. Daarnaast wordt beveiliging sterker door rekening te houden met de veranderende verantwoordelijkheden van werknemers en het intrekken van toegangsrechten van werknemers die de organisatie verlaten.
Het scheiden van data en applicaties van endpoints dient als eerste verdedigingslinie binnen een strategie voor disaster recovery. Dit moet worden gecombineerd met een veilig besturingssysteem dat ondersteuning biedt voor hybride-cloud-omgevingen en compatibel is met vdi-platforms zoals VMware, AVD of Citrix die worden gebruikt voor de hosting van saas- en daas-oplossingen en andere virtuele diensten.
Het besturingssysteem Linux is een goed voorbeeld van een besturingssysteem dat volledig gescheiden is van applicaties en diensten. Daarmee wordt het aanvalsoppervlak van elke endpoint tot een minimum beperkt. Deze aanpak brengt meer efficiëntie naar de manier waarop applicaties en clouddiensten van eindgebruikers worden afgenomen, gedownload en bijgewerkt. De beveiliging wordt versterkt, doordat de werkomgevingen van alle eindgebruikers binnen de organisatie snel worden bijgewerkt met de laatste updates en patches.
Linux
Bij een succesvolle cyberaanval staat of valt de bedrijfscontinuïteit met de mogelijkheid om data veilig en snel te herstellen, zodat collega’s hun werk in een mum van tijd kunnen hervatten. Om er zeker van te zijn dat dataherstel mogelijk is, is het gebruik van een veilig besturingssysteem, zoals Linux, essentieel.
Linux maakt het voor bedrijven bijvoorbeeld mogelijk snel data te herstellen door de software opnieuw op te starten in de laatst bekende ‘gezonde’ toestand. Dit vraagt om een besturingsysteem met een read-only-karakter en de mogelijkheid om data onder te verdelen in partities, zodat bedrijfskritische applicaties in volgorde van prioriteit zijn te herstellen. Aangezien applicaties van de hardware zijn gescheiden, kunnen ze op veilige wijze worden benaderd via de cloud. En ook dat komt ten goede van de bedrijfscontinuïteit.
Gewiekste hackers
Moveit Transfer en BlackCat van CI0p zijn slechts twee voorbeelden van gewiekste hackers die bedrijven het vuur na aan de schenen leggen. We leven in een tijd waarin hybride werkers voortdurend van locatie wisselen en vaak ook gebruikmaken van onveilige apparaten. Daarom is het van cruciaal belang om een passende strategie voor de beveiliging van endpoints te ontwikkelen.
Het is niet meer dan logisch dat de endpoints het startpunt moeten vormen van een strategie voor disaster recovery. Dit vraagt om een besturingssysteem dat ondersteuning biedt voor veilige cloud computing en kan dienen als hoeksteen van bedrijfscontinuïteit.
