Ransomware-aanvallen vinden met grote snelheid plaats. De gemiddelde dataset wordt binnen een uur versleuteld. Het beveiligingsbedrijf Mandiant, een dochteronderneming van Google Cloud, constateerde echter dat organisaties er gemiddeld zeven dagen over doen om ransomware te detecteren. En dan is de schade al lang en breed aangericht.
Organisaties lopen door deze detectiekloof een stap achter op hackers. Hierdoor ontstaat een nadelige positie bij het herstellen van bedrijfskritische applicaties uit backups. En dan nog maar hopen dat die backups niet door de ransomware zijn aangetast.
Voor het beperken van de downtime en versnellen van het herstelproces hebben bedrijven oplossingen nodig die pogingen tot het versleutelen van data in realtime kunnen detecteren. Hiermee kunnen ze applicaties herstellen met de best mogelijke recovery time objectives (rto’s) en recovery point objectives (rpo’s). Vaak in een paar seconden tijd.
Wildgroei
Ransomware-aanvallen kunnen de bedrijfsvoering van organisaties uren, dagen of zelfs nog langer platleggen. Ondertussen heeft de opkomst van ransomware-as-a-service (raas)-platforms gezorgd voor een wildgroei aan ransomware-aanvallen die cybercriminelen in snel tempo doorontwikkelen.
Volgens Statista werd bijna driekwart van alle bedrijven in 2023 door ransomware getroffen. Wat nog meer zorgen baart, is de downtime die na een aanval met ransomware kan optreden. Bedrijven hadden gemiddeld 22 dagen nodig om hun activiteiten te hervatten. Sommige organisaties deden er zelfs maanden over om hun bedrijfsvoering weer volledig op de rails te krijgen.
Deze lange hersteltijden zijn simpelweg niet acceptabel voor bedrijven die mede met het oog op de wet- en regelgeving hun operationele integriteit in stand moeten zien te houden. De snel veranderende aard van het dreigingslandschap zorgt er ondertussen voor dat geen enkel besturingssysteem of hypervisor nog veilig is. Vorig jaar vielen de ransomware-varianten Cheerscrypt en Black Basta virtuele machines aan. De laatstgenoemde had het specifiek op Linux-hosts gemunt.
Detectietools
Traditioneel gesproken gebruiken organisaties geavanceerde detectietools om een direct uit de productieomgeving getrokken secundaire kopie van de data te inspecteren. Deze aanpak brengt echter aanzienlijke vertragingen in de detectie met zich mee en maakt ook het lastig om precies na te gaan op welk moment de ransomware overging tot het wijzigen van cruciale systeembestanden.
De kans bestaat dat deze backups slechts één of twee keer per dag worden gemaakt. De inspectie van de data die ze bevatten, kan vervolgens uren in beslag nemen. En de kwaadaardige code verspreidt zich ondertussen verder. Eenmaal gedetecteerd staat de it-afdeling voor de arbeidsintensieve taak om een acceptabele rpo/rto te bepalen op basis waarvan de omgeving is op te schonen en te herstellen. Dit vertaalt zich in een herstelperiode van dagen of zelfs weken.
Het is zaak voor organisaties om ransomware in een zo vroeg mogelijk stadium te detecteren en verhelpen. Dit vraagt om realtime-detectie van encryptiepogingen.
Uren uit elkaar
In plaats van een detectieoplossing los te laten op periodieke backups, die uren uit elkaar liggen, moeten organisaties kiezen voor continue realtime-detectie op het punt waar data wordt weggeschreven. Op die manier kunnen ze het incidentresponsteam direct op de hoogte stellen van problemen. Zo kan het indammen van de ransomware en het herstelproces veel eerder van start gaan.
Moderne agentloze oplossingen voor de realtime-detectie van ransomware zijn in staat om encryptie-activiteit die een specifieke gedragsdrempel overschrijdt automatisch te identificeren. Organisaties worden op die manier razendsnel voor potentiële ransomware gewaarschuwd. Naast de realtime-detectie van afwijkend encryptiegedrag, zoals een uit de pan rijzend aantal schrijfbewerkingen, kunnen deze oplossingen ook gedetailleerde rapportage leveren van alle encryptie-activiteiten, zoals het aantal blokken dat is versleuteld.
Deze aanpak stelt it-afdelingen in staat om gebruik te maken van herstelpunten die van tags zijn voorzien. Op die manier is na te gaan wanneer een aanval naar alle waarschijnlijkheid is begonnen en kunnen de gegevens direct worden hersteld naar de staat waarin ze zich enkele seconden voor de aanval bevonden.
Dit vroegtijdige waarschuwingssysteem biedt aanzienlijke voordelen. Met de mogelijkheid om encryptie in een vroeger stadium te detecteren, kunnen organisaties de actieradius van een ransomware-aanval verkleinen en gegevensverlies tot een minimum te beperken. De oplossing voor real-time monitoring en detectie genereert ondertussen gedetailleerde rapportage waarmee organisaties data in een paar minuten in plaats van dagen weer in productie kunnen nemen.
24/7
Volgens het ‘State of Ransomware and Disaster Recovery Preparedness‘-rapport van IDC werd ruim zestig procent van alle disaster recovery-processen in 2022 in gang gezet als gevolg van een ransomware-incident. Daarmee neemt ransomware de eerste plaats in op de lijst van cyberbedreigingen die organisaties blootstellen aan downtime en gegevensverlies.
Veerkracht en 24/7-beschikbaarheid zijn een topprioriteit voor zakelijke besluitvormers over de hele wereld. Organisaties die volledig afhankelijk zijn van oplossingen die zich tot periodieke backups beperken zetten daarmee hun bedrijfsvoering en reputatie op het spel.
Met realtime-detectie van encryptie kunnen organisaties ransomware in een vroegtijdig stadium detecteren en neutraliseren. Hiermee worden de hersteltijden aanzienlijk verkort. Gewapend met deze mogelijkheden kunnen ze voorkomen dat ze het slachtoffer worden van trage ransomware-detectie en hun bedrijfsvoering veerkrachtiger maken.
(Auteur Egon van Dongen is systems engineering manager EMEA bij Zerto.)