Dat elke organisatie een keer geraakt zal worden door ransomware staat vast. Het is daarom van belang om na te denken over de bescherming van de it-omgeving. Dit vraagt om een beveiliging en een herstelstrategie – die hand in hand gaan.
Het beveiligen van de omgeving is meestal goed uitgevoerd. Met behulp van firewalls, antivirus en intrusion detection & prevention-systemen hebben de meeste organisaties een slotgracht gebouwd rondom de kroonjuwelen. In het geval van een ransomwareaanval is dit niet helemaal voldoende. De buitenkant is beschermd maar de binnenkant staat misschien nog te veel open. Als het interne netwerk transparant verkeer toestaat, dan is het voor een indringer een fluitje van een cent om de omgeving te verkennen. De indringer zal snel ontdekken waar de kroonjuwelen liggen. De active directory, de backup-omgeving, de systemen met belangrijke data zijn in een handomdraai te vinden.
Alarmbellen
Lastiger gaat het worden als een organisatie gebruikmaakt van deception-software. Die wekt de indruk dat er belangrijke systemen zijn die onder het kroonjuwelen-domein vallen. Probeert een aanvaller in te loggen op systemen die onder deception-software, dan gaan er onmiddellijk alarmbellen af. Ofwel, de indringer krijgt maar een kleinere kans om ransomware te installeren en eventuele te verspreiden. Er is dan meteen forensisch onderzoek te starten. Veelal kunnen organisaties dat niet zelf, maar zullen gespecialiseerde bedrijven dit moeten doen. Is het opstarten van forensische software nog niet het meest lastige, het analyseren van de omgeving en eventuele schoonmaakacties starten zijn wel taken waar ervaring voor vereist zijn.
Als de indringer toch weet om door te dringen, dan is het van belang dat de kroonjuwelen beschermd zijn. Dit kan door de essentiële data zoals active directory-gegevens, certificaten en onmisbare data veilig te stellen in een air-gapped omgeving. Dit is een omgeving die bij tijd en wijle online is om data te importeren. Na deze import gaat de omgeving direct weer van het netwerk. Een dergelijke kluis is vaak specialistische materie; daarvoor zijn een aantal aanbieders en vergelijkbare opties.
In de rij staan
Herstel na een ransomwareaanval is een lastige bezigheid. Als er geen categorisatie van de data heeft plaatsgevonden, is het een onmogelijke taak. Elke business-unit zal zijn data het belangrijkst vinden en in de rij staan om terra-bytes terug te krijgen. Het is van belang dat er sowieso wat terug te halen valt, want een indringer kan al maanden bezig zijn voor hij ontdekt is.
Voor de backup is het van belang om de drie-twee-één-strategie te hanteren; minstens drie kopieën van de backup op minstens twee soorten media en van die media moet er minstens één offline zijn. Het helpt dus niet om een backup op een virtuele tapebibliotheek te hebben en een kopie in Azure. Je zal minstens een offline-tape moeten hebben om aan de eis te voldoen, of de air-gapped omgeving zoals eerder besproken.
Zwakke punten
Er zijn veel zaken waarover nagedacht moet worden. Het beste is ook om een aantal use-cases te bedenken van een mogelijke aanval. Waar zitten de zwakke punten en wat zou de organisatie kunnen doen om die te dichten?
Ook de mate van een aanval kan verschillen. Zo kan er een hacker binnen in het netwerk zijn, maar heeft hij nog niets geïnstalleerd of verspreid. In sommige gevallen zal de indringer alleen data willen stelen en deze doorverkopen. In het ergste geval gaan alle systemen op slot en is alleen door het overmaken van een geldbedrag de encryptiesleutel te krijgen.
Voorkomen is beter dan genezen. De strategie begint bij preventie. Alleen moeten we er nu met een andere blik naar gaan kijken. De indringer die vroeger een virus losliet, is al jaren met pensioen. De opvolgers zijn gewiekster en hebben andere interesses. Daar zou een organisatie op in moeten spelen. Ransomwareaanvallen kun je niet meer vergelijken met een rampherstelstrategie. Er zijn veel te veel verschillen, en daarom is er bij een ransomwareaanval een andere strategie nodig.
Vroeger was het opstellen van een rampherstelstrategie eenvoudig met de vraag over RTO en RPO want hoe dichter beiden bij 0 kwamen hoe duurder de oplossing werd. Je kreeg dus vanzelf een categorisatie van onmisbare systemen en in 9 van de 10 gevallen ging het om Systems of Record maar tijden veranderen. Daarmee veranderde niet alleen de strategie maar ook het dreigingsbeeld want e-mail systemen werden niet alleen belangrijker maar ook een risico aangaande infectie met bijvoorbeeld ransomware.
Ik kan me vinden in de noodzaak tot categorisatie van de data want sinds we geen Sytems of Record meer gebruiken is er een tsunami aan data. Maar de vraag is hoe en op welke basis gaan we categoriseren want naast onmisbaar is er ook nog confidentieel of nog gevoeliger. En wie bepaalt wat onmisbare data is want als je het de gebruiker vraagt dan is alles onmisbaar.