De strijd tegen ransomware is in alle hevigheid losgebarsten. Deze aanvalsvorm is in de afgelopen jaren een serieuze bedreiging geworden voor organisaties. Aanvallen van enorme grootte hebben multinationals en zelfs overheden kwetsbaar gemaakt, sommigen waren zelfs niet meer in staat om hun bedrijfskritische operaties voort te zetten.
In 2017 zorgde WannaCry ervoor dat de it-afdelingen van ziekenhuizen in heel Europa stil kwamen te liggen. Met meer dan tweehonderdduizend getroffen computers toont dit geval het destructieve potentieel van ransomware aan.
Hoewel WannaCry en Petya nog steeds de meest bekende ransomware-aanvallen zijn, neemt dit soort cyberaanvallen nog steeds toe volgens het Internet organized crime threat assessment (Iocta)-rapport van Europol van 2019. Bedrijven moeten deze dreiging erkennen en stappen ondernemen om zich voor te bereiden, te verdedigen en klaar te zijn om na een aanval te herstellen. Dit is een cruciale stap om een ongeplande en waarschijnlijk weinig effectieve reactie tijdens een ransomware-incident te voorkomen. Een sterke, gelaagde verdediging en -strategie om ransomware aan te pakken bestaat uit drie hoofdelementen: educatie, implementatie en herstel. Bovendien is een flexibele aanpak voor het maken van backups en het herstellen van data cruciaal om de bedrijfscontinuïteit te beschermen in het geval van een aanval.
Vergroot de kennis
Er zijn twee belangrijke doelgroepen die moeten worden aangesproken als het gaat om het vergroten van kennis: it-personeel en gebruikers binnen het bedrijf. Het is belangrijk om beide groepen mee te nemen, aangezien bedreigingen via beide personas kunnen komen.
De belangrijkste toegangspunten tot een bedrijf voor ransomware zijn via remote desktop protocol (rdp) of andere remote access-mechanismen, phishing en software-updates. Simpel gezegd; cyberaanvallers hoeven vaak niet eens heel hard te werken (wat eigenlijk wel zou moeten!) om grote prijzen binnen te halen. Als bedrijven weten dat dit de drie belangrijkste manieren zijn om binnen te komen, kunnen ze dus het beste bepalen waar ze zich op moeten richten om zich optimaal te kunnen verdedigen.
De meeste it-beheerders gebruiken rdp voor hun dagelijkse werk en veel rdp-servers zijn rechtstreeks verbonden met het internet. Maar rdp met een internetverbinding moet niet meer gebruikt worden. It-beheerders kunnen dan misschien wel creatief zijn met speciale ip-adressen, complexe wachtwoorden en rdp-poorten omleiden, maar de data liegen er niet om; meer dan de helft van de ransomware komt binnen via rdp. Rdp-servers blootstellen aan het internet is dus niet in overeenstemming met een vooruitstrevende ransomware resiliency-strategie.
Een andere, veelgebruikte manier om een bedrijf binnen te dringen is via phishing-mails. We hebben allemaal wel eens een e-mail gezien die er vreemd uitziet. Op dat moment moet je het item verwijderen, maar niet elke gebruiker reageert zo op deze situatie. Er zijn gelukkig tools om het dreigingsrisico van phishing-succes in te schatten, zoals die van KnowBe4. In combinatie met training om werknemers te helpen phishing-e-mails of -links te identificeren, kunnen zelfevaluatietools een effectieve manier zijn om jouw bedrijf te verdedigen.
Het derde risico is het misbruik van kwetsbaarheden. Systemen up-to-date houden is al heel lang de verantwoordelijkheid van it en dit is nu belangrijker dan ooit. Hoewel dit in de regel niet echt een interessante taak is, is het wel een goede investering. Dat concludeert iedereen bij wie een ransomware-incident misbruik maakt van een bekende en gepatchte kwetsbaarheid. Zorg ervoor dat jouw bedrijf de updates voor kritieke it-middelen bijhoudt, zoals besturingssystemen, applicaties, databases en device firmware. Een aantal soorten ransomware, waaronder WannaCry en Petya, zijn gebaseerd op eerder ontdekte kwetsbaarheden die sindsdien zijn gecorrigeerd.
Implementatie
Zelfs bedrijven die de best practices hanteren om blootstelling aan ransomware te voorkomen, lopen gevaar. Hoewel educatie een cruciale stap is, moeten bedrijven zich voorbereiden op het ergste. Als er één ding is dat it- en bedrijfsleiders moeten onthouden, is het om een ultra-flexibele backup opslag te hebben.
Wij pleiten voor de 3-2-1-regel als algemene datamanagementstrategie. De 3-2-1-regel stelt dat er minstens drie kopieën van belangrijke data moeten zijn, op minstens twee verschillende soorten media, waarbij minstens één van deze kopieën offsite staat. Deze regel vraagt niet om een specifiek type hardware en is veelzijdig genoeg om vrijwel elk scenario aan te pakken.
De uiteindelijke kopie in de 3-2-1-strategie moet uiterst flexibel zijn. Hiermee bedoelen we air-gapped (dus geen connectie met internet en/of ander netwerk), offline en onveranderlijk. Er zijn verschillende vormen media waarop deze kopie van data – op een uiterst flexibele manier – kan worden opgeslagen. Denk aan tapemedia, onveranderlijke backups in S3- of S3-compatibele objectopslag, air-gapped en offline media, of software als service voor backup en disaster recovery (dr).
Herstellen
Ondanks deze technieken en educatie aan gebruikers, moeten organisaties nog steeds klaar zijn om om te kunnen gaan met een dreiging zodra deze zich voordoet. De aanpak die wij hanteren is eenvoudig: betaal geen losgeld. De enige optie is om data te herstellen. Verder moeten bedrijven bedenken hoe ze zullen reageren wanneer een bedreiging wordt ontdekt. Als eerste moeten ze contact opnemen met support. Breng de backups niet in gevaar, aangezien deze essentieel zijn voor het herstelvermogen.
Bij rampen van welke aard dan ook is communicatie een van de eerste uitdagingen die moet worden overwonnen. Zorg ervoor dat je een plan hebt om met de juiste personen te communiceren. Denk aan groepslijsten om te sms’en, telefoonnummers of andere mechanismen die normaal gesproken worden gebruikt om te communiceren binnen een team. Noteer ook gegevens van interne of externe experts op het gebied van security, incident response en identiteitsbeheer.
Ook moeten er gesprekken worden gevoerd over beslissingsbevoegdheid. Bedrijven moeten bepalen wie de beslissing neemt om te herstellen na een incident. Zodra er besloten is om te herstellen, moeten bedrijven aanvullende veiligheidscontroles uitvoeren voordat ze de systemen weer online zetten. Er moet ook een besluit worden genomen over de vraag of herstel van een volledige virtuele machine (vm) de beste optie is, of dat herstel op bestandsniveau logischer is. Tenslotte moet het herstelproces zélf veilig zijn. Er moeten antivirus- en antimalwarescans uitgevoerd worden op alle systemen en gebruikers moeten hun wachtwoorden na het herstel direct wijzigen.
Hoewel de dreiging van ransomware reëel is, kunnen bedrijven met de juiste voorbereiding hun weerbaarheid tegen een incident vergroten om het risico op dataverlies, financieel verlies en reputatieschade te minimaliseren. Een meerlagige aanpak is essentieel. Zorg dat it-teams en werknemers over voldoende kennis beschikken om risico’s te minimaliseren en preventie te maximaliseren. Implementeer ook oplossingen om ervoor te zorgen dat data veilig is en er een backup van wordt gemaakt. Wees tot slot voorbereid om datasystemen te herstellen door middel van volledige backup- en dr-mogelijkheden voor het geval eerdere verdedigingspogingen mislukken.
