Twee best practises voor een effectieve strijd tegen ransomware
Thuis en mobiel werken waren al een belangrijk onderwerp vóór het coronavirus. Maar tegenwoordig beleven technologieën zoals SaaS-suites, tools voor videoconferencing en remote desktops een nieuw hoogtepunt. Helaas ook met enkele negatieve bijwerkingen, vooral als het gaat om IT-beveiliging. Met name technologieën zoals Remote Desktop Protocol (RDP) vergroten het attack surface van organisaties en cybercriminelen zien hun kan schoon.
Bijna geen enkele andere dreiging krijgt op dit moment zoveel aandacht als ransomware. Door de toenemende verfijning van de ransomwaretechnologie en de groeiende kwetsbaarheid van veel bedrijven nemen zowel aanvallen als losgeldeisen toe. Volgens onderzoek van Forrester kost een incident met ransomware een organisatie gemiddeld $827.000. En het aantal ransomwareaanvallen blijft stijgen.
Bedrijven zijn echter niet kansloos. Ransomware kan effectief worden bestreden met de juiste strategie. Het is belangrijk om het risico te erkennen en daarnaast te erkennen dat ook jouw organisatie kan worden getroffen. Criminelen zoeken naar zwakke punten en vallen zowel autoriteiten als ziekenhuizen, SaaS-serviceproviders en mkb-ondernemingen aan. Maar wat kan een orgniastie doen om zich hiertegen effectief te beveiligen? Hierover is al veel geschreven en gepraat. We zien echter dat de volgende twee punten vaak onderbelicht zijn als wordt geschreven over strategieën met betrekking tot ransomware.
1. Back-upstrategie
De eerste stap naar cyber-resilience is het kennen van de tegenstander en zijn methoden. Ransomware-aanvallen gebruiken meestal een of meer aanvalsvectoren: Remote Desktop Protocol (RDP) of andere methoden voor externe toegang; phishingaanvallen en social engineering; en het profiteren van kwetsbaarheden in het systeem zelf die niet op tijd werden gepatcht.
Het doel van een typische ransomware-aanval is om de toegang tot uw systeem te blokkeren en geld te ontvangen om weer toegang te geven. Dit werkt alleen als de aanvallers de bedrijfscontinuïteit in gevaar kunnen brengen of waardevolle gegevens stelen. De beste verdediging is daarom een sterke back-upinfrastructuur én een systeem dat de servers beschermt. Een uitgangspunt hierbij is dat gedeelde accounts, waarbij alle gebruikers toegang hebben tot de server, tot een minimum worden beperkt. In plaats daarvan zouden individuele taken die voor veel gebruikers relevant zijn, toegankelijk moeten worden gemaakt via multi-factor authenticatie.
Back-ups moeten niet alleen op de servers zelf worden opgeslagen, maar ook op air-gapped-apparaten, dat zijn apparaten die op geen enkel netwerk zijn aangesloten. Deze apparaten mogen ook geen verdere write-permissies verlenen en moeten zogenaamde "onveranderlijke kopieën" opslaan. Dit zijn back-ups die alleen kunnen worden teruggehaald en niet kunnen worden gewijzigd.
Deze twee benaderingen, in combinatie met de Veeam 3-2-1-1-0-back-upregel, bieden een effectieve verdediging tegen ransomware, insiders en firefighting-ongevallen. Deze back-upregel stelt dat er ten minste drie kopieën van belangrijke data moeten zijn, op ten minste twee verschillende media, waarvan ten minste één kopie off-site wordt opgeslagen en waarvan één ofwel air-gapped, onveranderlijk of offline is en geen herstelfouten bevat.
Als bijkomende preventieve tactiek kunnen de back-ups ook worden versleuteld. Dit is op zichzelf geen wondermiddel, maar versleuteling biedt een extra beschermingslaag die aanvallers eerst moeten binnendringen. Dit schrikt al veel aanvallers af die op zoek zijn naar een gemakkelijke prooi.
2. Processen
Elke IT-beveiligingsstrategie bevat ook training. Ransomware is daarbij geen uitzondering. Medewerkers en vooral de verantwoordelijke IT-teams moeten weten hoe ze met een calamiteit moeten omgaan, welke tools en procedures beschikbaar zijn. Op deze manier doen de teams ervaring op in het volgen van het proces en kunnen ze dit vertrouwen in geval van nood.
Maar hoe goed de voorbereiding ook is, het is een kwestie van ‘wanneer’ niet ‘of’ een aanval zal plaatsvinden. Bedrijven moeten daarom ook bereid zijn om met een geslaagde aanval om te gaan. Dit begint al bij de processen: wat zijn de eerste stappen nadat de aanval is opgemerkt? Wie is verantwoordelijk voor het proces in de organisatie? Deze vragen dienen duidelijk te worden beantwoord, zodat er in het heetst van de strijd geen verkeerde beslissingen worden gemaakt, waardoor die zorgvuldig gemaakte backups uiteindelijk toch kwetsbaar zijn.
Communicatie staat hierbij centraal. Belangrijke contacten moeten vooraf worden verzameld in een lijst voor geval van nood: beveiliging, incident response, identiteitsbeheer. Deze contacten kunnen medewerkers, IT-teams of zelfs externe partijen zijn. De contactpersonen moeten via meerdere kanalen bereikbaar zijn, omdat bijvoorbeeld in geval van nood de communicatie via bedrijfsservers niet werkt. Lijsten met contactpersonen moeten ook offline toegankelijk zijn en verschillende manieren bevatten om contact met de contactpersonen op te nemen: telefoonnummer, messenger-ID, enz.
Als duidelijk is wie verantwoordelijk is, kan de reconstructie ordelijk worden uitgevoerd. Om dit te doen, is het essentieel om de juiste goedkeuringen voor te bereiden. Dit is des te belangrijk omdat de beslissingen in geval van besmetting met ransomware kunnen leiden tot het verlies van bedrijfsgegevens - het opzettelijk verliezen of verlaten van bepaalde assets kan de moeite waard zijn.
Wanneer het tijd is om de systemen opnieuw op te bouwen, moet IT zich bewust zijn van de beschikbare opties en de impact die ze hebben. Het is van cruciaal belang om best practices te hebben geïmplementeerd, zoals virus-scans van back-ups voordat ze worden geïmplementeerd. Nadat de back-ups zijn geïmporteerd, is het een goed idee om een systeembrede wijziging van alle wachtwoorden af te dwingen om het risico op herhaling te minimaliseren.
Conclusie
Tegenwoordig vertrouwen bedrijven steeds meer op hybride werkmodellen. Technologieën zoals RDP en andere technologieën voor externe toegang vergroten de mogelijkheden voor aanvallers om succesvol toe te kunnens slaan, waar ransomware-aanvallers graag misbruik van maken. Maar bedrijven kunnen zichzelf effectief beschermen en hun cyber resilience vergroten. Dit vereist een betrouwbare back-upinfrastructuur volgens de Veeam 3-2-1-1-0-back-upregel, alsook duidelijke noodplannen en IT-teams die regelmatig oefenen. Alleen dan kunnen bedrijven zich vandaag wapenen tegen de aanvallen van morgen - en hun bedrijfscontinuïteit waarborgen.
Door: Lloyd Hopper (foto), Senior Director, Technical Sales, Benelux, Oostenrijk en Zwitserland bij Veeam
