Ransomware is niks nieuws. Al doen de krantenkoppen van de afgelopen weken anders vermoeden. Een aantal grote organisaties in verschillende sectoren zijn slachtoffer geworden van cyberaanvallen. De recente aanval op Kaseya door de groep REvil maken duidelijk dat dit soort ransomware aanvallen verstrekkende gevolgen hebben voor de gehele samenleving. Martin van Son, Senior Account Executive bij Infoblox beantwoordt zes vragen over Ransomware voor organisaties.
Waarom is er zo’n ontzettend grote toename van ransomware-aanvallen?
De recente toename van het aantal aanvallen heeft een aantal verschillende oorzaken. In het bijzonder blijkt dat COVID-19 de criminelen die achter deze aanvallen zitten meer kansen heeft geboden. Dit komt voornamelijk doordat medewerkers massaal vanuit huis zijn gaan werken. De grootste uitdaging hierbij is dat de thuiswerkers vaak op een slecht beveiligd netwerk werken of gebruikmaken van persoonlijke IoT-apparaten zonder de juiste beveiliging. Cybercriminelen maken gretig gebruik van deze verzwakte beveiliging en proberen via deze weg bedrijfsnetwerken te infiltreren.
> LEES OOK: Bescherm jezelf tegen ransomware: 7 tips
Is ransomware meer een probleem voor ondernemingen of voor vermogende particulieren?
Vaak zijn ondernemingen beter beveiligd dan vermogende particulieren en hebben zij betere tools om hun data te beschermen. Desondanks zijn ze een geliefd doelwit voor cyberaanvallen. De vele lagen aan medewerkers en netwerkverbindingen bieden cybercriminelen meer mogelijkheden om systemen te infiltreren met malware. Bovendien zijn ondernemingen interessante doelwitten omdat de waarde van de buit te maken data groter is – het draait immers om werknemers, bedrijfsleiders, klanten, financiële gegevens, ga zo maar door.
> LEES OOK: Geheime informatie grote bedrijven belandt steeds vaker op straat
Er zijn zoveel verschillende beveiligingstools binnen handbereik, hoe kan het dat criminelen zo effectief blijven hacken?
Simpel gezegd blijft ransomware zo effectief omdat het relatief gemakkelijk en behoorlijk lucratief is. Daarbij komt ook dat de criminelen achter deze aanvallen op grote schaal blijven innoveren. Nu veel mensen vanuit huis werken hebben de criminelen nieuwe mogelijkheden ontdekt en gemanipuleerd – denk aan onveilige WiFi-verbindingen, het delen van documenten via onbekende cloudmappen of onveilige plugins in browsers. Wanneer geen aandacht wordt geschonken aan de beveiliging van deze zaken, vormen ze een groot risico voor bedrijfsnetwerken.
Ondanks awareness-trainingen blijven mensen zowel zakelijk als privé verdachte e-mails openen
Uit onderzoek blijkt dat 75-90 procent van de malware via e-mail bij organisaties binnenkomt. Ondanks de vele awareness-trainingen en anti-spamwaarschuwingen blijven mensen zowel zakelijk als privé verdachte e-mails openen. Een enkele klik op een schadelijke URL of bijlage kan behoorlijk vervelend uitpakken. Naast deze menselijke fouten heeft ook de opkomst van Ransomware-as-a-Service het voor kwaadwillenden gemakkelijker en goedkoper gemaakt om dit soort campagnes op te zetten.
> LEES OOK: Thuiswerken? Zo communiceer je veilig digitaal met elkaar
Wat moet een onderneming doen wanneer zij slachtoffer zijn van een ransomware aanval?
Als het op ransomware aankomt, is de enige échte effectieve aanpak preventie. Als een onbeschermd systeem wordt aangevallen, kan op geen enkele manier worden gegarandeerd dat gegevens kunnen worden teruggehaald of ontsleuteld.
Daarom is risicobeperking vóórdat een aanval kan plaatsvinden de meest effectieve verdediging voor organisaties. Beveiligingsoplossingen zijn essentieel – zoals oplossingen die gebruik maken van DNS – die pogingen van malware om verbinding te maken met de command-and-control-server kunnen onderbreken. Ook frequente en robuuste back-ups zijn onderdeel van de verdediging. Andere best practices zijn netwerksegmentatie en een herstelplan met meerdere kopieën van gevoelige gegevens op een fysiek gescheiden en veilige locatie.
> LEES OOK: Datalek bij ander heeft impact op eigen organisatie
Is het stoppen van ransomware gewoon een kwestie van overstappen van detectie naar preventie?
Preventie is essentieel om organisaties te helpen beschermen tegen ransomware-aanvallen, vooral omdat blijkt dat veel organisaties eind 2020 nog steeds niet de noodzakelijke cyberbeveiliging hebben doorgevoerd om hun gedecentraliseerde gebruikersgroepen te beschermen.
Een effectieve manier waarop IT-teams hun netwerk kunnen beschermen, is door de zichtbaarheid te vergroten. Dit is waar DNS-tracking om de hoek komt kijken. DNS is een kernnetwerkservice, wat betekent dat het elk apparaat raakt dat verbinding maakt met het netwerk van een bedrijf en met het bredere internet. Wanneer DNS wordt toegepast bij beveiliging, kan het helpen beschermen tegen ransomware-aanvallen door communicatie met bekende command-and-control-servers te detecteren en te blokkeren. Het kan helpen een aanval te stoppen voordat deze zelfs maar is begonnen, aangezien 90 procent van de malware, waaronder ransomware, DNS raakt wanneer deze een netwerk binnenkomt of verlaat.
Om het naar een hoger niveau te tillen, kunnen bedrijven DNS samenvoegen met DHCP (Dynamic Host Configuration Protocol) en IPAM (IP Address Management). Deze combinatie van moderne technologieën – gezamenlijk bekend als DDI – kan bedreigingen in de vroegste stadia opsporen. Wanneer deze worden gecombineerd met DNS-beveiligingsoplossingen, kunnen gecompromitteerde machines worden geïdentificeerd en kunnen verschillende gebeurtenissen met betrekking tot hetzelfde apparaat worden geconsolideerd.
> LEES OOK: Van telefoonboek naar verkeersleider: de toekomst van DNS
Hoe kunnen we verwachten dat ransomware-aanvallen zich de komende maanden en jaren zullen ontwikkelen?
Ransomware-aanvallen worden steeds geraffineerder. De Colonial Pipeline-aanval laat zien dat deze actoren steeds brutaler worden. Zelfs toen de wereld de strijd aanbond met het coronavirus, kozen ransomware-bendes ervoor ziekenhuizen als doelwit te kiezen. Essentiële voorzieningen waarbij gevolgen op kunnen treden van leven en dood zijn een speelbal van de aanvallers van vandaag.
Er is geen wondermiddel voor cyberbeveiliging
Zoals bij de meeste complexe problemen, is er geen wondermiddel voor cyberbeveiliging. Maar organisaties hebben de macht om het tij te keren. Vaker wel dan niet slaagt ransomware wanneer een organisatie niet effectief is voorbereid. Organisaties moeten ransomware-aanvallen verwachten en zich daarop voorbereiden.
Daarom moeten managers niet alleen focussen op specifieke beleidslijnen en praktijken, zoals frequente en off-network back-ups van gegevens, die de effecten van een ransomware-aanval kunnen helpen beperken. Ze moeten ook inzoomen op de hele IT-stack en deze in de eerste plaats beveiligen tegen malware. Modellen zoals zero trust vormen een raamwerk waarbij beveiligingstools worden geselecteerd in de veronderstelling dat het netwerk zal worden aangevallen. Het vormt een combinatie met defense in depth, dat alle lagen in het netwerk wil beveiligen. Beide modellen richten zich op het proactief en holistisch beperken van schade buiten de verdedigingslinie.
Martin van Son is Senior Account Executive bij Infoblox