Beheer

IT beheer
Digitale dreiging

Zo minimaliseer je de kans op ransomware

Het gevaar van ransomware is niet te elimineren, maar wel terug te dringen.

© Pixabay CC0
19 juli 2016

Het gevaar van ransomware is niet te elimineren, maar wel terug te dringen.

In Weert konden ze de typemachines nog uit de kast ­halen, toen malware de bestanden op de computers van de ­gemeente in 2012 versleutelde. Ziekenhuizen lagen onlangs soms dagenlang plat na infectie met ransomware. Hoe voorkom je dat jouw organisatie het volgende slachtoffer wordt?

Ransomware is een chantagemethode via internet door middel van malware. Er zijn grofweg te typen te onderscheiden: scareware en lockers. Bij scareware verschijnt door middel van een social engineeringaanval een aankondiging van een boete op het scherm die van een officiële instantie lijkt te komen. Meestal wordt het slachtoffer er van beticht porno te hebben bekeken.
Vaker is er sprake van een locker, waarbij bestanden, systeem kernels of een master boot record versleuteld worden. Het slachtoffer kan de sleutel kopen voor een relatief laag losgeld. Zeker de helft doet dat ook, maar hoe wijs is dat? Want afgezien van het feit dat het niet zeker is of het slachtoffer dan ook de sleutel krijgt om zijn gegevens weer vrij te krijgen, houdt betalen de ransomwarepraktijken in stand. Zo blijft dit immers lonen.

 

Back-up, back-up, back-up

Honderd procent garantie dat besmetting met ransomware kan worden voorkomen, is er niet. Wel wordt de kans op besmetting met onderstaande maatregelen fors kleiner. Zo is een goede back-up cruciaal om zonder losgeld te betalen een ransomware-aanval te doorstaan. Zonder back-up is die kans miniem. Maak dus goede back-ups van alle kritieke zaken. Dus ook van domeinservers, file shares, et cetera.

Wie op veilig speelt, kan volgens opslagexperts het beste drie soorten back-ups maken: real time, dagelijks incrementeel en wekelijks incrementeel. Zeker één daarvan moet op een andere locatie worden bewaard, bijvoorbeeld bij een cloud provider. De andere twee moeten bewaard worden op verschillende plekken, eventueel binnen de organisatie.

De back-ups moeten gescheiden zijn, dus niet op een gedeelde drive. Dat verkleint de kans op infectie. Het beste is de drives van het netwerk te halen als de back-up is gemaakt. Neem ook snaphots van de incrementele updates. Zo heeft een aanvaller wel toegang tot recente updates maar niet van de updates van voor de snapshot.

Patchen
Houd alle software zo veel mogelijk up-to-date. Volgens onderzoek van het US-CERT, een Amerikaanse instelling verantwoordelijk voor het terugdringen van cybercrime, kan 85 procent van de cyber­incidenten voorkomen worden door proactief te patchen.

Proactief patchen voorkomt 85 procent van de incidenten

Zo zijn alleen al acht van de tien lekken die exploit kits vorig jaar gebruikten, te wijten aan Adobe Flash, dat door de jaren heen al vele patches nodig had. Automatisering van het patchproces waar mogelijk, is daarom het devies. Patch ook plug-ins van derden, want aanvallers beginnen vaak bij apps van derden en software die niet vaak wordt gebruikt. De beveiliging daarvan is over het algemeen namelijk slechter – ze staan vaak achterin de patchrij.

Awarenesstrainingen

Ransomware is zo’n groot succes omdat veel gebruikers toch kwaadaardige attachments openen. Zij kennen de risico’s niet. Awarenesstrainingen voor gebruikers zijn daarom van groot belang. Zo weten ze welke phishingcampagnes op hen los gelaten worden. In die traingingen moet hen geleerd worden wat wel en niet is toegestaan bij websurfen in het algemeen en het gebruik van zakelijke mail.

Cloud veilig?

Opslag in de cloud is geen garantie voor bescherming tegen ransomware. De aanvallers mikken daarbij vooral op cloudopslag-oplossingen als Dropbox, Google Drive en OneDrive. Beveiligers als McAfee Labs voorspelde al in 2015 dat de ransomwaremakers zich specifiek zullen richten op endpoints die de cloudopslag-oplossingen gebruiken door het master boot record te versleutelen.

De aanvallers gaan er vanuit dat veel back-ups in de cloud staan en zij willen deze data gijzelen. Om die aanvallen te voorkomen is het belangrijk dat e-mails gescand worden op kwaadaardige links, want nog steeds wordt een zeer groot deel van de malware verspreid via phishing e-mails. Alle webverkeer dient bovendien gescand te worden op zero-day malware, ook als gebruikers niet meer op het zakelijke netwerk zitten.
Bestanden binnen ­cloudopslagoplossingen als Dropbox moeten middels API’s gescand worden en bestanden die gedeeld worden met deze oplossingen moeten via url’s gescand worden.

Geen garantie bij opslag van gegevens in de cloud

Cloud-applicaties zorgen er zelfs voor dat malware sneller verspreid kan worden. Het 2016 Worldwide Cloud Report van Netskope geeft een voorbeeld van een handjevol gevallen waarin ransomware de bestanden van een systeem versleutelde. Ook de kopieën van deze bestanden die in de syncfolder waren opgeslagen van populaire cloudopslagapplicaties werden vervolgens versleuteld. Andere gebruikers die naar diezelfde folder synchroniseerden, zagen de bestanden op de systemen versleuteld worden. Daar staat wel weer tegenover dat de oplossing zich ook snel kon verspreiden via de cloud.

Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen