Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Ransomware: bescherm, detecteer, handel en pas aan

Computable Expert

Dennis Lauwers
Distinguished Engineer Hybrid Cloud Europe , IBM. Expert van Computable voor de topics Management, Digital Transformation en Cloud Computing.

Ransomware is een ware plaag en kan vergaande gevolgen hebben voor slachtoffers. Als bestanden worden versleuteld, kan de bedrijfsvoering ernstig verstoord raken en voor individuen kan het verlies van persoonlijke data een grote emotionele impact hebben.

Volgens het de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is er sprake van een explosieve toename van ransomware-aanvallen. Ook bij IBM zien we ransomware meer en meer opduiken. Uit een recent onderzoek van IBM blijkt dat ransomware de koploper is van alle cyberaanvallen. Maar liefst 21 procent  van alle aanvallen in 2021 bestond uit een ransomware-aanval.

Geen garanties na losgeld

"Er zijn incidenten gerapporteerd, waar na het betalen niets werd afgeleverd voor de decodering of dat de codering defect was"

Wat is ransomware nu precies? Het is een variant van malware (kwaadaardige software) die de primaire bedoeling heeft om een systeem of zijn bestanden ontoegankelijk te maken en vervolgens losgeld te eisen om het systeem of de bestanden te herstellen. Na het betalen van het losgeld ontvangt de organisatie of persoon de decoderingssleutels of een decoderingsprogramma om de systemen weer toegankelijk te maken. Maar er is geen garantie. Er zijn incidenten gerapporteerd, waar na het betalen niets werd afgeleverd voor de decodering of dat de codering defect was.

Daarnaast zien we vaak het concept van dubbele afpersing. In dit geval dreigen cybercriminelen om vertrouwelijke gegevens te verkopen of openbaar te maken als er niet nog een keer losgeld wordt betaald. Bovendien is het erg lastig om ransomware te voorkomen omdat de aanvallen vaak inside aanvallen betreffen. Dergelijk aanvallen  hoeven niet per se te worden uitgevoerd door interne medewerkers, maar kunnen ook worden opgetuigd door cybercriminelen vanuit de it-omgeving van werknemers. Sinds we steeds meer thuiswerken zien we een toename in deze aanvalstactiek. Insiders kunnen hun aanvallen en pogingen over een langere periode verspreiden. Dit biedt hen volop tijd om een aanvalsstrategie te plannen en uit te voeren, hun sporen uit te wissen en de overdracht van gegevens te verhullen voor beveiligingsoplossingen.

Van detectie naar herstel

Het is belangrijk bij ransomware om naast de nodige maatregelen om een aanval te voorkomen, ook de juiste voorbereidingen te treffen voor een daadwerkelijke ransomware-aanval. Snel kunnen handelen kan het verschil maken tussen een kleine of ernstige inbreuk. Om snel te handelen is een strategie cruciaal. Breng in deze strategie alle rollen en verantwoordelijkheden in kaart en stel een lijst op met alle interne en externe stakeholders die bij een eventueel incident betrokken zijn, inclusief hun contactgegevens en een beschrijving van taken. Op deze manier kan meteen worden begonnen met het uitvoeren van het recovery-proces voor elke getroffen it-service. Maak ook (offline-)backups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het herstelproces versnellen.

Bescherm, detecteer, handel en pas aan

"Alleen met een dataherstelstrategie is het mogelijk om losgeld betalen te voorkomen"

Alleen met een dataherstelstrategie is het mogelijk om losgeld betalen te voorkomen. Hoewel er geen standaard template is voor een dergelijke strategie, zijn er altijd drie ingrediënten nodig om een organisatie voor te bereiden op ransomware. Het eerste ingrediënt is het afschermen van gebruikers. Op deze manier kan voorkomen worden dat onbevoegde gebruikers data en systemen (onbewust) in gevaar brengen. Organisaties kunnen dit bijvoorbeeld realiseren door een toegangscontrole te implementeren met dubbele authenticatie. Deze stap zou deel moeten uitmaken van een zero trust-aanpak. Zero trust heeft als doelstelling bedrijven te beschermen tegen de risico's van ransomware, bedreigingen van binnenuit en andere verstoringen.

Het tweede ingrediënt is het beschermen van de data-kopieën, door het aanwenden van ‘safe-guarded copies’ (beveiligde kopieën). Wanneer er een kopie, snapshot of backup wordt gemaakt, dient er automatisch een onveranderlijke datakopie te worden gemaakt door een ‘airgap’ toe te passen, die de toegang tot kopieën verhindert voor malware of bedreigingen van binnenuit.

Het derde ingrediënt is de mogelijkheid om data voor alle workloads in minuten of uren te herstellen in plaats van dagen of weken. Het versnellen van de hersteltijd vereist de mogelijkheid om applicaties in een beveiligde omgeving te testen voordat de productie wordt hervat.

Daarnaast is het belangrijk om dreigingen, gecoördineerde aanvallen en datalekken vroegtijdig te detecteren en snel te reageren. Organisaties kunnen bijvoorbeeld geautomatiseerde ‘triggers’ implementeren om een beveiligde kopie te maken op basis van bepaalde bedreigingen. Denk hierbij aan inlogpogingen van onbekende ip-adressen, inlogpogingen buiten kantooruren en mislukte aanmeldingen.

Kortom, om u voor te bereiden op  ransomware en bedreigingen van binnenuit is het verstandig om altijd de volgende factoren in uw achterhoofd te houden: beschermen, detecteren, handelen en aanpassen. Door uw cyberbestendigheid te vergroten, bent u beter voorbereidt en kunt u voorkomen dat organisaties gegijzeld worden in deze steeds groter wordende digitale wereld.

Een laatste advies: vergeet niet te testen. Voer regelmatig simulaties uit en test hoe goed het team reageert op dreigingen. Dit zal een groot verschil maken als u wordt getroffen door een cyberaanval.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-07-28T11:50:00.000Z Dennis Lauwers
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.