Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Bestaat er wel zoiets als ransomwarebescherming?

Channelweb Expert

Ruud Pieterse
Master Information Systems Architect, Togaf Master Certified Architect. Expert van Channelweb voor de topics Cloud Computing, Infrastructuur en Datacenters.

Dat elke organisatie een keer geraakt zal worden door ransomware staat vast. Het is daarom van belang om na te denken over de bescherming van de it-omgeving. Dit vraagt om een beveiliging en een herstelstrategie - die hand in hand gaan.

Het beveiligen van de omgeving is meestal goed uitgevoerd. Met behulp van firewalls, antivirus en intrusion detection & prevention-systemen hebben de meeste organisaties een slotgracht gebouwd rondom de kroonjuwelen. In het geval van een ransomwareaanval is dit niet helemaal voldoende. De buitenkant is beschermd maar de binnenkant staat misschien nog te veel open. Als het interne netwerk transparant verkeer toestaat, dan is het voor een indringer een fluitje van een cent om de omgeving te verkennen. De indringer zal snel ontdekken waar de kroonjuwelen liggen. De active directory, de backup-omgeving, de systemen met belangrijke data zijn in een handomdraai te vinden.


Alarmbellen

"Een air-gapped omgeving is een omgeving die bij tijd en wijle online is om data te importeren"

Lastiger gaat het worden als een organisatie gebruikmaakt van deception-software. Die wekt de indruk dat er belangrijke systemen zijn die onder het kroonjuwelen-domein vallen. Probeert een aanvaller in te loggen op systemen die onder deception-software, dan gaan er onmiddellijk alarmbellen af. Ofwel, de indringer krijgt maar een kleinere kans om ransomware te installeren en eventuele te verspreiden. Er is dan meteen forensisch onderzoek te starten. Veelal kunnen organisaties dat niet zelf, maar zullen gespecialiseerde bedrijven dit moeten doen. Is het opstarten van forensische software nog niet het meest lastige, het analyseren van de omgeving en eventuele schoonmaakacties starten zijn wel taken waar ervaring voor vereist zijn.

Als de indringer toch weet om door te dringen, dan is het van belang dat de kroonjuwelen beschermd zijn. Dit kan door de essentiële data zoals active directory-gegevens, certificaten en onmisbare data veilig te stellen in een air-gapped omgeving. Dit is een omgeving die bij tijd en wijle online is om data te importeren. Na deze import gaat de omgeving direct weer van het netwerk. Een dergelijke kluis is vaak specialistische materie; daarvoor zijn een aantal aanbieders en vergelijkbare opties.

In de rij staan

Herstel na een ransomwareaanval is een lastige bezigheid. Als er geen categorisatie van de data heeft plaatsgevonden, is het een onmogelijke taak. Elke business-unit zal zijn data het belangrijkst vinden en in de rij staan om terra-bytes terug te krijgen. Het is van belang dat er sowieso wat terug te halen valt, want een indringer kan al maanden bezig zijn voor hij ontdekt is.

Voor de backup is het van belang om de drie-twee-één-strategie te hanteren; minstens drie kopieën van de backup op minstens twee soorten media en van die media moet er minstens één offline zijn. Het helpt dus niet om een backup op een virtuele tapebibliotheek te hebben en een kopie in Azure. Je zal minstens een offline-tape moeten hebben om aan de eis te voldoen, of de air-gapped omgeving zoals eerder besproken.

Zwakke punten

"Strategie begint bij preventie"

Er zijn veel zaken waarover nagedacht moet worden. Het beste is ook om een aantal use-cases te bedenken van een mogelijke aanval. Waar zitten de zwakke punten en wat zou de organisatie kunnen doen om die te dichten?

Ook de mate van een aanval kan verschillen. Zo kan er een hacker binnen in het netwerk zijn, maar heeft hij nog niets geïnstalleerd of verspreid. In sommige gevallen zal de indringer alleen data willen stelen en deze doorverkopen. In het ergste geval gaan alle systemen op slot en is alleen door het overmaken van een geldbedrag de encryptiesleutel te krijgen.

Voorkomen is beter dan genezen. De strategie begint bij preventie. Alleen moeten we er nu met een andere blik naar gaan kijken. De indringer die vroeger een virus losliet, is al jaren met pensioen. De opvolgers zijn gewiekster en hebben andere interesses. Daar zou een organisatie op in moeten spelen. Ransomwareaanvallen kun je niet meer vergelijken met een rampherstelstrategie. Er zijn veel te veel verschillen, en daarom is er bij een ransomwareaanval een andere strategie nodig.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-01-11T17:07:00.000Z Ruud Pieterse
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.