Vandaag de dag is de kans groter dan ooit dat ransomware jouw bedrijfsvoering plat legt middels software die zich via digitale wegen aan de ‘poorten’ van je bedrijfsnetwerk aanmeldt. Dit kunnen e-mails zijn met links waar een nietsvermoedende medewerker op klikt, of plaatjes op een website die kwaadaardige code bevatten. De ransomware versleutelt vervolgens alle documenten binnen je bedrijfsnetwerk. Hierna zijn de gijzelaars in staat om losgeld te eisen in ruil voor de cryptosleutel om je gegevens te ontsleutelen. Mocht je dit losgeld willen betalen, dan is het nog maar de vraag of je alle gegevens terug krijgt. In dit geval zou je dus kunnen stellen dat voorkomen beter is dan genezen. Hoe dan ook, wanneer de ransomware eenmaal binnen is, is de impact op de bedrijfscontinuïteit groot.
Het risico dat je bedrijf loopt om malafide software binnen te halen ligt voor een groot deel aan de volwassenheid van je medewerkers op het gebied van ransomware. Het risico kan minder groot worden gemaakt door het bewustzijn van medewerkers op ransomware te vergroten. Dit is direct je grootste wapen om kwaadwillenden buiten de deur te houden. Dit bewustzijn zal zich moeten vertalen in de dagelijkse werkzaamheden – iedere medewerker zal zich moeten realiseren; met welke gegevens en externe partijen ben ik bezig?
Welke maatregelen kan ik nemen?
Aan de kant van de maatregelen zijn er verschillende mogelijkheden. Wat mij betreft zijn deze maatregelen altijd een balans van wat er technisch, functioneel en qua cultuur het beste bij een organisatie past. Implementatie van deze maatregelen kan tijdrovend zijn, waardoor het wellicht een keuze is om ze niet te implementeren. Ook kunnen maatregelen nooit 100% van de aanvallen tegenhouden. De kans blijft toch bestaan dat er een aanval succesvol is. Toch wil ik een aantal best-practices benoemen die minimaal een baseline moeten vormen voor de mitigatie van het risico op ransomware.
Bewustwordingsmaatregelen
Aan de organisatorische kant kun je overwegen om periodiek sessies in te plannen voor het verhogen van bewustzijn bij je medewerkers. Waar moeten de medewerkers op letten, en wat kunnen ze doen in het geval van het binnenhalen van ransomware. Bij wie melden ze een incident mochten ze door hebben dat ze ransomware hebben binnengehaald.
Een preventieve maatregel kan een periodieke aanvalssimulatie zijn, waarbij de reactie van medewerkers wordt getoetst aan de hand van een geconstrueerde phishing e-mail met nepdocumenten. Alles om bewustzijn te verhogen bij de personen die het bericht potentieel openen. Dat geeft de organisatie inzicht in de mate van bewustzijn binnen het hele bedrijf.
In de workshops heeft NDI ons aan de hand van een aantal sprekende voorbeelden laten zien hoe informatiebeveiliging in alle geledingen van de organisatie een rol zou moeten spelen. De risico analyse geeft ons zicht op de verbeterpunten en vormt een duidelijk startpunt om de informatiebeveiliging verder invulling te geven en organisatie breed vorm te geven.
Gert Jan Borger,
Manager ICT bij Cono Kaasmakers
Technische maatregelen
Aanvullend op bewustwording, kunnen technische maatregelen bijdragen aan het beperken van ransomware. Een mooi voorbeeld is het technisch implementeren van een filter op externe URL’s die geopend worden in een sandbox omgeving alvorens ze ingezien mogen worden door medewerkers. De sandbox omgeving geeft alleen een melding dat de link malafide is. De keuze kan vervolgens alsnog bij de medewerker liggen om de URL alsnog te openen. Verder kunnen documenten met extensies die macro’s bevatten tegengehouden worden of ook eerst worden gecontroleerd binnen een sandbox omgeving alvorens de medewerker de gegevens krijgt in te zien. Dit technische proces kost meer tijd bij het openen van documenten in tegenstelling tot het openen zonder controle, maar zorgt voor een extra technische beveiligingslaag en tegelijkertijd zijn medewerkers zich dan bewust dat er actief een controle wordt uitgevoerd op gegevens.
Ten tweede is het best practice om segmentatie uit te voeren. Segmentatie op het gebied van fysieke en virtuele netwerken, bijvoorbeeld tussen kantoor, gast en (fabriek) productie netwerken. Mocht een van de netwerken aangetast zijn met ransomware, dan heeft dit geen invloed op de andere netwerken. Segmentatie wat betreft rollen en rechten zijn wat mij betreft nog belangrijker. Organisaties met platte rechtenstructuren, waarbij de directeur evenveel rechten op gegevens heeft als andere werknemers komen we nog regelmatig tegen. Niet iedereen heeft evenveel rechten nodig. Wanneer een medewerker van een afdeling ransomware binnenhaalt, wil je in ieder geval niet dat deze ransomware ook gegevens van andere afdelingen infecteert. Dit segmenteren met rechten zorgt voor een verhoogde borging van je bedrijfscontinuïteit.
Goed update beheer van je software is ook belangrijk. Voor on-premise omgevingen is dit van belang voor alle centrale servers en je werkplekken. Voor bedrijven die overwegend in de cloud werken wil je in ieder geval dat werkstations waar bedrijfsgegevens op worden geopend ook altijd up-to-date zijn. Het belangrijkste is dat je in-control bent over je updates en de zekerheid hebben dat deze iedere maand worden uitgevoerd. Dit voorkomt dat er software exploits gebruikt kunnen worden door partijen met malafide intenties.
Ook kan je overwegen om jaarlijks een pen-test te laten uitvoeren op je kantoornetwerk en/of cloud, on-premise omgeving waar je gegevens zijn opgeslagen. Dit geeft in ieder geval een goed beeld of de beveiliging echt up-to-date is en ransomware aanvallen tegenhouden kunnen worden.
Als laatste zou je kunnen overwegen om bijvoorbeeld een SIEM – Security Information & Event Management systeem – te implementeren. Dit systeem kan logs centraal verzamelen vanuit bijna alle type hardware, cloud diensten of on-premise omgevingen. Ook antivirus software wordt ondersteund. Deze logs worden vervolgens aan de hand van regels centraal gemonitord en bij bijvoorbeeld ongewenste gebeurtenissen direct gerapporteerd. Het mitigeren van risico’s op ransomware is dus niet het enige wat het SIEM systeem kan, maar het kan wel voor een eerdere detectie van ransomware zorgen, waardoor mitigerende maatregelen eerder in gang gezet kunnen worden.
Een goed voorbeeld van een veelgebruikt SIEM systeem is Azure Sentinel. Dit is volledig in de cloud ondergebracht waardoor het ook nog eens zeer schaalbaar is en makkelijk wordt bijgehouden wat betreft updates.
Mocht je nog meer vragen hebben betreffende bovenstaande maatregelen, neem dan contact met Nick Reijmers, security consultant bij NDI ICT Solutions op.