Afgelopen december las ik er voor het eerst over een ransomware variant die niet alleen je bestanden gijzelt maar ook nog eens dreigt met het publiceren van jouw data als je niet betaald. Met andere woorden was je niet van plan te betalen omdat je voldoende maatregelen had getroffen wordt je nu gedwongen alsnog te betalen om te zorgen dat je data niet zomaar op straat ligt.
Maar waarom lijken deze aanvallen nu de laatste tijd zo effectief en waardoor hebben zelfs grote bedrijven zoals de Universiteit van Maastricht of het GWK er last van? Om deze vraag te beantwoorden is het goed eerst te kijken hoe ransomware nu in de basis werkt. Ondanks de indruk die soms gewekt wordt is een dergelijke besmetting over het algemeen niet bijzonder geavanceerd.
Een ransomware besmetting begint vaak vrij onschuldig met een e-mail met daarin een office document met een macro. Deze macro haalt een nieuw stukje software op wat daadwerkelijk zorgt voor het versleutelen van bestanden. Daarnaast zijn er inmiddels varianten gespot die uitgeschakelde computers inschakelen om de impact te maximaliseren.
Hoe kan je de kans en impact van ransomware verkleinen?
Helemaal voorkomen lijkt een utopie, echter zijn er wel zaken die organisaties kunnen doen om de kans en impact van een ransomware besmetting te verkleinen. Onderstaand een aantal maatregelen die de kans en impact significant kunnen verkleinen:
Software Updates
Zorg ervoor dat je systemen bijgewerkt zijn, indien ransomware niet via e-mail binnenkomt is de kans vrij groot dat het actief een kwetsbaarheid probeert uit te nutten die aanwezig is binnen jullie infrastructuur. Vergeet bij het patchen ook niet de netwerkcomponenten. Een vulnerability scanner kan helpen bij het inventariseren van de kwetsbaarheden en draagt in de regel ook de oplossing aan.
Autorisatie Management
Het klinkt cliché maar reduceer en reguleer de rechten binnen de infrastructuur. Gebruik meerdere accounts voor de beheerders afhankelijk van de werkzaamheden. Online is veel te vinden over zogeheten “delegation control” zoals uitgebreid beschreven door Huy Kha in zijn Active Directory Security Fundamentals.
Endpoint Security
Anti-virus oplossingen spelen nog steeds een essentiële rol in het reduceren van kans en impact. De juiste oplossing correct geïmplementeerd en actief beheerd kan het verschil betekenen tussen een besmetting of niet.
Netwerk Segmentatie
Indien je netwerk logisch scheidingen kent en hier firewalls tussen geplaatst zijn kan je de kans op verspreiding reduceren. Daarnaast is het verstandig een mechanisme en een proces in te richten waarmee je snel al het verkeer tussen segmenten kan blokkeren een zogeheten kill switch.
Security Monitoring
Weet wat er speelt binnen jouw organisatie! Door logdata te centraliseren en actief use cases in te richten krijg je zicht op wat er zich afspeelt binnen jouw organisatie en kun je tijdig bijsturen indien afspraken niet nageleefd worden.
