Hoe voorkomt u een ransomware-aanval?
Gepubliceerd op 09/04/2020 in Solution nieuws
Ransomware is een stuk malware dat cybercriminelen via onder meer phishing, slecht geüpdatete software of USB-sticks op uw netwerk installeren. Hun doel: uw systemen en data achter slot en grendel steken en u losgeld doen betalen. Hoe voorkomt u dat?
Wouter Vandenbussche, Solution Lead Cybersecurity van Proximus, legt u in 5 minuten uit hoe u uw bedrijf beschermt tegen ransomware.
Voorzie security op 3 niveaus:
- Train uw mensen: integreer cybersecurity in de manier van werken van al uw medewerkers, want cybersecurity belangt iedereen aan. Maak uw medewerkers duidelijk dat ze hun ‘oude’ manier van werken en rechten moeten opgeven. Het is bv. not done meer om pakweg een lay-outer de rechten te geven om software te downloaden die hij maar wilt.
- Investeer in processen voor detectie en een plan van aanpak
- Zet uw securitytechnologie op punt: bescherm u met de juiste technologie tegen de 4 fases van een ransomware-aanval.
Hoe beschermt u zich tegen de 4 fases van een ransomware-aanval?
1. Indringingsfase: phishing, slechte patches en USB-sticks
Iedereen kent phishing. Hackers proberen u te overtuigen op een link te klikken om bv. via Excel-, pdf-, exe-bestanden of uw browser, malware binnen te halen. Maar ransomware komt ook binnen via lekken, slecht gepatchte en onderhouden software. Ook via geïnfecteerde USB-sticks die eindgebruikers nietsvermoedend in hun laptop of computer steken, dringt malware binnen.
Hoe beveiligt u zich ertegen?
Eerst en vooral is user awareness cruciaal, beperk de rechten van de gebruikers zo veel mogelijk, zeker op toestellen die heel dicht bij gevoelige processen staan. Ook een goede antispamoplossing beschermt uw mailsysteem. De infectie van het netwerk bent u te slim af door de toestellen van uw gebruikers beter te beveiligen. Denk aan het patchmanagement en draai alleen de laatste versies van software. Een eindpuntbeveiliging moet dynamisch zijn en kan beschermen tegen nieuwe en onbekende aanvallen door nieuwe technieken.
Hebt u vragen? Praat met een van onze security experts.
2. Infectiefase: communicatie tussen uw computers en de hackers
Bij een infectie zijn er signalen dat ransomware zich in een computer heeft genesteld. Ransomware neemt altijd contact op met het controlecentrum van de hackers. Dat is abnormale communicatie voor een computer.
Hoe beveiligt u zich ertegen?
Door uw logs te analyseren en het gedrag van uw werkstations te bekijken, ziet u dat er iets aan de hand is en kan u die communicatie onderscheppen. Zorg dat uw systemen draaien met de laatste software versie. U kan bekende gebreken ook automatisch detecteren met een “vulnerability scan”.
3. Verspreidingsfase: raar gedrag van uw computers en systemen
Ransomware kan weken tot maanden in uw netwerk rondreizen, onder meer om de gegevens en systemen te vinden waarmee de bad guys uw bedrijf het hardst kunnen treffen.
Hoe beveiligt u zich ertegen?
Segmenteer om te beginnen het netwerk: deel het op in zones en scherm die van elkaar af. Zo kan een infectie zich niet gemakkelijk naar andere toestellen verspreiden. De verspreiding van malware gaan we tegen met een firewall die niet alleen het verkeer naar binnen en naar buiten controleert, maar ook het verkeer in een netwerk. Er zijn genoeg systemen die u de kwetsbaarheden van het netwerk tonen zodat u ze kunt aanpakken. Via detectie op eindpunt- en netwerkniveau kan u bv. laptops isoleren en opkuisen en protocollen dichtdraaien.
4. Encryptiefase: game over
Zodra de ransomware de bestanden en computers heeft versleuteld, is het te laat. Encryptie is in een wip gebeurd. U kan niets anders doen dan redden wat er te redden valt en uw processen herstellen of van nul opbouwen.
Hoe beveiligt u zich ertegen?
En dat kan alleen met back-ups die op punt staan. Met Disaster Recovery-as-a-Service (DRaaS) kopieert u al uw data naar de cloud en hebt u met een recoverysite of -aanpak een noodinfrastructuur klaarstaan waarin alles geregeld is om zo snel mogelijk terug met de activiteiten van start te kunnen gaan. Back-ups maken kan u natuurlijk ook zelf. Stockeer die dan op een plaats die niet kwetsbaar is voor diezelfde ransomware-aanval, bv. offline of in de cloud van een externe partner.
Conclusie: Naast preventie ook detectie & respons
Preventie blijft belangrijk, maar ook detectie is ongelooflijk cruciaal. U moet het gedrag van uw toestellen en gebruikers analyseren en op zoek gaan naar anomalieën en abnormaal gedrag. De Security Information and Event Management (SIEM)-software is dankzij artificiële intelligentie en machine learning de laatste jaren enorm geëvolueerd. We zien nu zelfs al software die ook automatisch op incidenten antwoordt.
Het Proximus Cyber Security Incident Response Team (CSIRT) analyseert uw IT-security. Toch een cyberaanval? Het team staat voor u en uw bedrijf klaar.
Lees meer over CSIRTExperts
Onze experten houden u op de hoogte van de laatste nieuwtjes en trends voor ICT professionals.