Ransomware is erg moeilijk te stoppen, vooral omdat de aanvallers bedreven zijn in het afsluiten van een netwerk lang voordat iemand in een organisatie zelfs maar een losgeldbriefje ziet. Bij veel aanvallen combineert de malware een encryptie-payload met geautomatiseerde verspreiding.
Deze krachtige combinatie kan worden geleverd met behulp van verschillende aanvalstechnieken waarmee bedreigingsactoren de leverings- en uitvoeringsbeveiligingsmaatregelen kunnen omzeilen door gebruik te maken van gecompromitteerde inloggegevens. De ransomware is dan in staat om de gegevens van het ene eindpunt na het andere snel te versleutelen - totdat een netwerk kreupel is.
De afgelopen jaren heeft de groeiende verfijning van de ransomware-'industrie' nichespelers en gespecialiseerde varianten voortgebracht. Hades (een variant van WastedLocker) richt zich bijvoorbeeld bijna uitsluitend op grote organisaties - een praktijk die bekend staat als 'jacht op groot wild'.
Gezien het risico is het moeilijk te geloven dat veel organisaties praktisch aanvallen uitlokken door Remote Desktop Protocol (RDP)-poorten open te laten voor internet. Hoewel RDP moderne codering gebruikt, mist het in de standaardstatus multi-factor authenticatie (MFA), waardoor organisaties worden blootgesteld aan aanvallen.
Een andere zelfveroorzaakte zwakte is het wijdverbreide falen om beveiligingspatches toe te passen ter bescherming tegen Common Vulnerabilities and Exposures (CVE's).
Ransomware-aanvallen voorkomen en indammen
De eerste stap is het creëren van een robuuste strategie voor cyberdefensie om een aanval vanaf het begin te stoppen of in ieder geval in te dammen. Vanwege de veelheid aan toegangsvectoren en de diversiteit aan technieken is er echter geen wondermiddel. Organisaties dienen de volgende preventieve maatregelen te overwegen:
Mensengerelateerde beveiliging
Identiteits- en toegangsbeheer implementeren
Om de verspreiding van ransomware tegen te gaan, is het absoluut noodzakelijk om Least Privilege en Zero Trust-principes op te nemen met behulp van Identity and Access Management (IAM). Dit moet multi-factor authenticatie omvatten, wat helpt om het risico op verspreiding van ransomware in het geval van een gecompromitteerd account te minimaliseren. Al deze mogelijkheden verkleinen het aanvalsoppervlak en beperken ongeoorloofde toegang.
Beveiligingsbewustzijnstraining geven
Om de effectiviteit van phishing, de grootste aanvalsvector die door ransomware wordt gebruikt, te verminderen, moeten organisaties hun werknemers informeren over het identificeren van kwaadaardige e-mails - en dit op continue basis.
Benut de kracht van continue ontwikkeling van cybervaardigheden
Om op de hoogte te blijven van de nieuwste ontwikkelingen op het gebied van ransomware, moeten cyberbeveiligingsprofessionals voortdurend leren en trainen, zodat ze net zo goed geïnformeerd zijn als de aanvallers.
De meest effectieve manier om continue ontwikkeling van cybervaardigheden uit te voeren, is door dit te doen in een gecontroleerde omgeving via praktische, interactieve oefeningen met behulp van echte IT-infrastructuur, tools en malware. Deze aanpak stelt IT-personeel in staat om hun vaardigheden aan te scherpen en te leren hoe ze met succes echte bedreigingen kunnen identificeren en erop kunnen reageren, en kunnen voorkomen dat criminelen het ransomware-spel winnen.
Vermindering van het aanvalsoppervlak
Beveiligingsorkestratie, automatisering en respons (SOAR). Dit is een stapel compatibele software die helpt bij het automatiseren van incidentrespons door informatie over beveiligingsgebeurtenissen te verzamelen en bedreigingsinformatie te gebruiken om bedreigingen te identificeren en er snel op te reageren met minimale menselijke hulp.
Firewall van de volgende generatie (NGFW). Met behulp van geavanceerde analyse van netwerkverkeer en gedownloade objecten kan een NGFW bekende soorten malware detecteren door middel van handtekeningen en heuristieken.
Eindpuntdetectie en -respons (EDR). Gedrags- en op handtekeningen gebaseerd eindpuntdetectie is van fundamenteel belang voor het stoppen van bekende malwarebedreigingen. EDR gebruikt besturingselementen voor het uitvoeren van toepassingen om te voorkomen dat malware op een computer wordt uitgevoerd.
Adopteer bedreigingsinformatie
Een Threat Intelligence Platform (TIP) kan een cruciale rol spelen om beveiligingsteams in staat te stellen zich proactief te verdedigen tegen ransomware, omdat het realtime informatie geeft over actuele bedreigingen. Een bijkomend voordeel van een TIP zijn de automatiserings- en machine learning-mogelijkheden, die helpen bij strategieën voor incidentrespons.
Publiekgerichte activabescherming
Beveiligde webgateway (SWG). Dit biedt diep inzicht in internetgebonden verkeer om bekende malwarevoorbeelden en command and control (C2) -verkeer te detecteren.
Segmentbeveiligingsarchitectuur
Een geweldige manier om bedreigingen in een bepaald gebied in te dammen, is door netwerksegmentatie te implementeren en micro-segmentatie. Een dergelijke segmentering voorkomt dat dreigingen of aanvallen zich zijdelings verplaatsen in datacenters, clouds en campusnetwerken. Idealiter bevindt elke dreiging zich in een segment van het netwerk, waardoor de impact van de ransomware wordt verminderd.
Bescherming tegen ransomware is moeilijk, maar niet onmogelijk. Gewapend met de juiste cyberdefensiestrategie, tools en beveiligingscontroles kunnen organisaties zich verdedigen tegen deze aanvallen. Het belangrijkste wapen in het arsenaal van elke organisatie is natuurlijk kennis - die voortdurend en uitgebreid moet worden gekoesterd via hands-on ontwikkeling van vaardigheden voor IT-personeel.
Jeff Orloff is Vice President of Products and Technical Services bij BereikKracht, een opleidingsbedrijf voor cyberbeveiliging. Hij heeft meer dan tien jaar ervaring in cybersecurity, computer- en netwerkbeveiliging en systeembeheer. Voordat hij bij RangeForce kwam, was hij Director of Product Management and UX bij COFENSE, een bedrijf dat gespecialiseerd is in e-mailbeveiliging, phishing-detectie en -respons. Hij diende ook als technologiecoördinator voor het Palm Beach County Florida School District.
Tags:
