Gastexpert: Zo bescherm je jouw organisatie tegen ransomware
Waar de meeste ransomwareaanvallen tot voor kort gericht waren op individuen of kleine computersystemen, blijken de aanvallen zo lucratief voor de daders dat ze steeds gangbaarder, schadelijker en dus ook duurder worden om op te lossen. Cybercriminelen hebben hun pijlen gericht op de grotere organisaties, omdat zij het budget hebben om hogere sommen losgeld te betalen. Bovendien hebben grotere organisaties vaak meer kritische bestanden en computersystemen, die men maar al te graag – tegen elke prijs – terug wil hebben.
Het gevaar van ransomware is dat slachtoffers tussen het moment van besmetting en de daadwerkelijke losgeldmelding vaak slechts een zeer korte tijdspanne hebben om te handelen. Gelukkig zijn er een aantal stappen voor succesvolle bescherming én verzachting van de impact in het ongelukkige geval van een ransomware-aanval.
1: Voorbereiding
Om je voor te bereiden op een mogelijke aanval is het belangrijk zwakke plekken in je netwerksystemen te identificeren en versterken. Zo moeten eindpunten optimaal worden beveiligd met tools die infecties automatisch opsporen én beantwoorden. Op die manier blijf je de grote incidenten voor.
2: Opsporing van ransomware
Mocht je organisatie onverhoopt te maken krijgen met een aanval, dan beperk je de schade aanzienlijk als je er vroeg bij bent. Gebruik daarom threat intelligence-bronnen om de aanwezigheid van afwijkingen in je netwerkverkeer te blokkeren – of op zijn minst op te sporen. Zorg dat e-mails worden gescreend op kwaadaardige links en payloads en stel regels in voor bestanden die toegang willen tot mappen waar vaak ransomware wordt geïnstalleerd. Zo spot je ransomware voordat schadelijke bestanden daadwerkelijk worden geopend.
3: Schadebeperking
Als de ransomware eenmaal schade heeft aangericht op je device, kun je stappen ondernemen om de schade zo lokaal mogelijk te houden. Het beste middel hiervoor is een eindpuntbeschermingssysteem dat in staat is de uitvoering van de ransomware op te sporen en het proces te stoppen. De lokale host moet worden geblokkeerd en geïsoleerd van het netwerk. Zo voorkom je dat er nog meer bestanden binnen je netwerk worden versleuteld.
4: Vernietiging
Heb je te maken met een ransomwareincident en heb je de aanval lokaal ingekaderd? Dan is het tijd voor vernietiging. Dat doe je door het vervangen van geïnfecteerde devices. Inderdaad, het is lastig inschatten of de overgebleven bestanden niet verstopt zitten in je systeem en devices opnieuw kunnen besmetten. Echter is het voor netwerklocaties – zoals e-mailinboxen of gedeelde documenten – soms belangrijker om deze locaties op te schonen. Zo verwijder je de kwaadaardige e-mails of ransomware-instructies. Als je ervoor kiest om je devices op te schonen in plaats van te vervangen, zorg dan dat je blijft monitoren op kwaadaardige tekenen en andere zogenaamde Indicators of Compromise (IOC’s) om te voorkomen dat de aanval opnieuw toeslaat.
5: Herstel
De allerbelangrijkste stap bij herstel is het terugzetten van je back-up. Vervolgens is het zaak om je herstelfase af te sluiten door een uitgebreid onderzoek naar de specifieke infectie die werd gebruikt bij jouw systeem. Ransomware-aanvallen op organisaties zijn in opkomst. En de gevolgen ervan reiken veel verder dan alleen de kosten om documenten of systemen te ontgrendelen. Organisaties lopen het risico op extra kosten door downtime, verlies van of ongemak voor klanten en soms zelfs permanent verlies van data. Je organisatie verdedigen tegen ransomware is grotendeels een kwestie van de juiste voorbereiding en tools om je systemen te monitoren. Kortom, een relatief kleine investering om een hoop leed te voorkomen.