Best practices ter bescherming tegen ransomware
Volgens onderzoek uitgevoerd door Check Point, is het aantal organisaties getroffen door ransomware gegroeid met 9% per maand dit jaar. Deze ransomware-aanvallen hebben enorme financiële en reputatieverliezen veroorzaakt voor zowel organisaties in de publieke als de particuliere sector. Neem alleen al de recentere incidenten met de Exchange server kwetsbaarheid, de colonial Pipeline en de ransomware via Kaseya VSA-software. Ook de grote gevolgen welke ransomware heeft op organisaties is genoegzaam bekend. Denk hierbij aan Universiteit van Maastricht, gemeente Hof van Twente, maar recenter ook bij de Mandemakers groep (DMG).
De meeste succesvolle ransomware-aanvallen gebeuren omdat organisaties een eenvoudige beveiligingspraktijk over het hoofd zien. Microsoft publiceerde de relevante patch bijvoorbeeld drie maanden voordat de WannaCry-aanval plaatsvond en had organisaties gevraagd hun besturingssystemen te upgraden. Deze cyberaanval was te wijten aan nalatige patchpraktijken en bracht meer dan 4 miljard dollar aan financieel verlies over de hele wereld met zich mee. In het recente Cyber security Beeld Nederland (CSBN2021) gepubliceerd door het NCSC in Juni wordt ook veel aandacht aan ransomware besteed, en wordt het genoemd als risico voor de nationale veiligheid (zie specifiek hoofdstuk 4 van het CSBN2021 rapport).
Natuurlijk is het te makkelijk om van de zijlijn te beweren dat het allemaal voorkomen had kunnen worden. Dit is namelijk zeker niet altijd het geval. Want in het geval van de kwetsbaarheid in de Kaseya software, was het bedrijf (ondanks enkele weken eerder geïnformeerd over de kwetsbaarheid in hun software) niet op tijd om een patch te voorzien en dus waren de aanvallers in het voordeel, en werd de exploit succesvol ingezet.
Toch kunnen organisaties ransomware-aanvallen vaak voorkomen door IT security best practicesin te voeren of op te volgen in hun organisatie.
Voorkom ransomware volgens een aantal best practices (Deze zijn samengesteld op basis van diverse bronnen en eigen ervaringen):
Voer regelmatige IT-asset scans uit en krijg/houdt grip op uw hardware- en software-inventaris
Het kennen van de lijst met hardware en software welke gebruikt wordt in uw architectuur is cruciaal. Continue monitoring van deze assets helpt u de zwakheden (vulnerabilities) te identificeren en waar mogelijk direct te patchen of te isoleren. Het ontbreken van goed asset management zal van negatieve invloed zijn op de beveiliging van uw architectuur en gaat een keer tegen je werken.
Voer continu vulnerabilityscans uit en identificeer de beveiligingslekken
Het kennen van de lijst met hardware en software welke gebruikt wordt in uw architectuur is cruciaal. Continue monitoring van deze assets helpt u de zwakheden (vulnerabilities) te identificeren en waar mogelijk direct te patchen of te isoleren. Het ontbreken van goed asset management zal van negatieve invloed zijn op de beveiliging van uw architectuur en gaat een keer tegen je werken.
Prioritiseer de risico’s vanuit de vulnerabilityscans
Inzicht in het risico dat elk van de kwetsbaarheden met zich meebracht, is van cruciaal belang bij het vulnerability management proces. Met op risico’s gebaseerd beveiligingsbeheer kunt u prioriteit geven aan de kwetsbaarheden op basis van de risico’s en inspanningen voor herstel.
Patch kwetsbaarheden op tijd
Het identificeren van kwetsbaarheden is een aspect, het op tijd verhelpen met relevante patches brengt daadwerkelijk uw vulnerability management naar een hoger niveau. Zonder tijdig patching houdt u de spreekwoordelijke poorten open voor aanvallers om uw netwerk binnen te dringen. Het integreren van vulnerability en patchmanagement kan effectief zijn bij het verhogen van het security niveau van uw organisatie.
Investeer in goede endpoint security inclusief monitoring
Endpoints zijn misschien wel de belangrijkste onderdelen van uw IT-infrastructuur en vormen de ruggengraat van uw bedrijf. Ze continu monitoren kan helpen bij het voorkomen van security incidenten. Moderne Endpoint Preventie (EPP) in combinatie met detectie en response (EDR) capaciteiten beschermt het netwerk tegen virussen en waarschuwt/beschermt tegen mogelijke bedreigingen.
Stel strikte applicatie en system controle in (least privilege)
Het ongecontroleerd toestaan van het gebruik van een applicatie of device (apparaat) in uw netwerk kan onnodige risico’s met zich brengen. Implementeer sterke applicatie- en device toegang in uw netwerk en blokkeer onmiddellijk de applicaties, USB’s en randapparatuur die beveiligingsbedreigingen vormen. Technische wordt dit ingevuld met slimme Network Access Control (NAC) en authenticatie (least privileges). Tevens wordt het ‘hardenen’ van systemen geadviseerd.
Configureer sterke password policies
Zwakke wachtwoorden zijn een makkie voor indringers. Het toestaan van ‘makkelijk te raden’ wachtwoorden op uw eindpunten kan niet alleen aanvallen van buitenaf toestaan, maar maakt ook de weg vrij voor aanvallen van binnenuit (insider threats). Stel een sterk wachtwoordbeleid in dat erop staat dat gebruikers hun wachtwoord regelmatig wijzigen en dwing een voldoende mate van complexiteit af voor de wachtwoorden.
Detecteer indicators of attacks en compromise (IoA & IoC) en reageer onmiddelijk
Enkele devices of systemen in uw netwerk kunnen worden aangevallen of kunnen bepaalde kenmerken van een actieve aanval vertonen. Deze indicaties van aanvallen en compromissen (IoA & IoC) moeten onmiddellijk in het netwerk worden gedetecteerd en worden opgevolgd om ernstige security incidenten te voorkomen.
Doe er uw voordeel mee.