Hoe bescherm je je organisatie tegen ransomware?

Getroffen worden door ransomware is een van de meest ingrijpende security aanvallen voor een bedrijf. Ransomware zorgt ervoor dat data wordt versleuteld, waardoor het niet meer mogelijk is om als gebruiker of IT-beheerder bij de data te komen. De hackers vragen vervolgens losgeld om de encryptie op te heffen. Het resultaat is dat niet alleen de bedrijfsvoering plat ligt. Er is vaak ook sprake van reputatieschade en wantrouwen in de eigen IT-systemen nadat een aanval is opgelost.In deze blog leggen we je uit wat ransomware is, hoe je je organisatie kunt beschermen en hoe je de risico’s van een aanval kunt verminderen.

Aantal feiten over ransomware

  • Wereldwijd zijn de kosten voor ransomware aanvallen 75 miljard dollar.
  • 75% van de organisaties die getroffen zijn door ransomware hadden up-to-date endpoint protectie.
  • In 2019 werd om de 14 seconden een nieuwe organisatie getroffen; in 2021 is de verwachting dat dit elke 11 seconde zal zijn.
  • We zien een groei van 109% in het aantal ransomware aanvallen die binnenkomen via malafide e-mails.
  • Ransomware aanvallen op particulieren dalen; echter is er een significante stijging te zien in het bedrijfsleven.
  • Elke maand komen er 1,5 miljoen nieuwe phishing websites online.

Hoe komt ransomware de organisatie binnen?

Malafide e-mails

De meest voor de hand liggende methode om een ransomware aanval uit te voeren is door middel van malafide e-mails. Bij een phishing e-mail wordt de gebruiker gevraagd om op een link te klikken of om een bijlage te openen, waarna malware met ransomware op het apparaat van de gebruiker wordt gezet. Uit statistieken is bekend dat 12% van de gebruikers op een link in een phising e-mail klikt.

Malafide websites

Hackers gebruiken malafide websites om devices op zwakke plekken te scannen. Dit proces vindt op de achtergrond plaats, waardoor gebruikers niet in de gaten hebben dat hackers proberen binnen te dringen. Zodra zwakheden worden gevonden zullen hackers code installeren, waarna malware op het apparaat van de eindgebruiker terecht kan komen.

Verder maken hackers ook diverse websites na om zo aan gebruikersdata te komen of het vertrouwen van de gebruiker te winnen om bestanden of programma’s te downloaden.

Social media

Ransomware kan binnenkomen via web-based instant messaging. Net zoals het geval is bij phishing e-mails worden links of bijlagen verstuurd via social media, waarna de eindgebruiker malware binnenkrijgt zodra er op een link of bijlage wordt geklikt.

Hoe voorkom je ransomware?

De eerste stap is om zwakheden in de IT-omgeving en organisatie te herkennen. Daarom raden wij aan om te beginnen met onderstaande stappen:

  1. Risico-analyse van de IT-systemen en organisatie.
  2. Door middel van training en ransomware aanval simulaties bewustwording creëren van medewerkers om malafide e-mails te herkennen.

Beveiliging tegen ransomware

Zorg ervoor dat security updates en patches op de meest actuele versie zitten. Leg vervolgens in een beleidsplan vast hoe en wanneer het installeren van nieuwe patches en updates plaatsvindt. Microsoft adviseert zelf om onderstaande patching frequentie te volgen:

Tijd dat patch beschikbaar komt Percentage van uitrol in de organisatie
Direct wanneer patch beschikbaar is 1%
Na 3 dagen  10%
Na 7 dagen  89%

Zorg daarnaast voor een disaster en recovery plan. Ons advies is om back-ups los te laten staan van de productieomgeving. Nieuwe vormen van ransomware zoeken eerst de back-up omgeving op om ervoor te zorgen dat back-ups niet meer benaderbaar zijn. Pas daarna zullen ze de productieomgeving versleutelen.

Een goed disaster en recovery plan helpt om snel weer op gang te komen na een calamiteit. Dit plan moet regelmatig getest worden en actueel zijn.

Basismaatregelen

Bovenstaande maatregelingen zijn bij de meeste organisaties wel bekend. Om de kans op een ransomware aanval te verkleinen, adviseren wij om onderstaande maatregelen te nemen:

Multi-factor authenticatie

Activeer multi-factor authenticatie om toegang tot alle systemen extra te beveiligen. Vaak hebben IT-beheerders en managers toegang tot systemen en data die extra risico vormen voor de bedrijfsvoering als deze aangevallen worden. Multi-factor authenticatie helpt om ongewenste toegang tot deze systemen en data te voorkomen.

MFA

Microsoft Exchange Online Protection

Exchange Online heeft ingebouwde detectie en beveiliging die bekende bedreigingen, spam en malware herkent en tegenhoudt, voordat deze naar de eindgebruiker worden doorgestuurd. Gebruikers blijven toegang tot hun e-mail houden.

Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection (ATP) gebruikt ‘Safe Attachments’ en ‘Safe Links’ om gebruikers te beveiligen tegen malware die nog niet bekend is. De e-mails inclusief meegestuurde URL en bijlage worden door Microsoft in een aparte omgeving geopend en uitgevoerd. Kunstmatige intelligentie ziet vervolgens of een link en/of bijlage veilig is/zijn of dat deze verwijzen naar een malafide website of malware bevatten. De e-mail inclusief URL’s en bijlage worden pas naar de eindgebruiker doorgezet indien deze veilig worden bevonden.

Daarnaast heeft ATP uitgebreide rapportage en tracking mogelijkheden om inzichten te krijgen in systemen en identiteiten van medewerkers die vanaf buitenaf worden aangevallen. Via deze inzichten kan het security beleid worden aangepast.

Microsoft Defender ATP

Naast e-mail protectie is het belangrijk om de IT-omgeving zelf in de gaten te houden om problemen voor te zijn. Vaak zitten hackers al langere tijd binnen voordat ze een aanval uitvoeren. Microsoft Defender ATP gebruikt kunstmatige intelligentie om het gedrag binnen de IT-omgeving te analyseren. Zo kijkt Microsoft Defender of gebruikers opeens ander gedrag gaan vertonen dan normaal. Door middel van beleid worden vervolgens acties ondernomen om te voorkomen dat een (gehackte) gebruiker schade kan aanrichten.

Microsoft defender ATP

Migreer on-prem fileservers naar SharePoint, OneDrive of Teams

De cloud geeft meer bescherming tegen ransomware aanvallen dan een on-prem fileserver voor kleinere organisaties die geen grote IT budgetten hebben om een geavanceerde security laag op een on-prem omgeving te onderhouden. Daarnaast zijn back-ups standaard gescheiden van het on-prem netwerk. Verder worden de cloud systemen automatisch gepatcht door de cloud leverancier, waardoor je op de meest actuele security updates kunt vertrouwen.

Gebruik policy van ‘least privilege’

Vanuit security en compliance oogpunt is het altijd aan te raden om een policy van ‘least privilege’ te hanteren. Zo hebben gebruikers en beheerders minimale rechten om data en systemen te raadplegen. Indien de functie van de gebruiker om meer rechten tot bepaalde data of systemen vraagt dan kunnen deze rechten uiteraard worden uitgebreid. Door least privilege wordt voorkomen dat alle gebruikers toegang hebben tot het grootste gedeelte van de data. Een gebruiker waarvan zijn identiteit gehackt heeft op deze manier beperkte toegang tot data.

Beperk ransomware encryptiemogelijkheden

  1. On-prem: Middels beleid en correcte software-instellingen is het mogelijk om vroegtijdig in te grijpen wanneer een onverwachte encryptie van data plaatsvindt. Indien er gedetecteerd wordt dat een gebruiker opeens data versleutelt, dan kan actie ondernomen worden om verdere encryptie te voorkomen.
  2. In de cloud: Microsoft Cloud App helpt om verdacht gedrag in de Microsoft cloud te detecteren en stuurt een notificatie wanneer verdacht gedrag wordt waargenomen. Kunstmatige intelligentie leert het gedrag van de medewerkers in de organisatie. Indien dit gedrag zich anders gaat gedragen dan kan een automatische actie worden ondernomen die het onmogelijk maakt om bestanden te bewaren. Hierdoor wordt (verdere) infectie door ransomware voorkomen.

Ransomware response plan

Zorg van tevoren voor een gedegen ransomware response plan. Denk als organisatie vooraf na hoe omgegaan wordt met een ransomware aanval en leg dit plan vervolgens ook als hardcopy in de kast om encryptie van het plan zelf te voorkomen.

Een stappenplan als respons op een ransomware aanval kan zijn:
1. De aanval zo snel mogelijk te isoleren om verdere infectie te voorkomen.
2. Onderzoek te doen om de scope en impact van de aanval te bepalen.
3. Recovery plan in werking stellen.
4. Verbeterplan maken om toekomstige incidenten te voorkomen.

Hoe helpt Advantive klanten om hun security te verbeteren?

De toenemende dreiging van cybercrime en malware vraagt om een adequate en proactieve security aanpak. Advantive is specialist op het gebied van Microsoft security. We helpen klanten om de managed IT-omgeving te beschermen tegen bedreigingen van buiten en binnen af. Denk hierbij aan databeveiliging en het creëren van veiligheidsbewustzijn bij de medewerkers.

De kunst is om continu een goede balans tussen veiligheid, kosten, werkbaarheid en beleving voor de eindgebruiker te vinden. We helpen je om de juiste security keuzes te maken.

Onze collega’s van managed services houden uiteraard de IT-systemen van onze klanten up-to-date en zorgen voor proactieve monitoring.

Ons security center is 24/7 operationeel, waardoor wij ook buiten kantooruren kunnen acteren zodra ransomware gedetecteerd wordt. Hierdoor kunnen we snel mitigerende maatregelen nemen in het geval van een aanval.

Conclusie

De risico’s voor een organisatie om getroffen door een ransomware aanval worden steeds groter, omdat het verdienmodel voor hackers loont. Het is moeilijk helemaal uit te sluiten dat een organisatie slachtoffer wordt van een ransomware aanval. Echter, het is wel mogelijk om de risico’s van een ransomware aanval te verminderen.

Zorg voor:

  • Het creëren van veiligheidsbewustzijn bij de eindgebruiker.
  • Grip op de kwetsbaarheden in je eigen IT-omgeving.
  • Juiste inzet van technologie voor het voorkomen en/of vroegtijdig signaleren van ransomware.
  • Zorg voor een ransomware responseplan.
  • Vraag hulp aan een betrouwbare partner die helpt om ransomware tegen te gaan.

Direct meer weten?

Wil je meer weten over de mogelijkheden om ransomware te voorkomen? Laat het ons weten! We delen graag onze ervaringen en adviezen met je.

Meer informatie

Meer inspiratie
Het beschermen van je account met alleen een gebruikersnaam en wachtwoord is onvoldoende. Met multi-factor authenticatie (MFA) zorg je voor extra beveiliging. Advantive ondersteunt je bij het instellen van MFA voor je hele bedrijf of voor bepaalde afdelingen.Lees meer ›
Digitale transformatie brengt IT-veranderingen met zich mee. Neveneffect is shadow IT binnen je organisatie. Met IT-trainingen kun je shadow IT beperken.Lees meer ›
Kies je voor SharePoint Online, dan krijg je automatisch een veelvoud aan mogelijkheden cadeau. Hoe zorg je ervoor dat SharePoint jouw twaalfde man wordt?Lees meer ›