Getroffen worden door ransomware is een van de meest ingrijpende security aanvallen voor een bedrijf. Ransomware zorgt ervoor dat data wordt versleuteld, waardoor het niet meer mogelijk is om als gebruiker of IT-beheerder bij de data te komen. De hackers vragen vervolgens losgeld om de encryptie op te heffen. Het resultaat is dat niet alleen de bedrijfsvoering plat ligt. Er is vaak ook sprake van reputatieschade en wantrouwen in de eigen IT-systemen nadat een aanval is opgelost.In deze blog leggen we je uit wat ransomware is, hoe je je organisatie kunt beschermen en hoe je de risico’s van een aanval kunt verminderen.
De meest voor de hand liggende methode om een ransomware aanval uit te voeren is door middel van malafide e-mails. Bij een phishing e-mail wordt de gebruiker gevraagd om op een link te klikken of om een bijlage te openen, waarna malware met ransomware op het apparaat van de gebruiker wordt gezet. Uit statistieken is bekend dat 12% van de gebruikers op een link in een phising e-mail klikt.
Hackers gebruiken malafide websites om devices op zwakke plekken te scannen. Dit proces vindt op de achtergrond plaats, waardoor gebruikers niet in de gaten hebben dat hackers proberen binnen te dringen. Zodra zwakheden worden gevonden zullen hackers code installeren, waarna malware op het apparaat van de eindgebruiker terecht kan komen.
Verder maken hackers ook diverse websites na om zo aan gebruikersdata te komen of het vertrouwen van de gebruiker te winnen om bestanden of programma’s te downloaden.
Ransomware kan binnenkomen via web-based instant messaging. Net zoals het geval is bij phishing e-mails worden links of bijlagen verstuurd via social media, waarna de eindgebruiker malware binnenkrijgt zodra er op een link of bijlage wordt geklikt.
Hackers gebruiken brute force aanvallen om (vaak op geautomatiseerde wijze) inloggegevens van gebruikers te achterhalen. Binnen korte tijd worden veel verschillende wachtwoord en gebruikersnaam combinaties gebruikt om te achterhalen wat de inlog gegevens van een gebruiker zijn. Doel is om inloggegevens van IT admin of Service accounts te verkrijgen.
Indien applicaties niet gemonitord of geüpdatet worden dan kunnen hackers van kwetsbaarheden gebruikmaken. De meest voorkomende kwetsbaarheden waarvan op dit moment gebruik wordt gemaakt zijn:
Daarnaast gebruiken hackers kwetsbaarheden in applicaties die niet goed geconfigureerd zijn.
De eerste stap is om zwakheden in de IT-omgeving en organisatie te herkennen. Daarom raden wij aan om te beginnen met onderstaande stappen:
Zorg ervoor dat security updates en patches op de meest actuele versie zitten. Leg vervolgens in een beleidsplan vast hoe en wanneer het installeren van nieuwe patches en updates plaatsvindt.
Zorg daarnaast voor een disaster en recovery plan. Ons advies is om back-ups los te laten staan van de productieomgeving. Nieuwe vormen van ransomware zoeken eerst de back-up omgeving op om ervoor te zorgen dat back-ups niet meer benaderbaar zijn. Pas daarna zullen ze de productieomgeving versleutelen.
Een goed disaster en recovery plan helpt om snel weer op gang te komen na een calamiteit. Dit plan moet regelmatig getest worden en actueel zijn.
Bovenstaande maatregelingen zijn bij de meeste organisaties wel bekend. Om de kans op een ransomware aanval te verkleinen, adviseren wij om onderstaande maatregelen te nemen:
Activeer multi-factor authenticatie om toegang tot alle systemen extra te beveiligen. Vaak hebben IT-beheerders en managers toegang tot systemen en data die extra risico vormen voor de bedrijfsvoering als deze aangevallen worden. Multi-factor authenticatie helpt om ongewenste toegang tot deze systemen en data te voorkomen.
Exchange Online heeft ingebouwde detectie en beveiliging die bekende bedreigingen, spam en malware herkent en tegenhoudt, voordat deze naar de eindgebruiker worden doorgestuurd. Gebruikers blijven toegang tot hun e-mail houden.
Office 365 Advanced Threat Protection (ATP) gebruikt ‘Safe Attachments’ en ‘Safe Links’ om gebruikers te beveiligen tegen malware die nog niet bekend is. De e-mails inclusief meegestuurde URL en bijlage worden door Microsoft in een aparte omgeving geopend en uitgevoerd. Kunstmatige intelligentie ziet vervolgens of een link en/of bijlage veilig is/zijn of dat deze verwijzen naar een malafide website of malware bevatten. De e-mail inclusief URL’s en bijlage worden pas naar de eindgebruiker doorgezet indien deze veilig worden bevonden.
Daarnaast heeft ATP uitgebreide rapportage en tracking mogelijkheden om inzichten te krijgen in systemen en identiteiten van medewerkers die vanaf buitenaf worden aangevallen. Via deze inzichten kan het security beleid worden aangepast.
Naast e-mail protectie is het belangrijk om de IT-omgeving zelf in de gaten te houden om problemen voor te zijn. Vaak zitten hackers al langere tijd binnen voordat ze een aanval uitvoeren. Microsoft Defender ATP gebruikt kunstmatige intelligentie om het gedrag binnen de IT-omgeving te analyseren. Zo kijkt Microsoft Defender of gebruikers opeens ander gedrag gaan vertonen dan normaal. Door middel van beleid worden vervolgens acties ondernomen om te voorkomen dat een (gehackte) gebruiker schade kan aanrichten.
De cloud geeft meer bescherming tegen ransomware aanvallen dan een on-prem fileserver voor kleinere organisaties die geen grote IT budgetten hebben om een geavanceerde security laag op een on-prem omgeving te onderhouden. Daarnaast zijn back-ups standaard gescheiden van het on-prem netwerk. Verder worden de cloud systemen automatisch gepatcht door de cloud leverancier, waardoor je op de meest actuele security updates kunt vertrouwen.
Vanuit security en compliance oogpunt is het altijd aan te raden om een policy van ‘least privilege’ te hanteren. Zo hebben gebruikers en beheerders minimale rechten om data en systemen te raadplegen. Indien de functie van de gebruiker om meer rechten tot bepaalde data of systemen vraagt dan kunnen deze rechten uiteraard worden uitgebreid. Door least privilege wordt voorkomen dat alle gebruikers toegang hebben tot het grootste gedeelte van de data. Een gebruiker waarvan zijn identiteit gehackt heeft op deze manier beperkte toegang tot data.
De toenemende dreiging van cybercrime en malware vraagt om een adequate en proactieve security aanpak. Advantive is specialist op het gebied van Microsoft security. We helpen klanten om de managed IT-omgeving te beschermen tegen bedreigingen van buiten en binnen af. Denk hierbij aan databeveiliging en het creëren van veiligheidsbewustzijn bij de medewerkers.
De kunst is om continu een goede balans tussen veiligheid, kosten, werkbaarheid en beleving voor de eindgebruiker te vinden. We helpen je om de juiste security keuzes te maken.
Onze collega’s van managed services houden uiteraard de IT-systemen van onze klanten up-to-date en zorgen voor proactieve monitoring.
Het Advantive Security Center is 24/7 operationeel, waardoor wij ook buiten kantooruren kunnen acteren zodra ransomware gedetecteerd wordt. Hierdoor kunnen we snel mitigerende maatregelen nemen in het geval van een aanval.
De risico’s voor een organisatie om getroffen door een ransomware aanval worden steeds groter, omdat het verdienmodel voor hackers loont. Het is moeilijk helemaal uit te sluiten dat een organisatie slachtoffer wordt van een ransomware aanval. Echter, het is wel mogelijk om de risico’s van een ransomware aanval te verminderen.
Zorg voor:
Wil je meer weten over de mogelijkheden om ransomware te voorkomen? Laat het ons weten! We delen graag onze ervaringen en adviezen met je.
Solution Sales Productivity & Security
+31 88 20 20 520 +31 6 342 541 15 tim.donlou@advantive.nl
Een modern datacenter in Microsoft Azure biedt je maximale flexibiliteit, schaalbaarheid en veiligheid.
Maak kennis met de innovatiekracht en toegevoegde waarde van de Microsoft cloud voor jouw organisatie.
De moderne werkplek faciliteert prettig en veilig (samen)werken vanuit huis, op kantoor en onderweg.
