Negen tips om ransomware-aanvallen te voorkomen

De wereld­wijde overstap op thuis­werken heeft extra cyberrisico’s met zich meege­bracht waarvan cyber­cri­mi­nelen misbruik kunnen maken, en zij grijpen die kans met twee handen aan. Zo blijkt uit het Fortinet Global Threat Landscape Report dat maar liefst 17.200 apparaten eind 2020 dagelijks melding maakten van een ransom­ware-aanval. Ransom­ware-aanvallen zijn overal, ongeacht de grootte van het bedrijf.

Ransom­ware is een specifiek type malware waarbij cyber­cri­mi­nelen data gijzelen in ruil voor losgeld en zo enorme schade toebrengen. Zulke geavan­ceerde ransom­ware-aanvallen hebben slechts enkele seconden nodig om je systemen en infra­struc­tuur te bescha­digen. Daarom is het van cruciaal belang dat je orga­ni­satie voor­be­reid is. Gezien de impact van die geavan­ceerde aanvallen moeten bevei­li­gings­pro­fes­si­o­nals hun systemen, netwerken en software op nieuwe manieren bevei­ligen. Neem hiervoor negen tips in acht.

1. Beveiliging op basis van een e‑mailgateway en sandboxing

Een veilige oplossing voor e‑mailgateway biedt geavan­ceerde meer­laagse bescher­ming tegen het volledige spectrum van e‑mailbedreigingen terwijl sand­boxing nog een extra bescher­mings­laag biedt. Elk e‑mailbericht dat de e‑mailfilter doorkomt en toch onbekende links, afzenders of types bestanden bevat, wordt in een veilige omgeving (sandbox) uitge­voerd en op scha­de­lijke inhoud geïn­spec­teerd alvorens het je netwerk of mail­server bereikt.

2. Firewalltechnologie: Beveiliging van internetapplicaties

Een web appli­ca­tion firewall (WAF) beschermt inter­netap­pli­ca­ties door het filteren en monitoren van het HTTP-verkeer tussen webser­vices. Dit is een onmisbare bevei­li­gings­com­po­nent, omdat de WAF als eerste verde­di­gings­linie tegen cyber­aan­vallen dient. Orga­ni­sa­ties die nieuwe digitale initi­a­tieven ontplooien breiden daarmee vaak het aanvals­op­per­vlak uit. Nieuwe inter­netap­pli­ca­ties en appli­ca­tion program­ming inter­faces (API’s) kunnen worden bloot­ge­steld aan gevaar­lijk verkeer als gevolg van kwets­baar­heden in webser­vers en server­plug-ins. Een WAF houdt inter­netap­pli­ca­ties en de content waartoe zij toegang zoeken veilig.

3. Uitwisseling van bedreigingsinformatie

Orga­ni­sa­ties hebben praktisch inzetbare realtime bedrei­gings­in­for­matie zoals die van FortiGuard Labs nodig voor het terug­dringen van cyber­be­drei­gingen die onder de radar opereren. Deze bedrei­gings­in­for­matie moet worden uitge­wis­seld tussen de verschil­lende bevei­li­ging­slagen en ‑oplos­singen binnen je omgeving om bij te dragen aan proac­tieve bescherming. 

De bedrei­gings­in­for­matie zou daarnaast moeten worden uitge­wis­seld met externe orga­ni­sa­ties die deel uitmaken van de cyber­se­cu­rity-gemeen­schap. Een snelle uitwis­se­ling van bedrei­gings­in­for­matie is de beste manier om rap op cyber­aan­vallen te reageren en de aanvals­keten te door­breken voordat die zich muteert of naar andere systemen of orga­ni­sa­ties verspreidt.

4. Endpoints beschermen

Endpoints moeten op een passende wijze worden beschermd met een endpoint discovery & response (EDR)-oplossing en andere tech­no­lo­gieën. Tradi­ti­o­nele anti­vi­rus­tech­no­lo­gieën kunnen de snelheid waarmee de geavan­ceerde aanvallen te werk gaan simpelweg niet bijbenen. Ze genereren bovendien bergen aan meldingen die reeds over­werkte security-teams niet tijdig kunnen verwerken. Legacy EDR-oplos­singen kunnen daarnaast gepaard gaan met hogere bevei­li­gings­kosten en netwerk­pro­cessen vertragen. 

Geavan­ceerde EDR-oplos­singen bieden daar­en­tegen bescher­ming tegen ransom­ware door het geven van realtime bedrei­gings­in­for­matie, overzicht, analyses, beheer en bescher­ming van endpoints, zowel voor als na een infectie. Deze EDR-oplos­singen kunnen poten­tiële bedrei­gingen meteen detec­teren en onscha­de­lijk maken. 

5. Back-ups en incidentrespons

Je orga­ni­satie zou in staat moeten zijn om back-ups te maken van alle systemen en data en die back-ups buiten het netwerk op te slaan. Deze back-ups moeten ook op tijd en stond worden getest om te waar­borgen dat de gegevens op de juiste manier kunnen worden hersteld. Daarnaast beschikt elke orga­ni­satie best over een inci­den­tres­pons­plan als voor­be­rei­ding op een ransomware-aanval. 

6. Implementatie van zero trust

Het bevei­li­gings­model van zero trust gaat ervan uit dat alles en iedereen toegang tot het netwerk zoekt en dus een poten­tiële bedrei­ging vormt. Met een zero trust-aanpak worden alle gebrui­kers en apparaten die toegang tot het netwerk of een appli­catie zoeken onder­worpen aan een strenge iden­ti­teits­con­trole voordat er al dan niet toegang wordt verleend. Voor deze veri­fi­catie wordt gebruik­ge­maakt van multi­factor authen­ti­ca­tion (MFA). Daarnaast zorgt Network Access Control (NAC) ervoor dat onbe­voegde gebrui­kers en apparaten de toegang tot netwerken worden ontzegd. 

7. Firewalls en netwerksegmentatie

Het belang van netwerk­seg­men­tatie groeit naarmate het gebruik van de cloud toeneemt. Dat geldt in het bijzonder voor hybride en multi-cloudom­ge­vingen. Netwerk­seg­men­tatie houdt in dat orga­ni­sa­ties hun netwerk al naar gelang de bedrijfs­be­hoeften in partities indelen en gebrui­kers toegang tot deze segmenten toekennen op basis van hun rol en vertrou­wens­status. Elk netwerk­ver­zoek wordt geve­ri­fi­eerd aan de hand van de vertrou­wens­status van degene die om toegang vraagt. Dit is een effec­tieve aanpak om te voorkomen dat cyber­be­drei­gingen zich door het netwerk verplaatsen, als ze er al in slagen om het netwerk binnen te komen.

8. Security awareness training en cyberhygiëne

Volgens het 2021 Verizon Data Breach Inves­ti­ga­tions Report is bij 85% van alle data­lekken sprake van mense­lijke inter­actie. Alle mede­wer­kers zouden een gedegen training moeten krijgen in het iden­ti­fi­ceren en melden van verdachte cyber­ac­ti­vi­teit, het volgen van proce­dures voor cyber­hy­giëne en het bevei­ligen van hun persoon­lijke apparaten en thuis­net­werken. De trai­ningen zelf moeten voort­du­rend worden bijge­werkt met infor­matie over nieuwe cyber­be­drei­gingen en beveiligingsprocedures. 

9. Misleidingstechnologie

Hoewel mislei­dings­op­los­singen geen primair onderdeel van een security-strategie vormen, kunnen ze systemen veilig houden als cyber­cri­mi­nelen er onver­hoopt in slagen om al je bevei­li­gings­me­cha­nismen te omzeilen. Mislei­dings­tech­no­logie bootst servers, appli­ca­ties en data na, zodat cyber­cri­mi­nelen de indruk krijgen dat ze toegang hebben gekregen tot bedrijfs­kri­ti­sche IT-activa. Deze aanpak kan helpen met het mini­ma­li­seren van schade en het beschermen van de werke­lijke digitale kroon­ju­welen van je orga­ni­satie. Mislei­dings­tech­no­logie verkort daarnaast de gemid­delde tijd die nodig is voor het detec­teren en verhelpen van cyberbedreigingen.

Kortom, een orga­ni­satie staat niet mach­te­loos tegen een ransom­ware-aanval. Wellicht moeten de nodige zaken opnieuw onder de loep worden genomen, maar er zijn ook tools beschik­baar die gedegen bescher­ming tegen ransom­ware-aanvallen bieden. Neem deze negen aanbe­ve­lingen nog eens rustig door en denk na over wat je anders zou kunnen doen om je orga­ni­satie in de beste positie te brengen om deze signi­fi­cante, dage­lijkse bedrei­ging het hoofd te bieden.