Een sterk fort heeft geen zwakke plekken. Geldt dat ook voor uw verdediging tegen ransomware? In deze blog kijken we wat het OSI-model ons daarover vertelt.
Als een juweel ligt Naarden-Vesting in het landschap. Je herkent het op Google Maps lang voordat je inzoomt op de grachten, wallen en bastions.
De vorm van de vesting is echter gebaseerd op harde wiskunde. Niets werd aan het toeval overgelaten. Dode hoeken waren net zo taboe als zwakke plekken. Overal moest de vijand gestopt en beschoten kunnen worden! En als hij toch ergens doorbrak, stond hij meteen voor een nieuwe verdedigingslinie.
Maar ook de sterkste vesting is niets zonder waakzame verdedigers. Alle poorten werden continu bewaakt door manschappen van de schutterij. Ook ’s nachts hielden ze de wacht, op de straten, wallen en bolwerken. Bij elke dreiging werd de rest van de burgerij te wapen geroepen.
Is uw verdediging tegen ransomware-aanvallers net zo systematisch opgezet? Heeft u meerdere verdedigingslinies? Van hoever ziet u aanvallers aankomen? En hoe reageert u dan? Om die vragen te beantwoorden, heeft u eerst een systeem nodig om de structuur van uw cybersecurity in kaart te brengen.
Frameworks
Zulke systemen bestaan inderdaad. Bijvoorbeeld het Cybersecurity Framework dat ontwikkeld werd door het Amerikaanse standaardeninstituut NIST. Hierin staat beschreven wat u kunt doen om uw organisatie te verdedigen tegen cybercrime. Het NIST onderscheidt daarbij vijf activiteiten: identificeren, beschermen, detecteren, reageren en herstellen.
De Cyber Kill Chain van de Amerikaanse wapenfabrikant Lockheed Martin bekijkt het van de andere kant. Die beschrijft juist de acties van de cybercrimineel. In zeven stappen: van verkenning tot en met het daadwerkelijke stelen of beschadigen van data.
In deze blog draaien we de analyse echter om: we gaan niet uit van de schutterij of de vijandelijke troepen, maar van de stad die beschermd moet worden. Daartoe volgen we het welbekende OSI-model om te zien waar in de datastroom de kwetsbaarheden voor ransomware zitten. En welke lagen beschermd kunnen worden door de diverse verdedigingsmiddelen.
Laag 1-2: bits en frames
We beginnen onderaan. Op het eerste gezicht is de techniek hier nog te generiek om dreigingen te kunnen onderscheiden. Maar een goede firewall zou op laag 2 toch kunnen zien dat er vreemde dingen gebeuren tussen twee switches. Dingen die suggereren dat een hacker op zoek is naar zwakke plekken waarlangs hij binnen kan komen om ransomware te planten.
Als u niet beschikt over zo’n detectiesysteem en er onverhoopt een ransomware-aanval gaande is, valt daar op laag 2 actie tegen te ondernemen. Dit is immers de laag waar u besmette netwerksegmenten of systemen in quarantaine kunt zetten. Dus ook een goed georganiseerde netwerktoegangscontrole is belangrijk in de strijd tegen ransomware.
Laag 3 en 4: pakketten en segmenten
Dit is het traditionele domein van de firewall. Die houdt bijvoorbeeld verkeer tegen van sites die nog met het oude http werken. Zo wordt de kans verkleind dat medewerkers zich door ransomware-criminelen naar nepsites laten lokken.
Ook op deze lagen kan het netwerkverkeer worden geanalyseerd op verdachte patronen: niet alleen van hackers maar ook van malware. Bijvoorbeeld een besmet systeem dat contact zoekt met de server van een aanvaller. Network Security Monitoring is dus geboden.
Verdacht verkeer van buitenaf kunt u ook waarnemen met een Intrusion Detection System (IDS): dat vergelijkt netwerkverkeer op laag 3 en 4 met bekende patronen van cyberattacks. Een Intrusion Prevention System (IPS) kan die eveneens herkennen, maar gaat een stap verder, door gevaarlijke pakketjes tegen te houden. Waar de firewall fungeert als de poort, controleert en blokkeert het IDS/IPS de zaken die u niet binnen de stadsmuren wilt hebben.
Laag 3 en 4 zijn tevens het niveau waar DDoS-aanvallen plaatsvinden. Die gaan steeds vaker samen met ransomware. De bedoeling van de criminelen is dan om u de verdediging en het herstel zo moeilijk mogelijk te maken. Uw firewall moet dus om kunnen gaan met DDoS.
Laag 5, 6 en 7: data
Een moderne firewall kan echter veel méér. Hij werkt ook op de hoogste lagen, door bijvoorbeeld de inhoud van het verkeer te inspecteren. Dat is bij ransom- en andere malware van essentieel belang, want net als gewone software doen ze hun werk op de drie bovenste OSI-lagen. Zorg dus dat uw firewall beschikt over Advanced Malware Protection.
Het andere essentiële middel dat u op dit niveau beschermt tegen ransomware is Endpoint Detection and Response (EDR). Deze software gaat verder dan de traditionele antivirus: hij stopt niet alleen de usual suspects, maar kan ook verdachte patronen herkennen.
Met sandboxing kunt u verdachte data of URL’s snel en veilig checken. De zogenaamde zero-days – kwetsbaarheden die nog niet publiekelijk bekend zijn of door de apparatuur worden herkend – kunnen op die manier alsnog weggefilterd worden.
En ook op de hoogste lagen kunt u ransomware preventief bestrijden. De ellende begint immers vaak met een phishing-mailtje of een link naar een foute website. Goede E-mail Security verwijdert phishing-links, een Web Proxy houdt besmette bestanden weg en een Web Application Firewall verhindert dat malware wordt gedownload naar uw webserver.
Conclusie
U ziet het: zowel de aanval als de verdediging kan zich op veel lagen van het OSI-model afspelen. Het zal ook duidelijk zijn dat u niet kunt zonder een goede, moderne firewall kunt. Uiteraard wel eentje die ook goed en zorgvuldig is geconfigureerd.
In deze blog zijn we uitgegaan van het OSI-model, maar dat geeft natuurlijk een beperkt beeld. De datastroom is slechts één aspect van cybersecurity. Een goede consultant kan aan de hand van diverse frameworks samen met u de beste verdedigingsstrategie bepalen voor uw organisatie. Zodat ook uw vesting geen dode hoeken of zwakke plekken meer kent!