Ransomware is een frontale aanval op uw business-continuity. Het doel is immers om uw bedrijf compleet lam te leggen! Nu ransomware-aanvallen steeds ‘gewoner’ worden, is er dus alle reden om ze op te nemen in uw risk-management. Met een gedegen draaiboek. In deze blog kijken we wat daarvoor nodig is.
Routine
Een crisis kan door van alles ontstaan. Een brand, een overstroming, grootschalige stroomuitval… Waarschijnlijk heeft uw bedrijf daar draaiboeken voor. U weet dus wat er moet gebeuren als – oneerbiedig gezegd – de pleuris uitbreekt. Welke noodvoorzieningen er zijn, wat de medewerkers moeten doen, wie de leiding heeft over het crisismanagement.
En het blijft niet bij draaiboeken. In de meeste bedrijven wordt er ook geregeld geoefend. Als het brandalarm afgaat, grijpen de medewerkers hun spullen en verlaten ze het pand via de dichtstbijzijnde uitgang. Dat is routine, en zo hoort het ook.
Raar
Heel anders ligt dat bij ransomware-aanvallen. Er zijn maar bitter weinig bedrijven die daar een draaiboek voor hebben ontwikkeld.
Raar is dat. Want de gevolgen kunnen minstens zo ernstig zijn als van de bovengenoemde gevaren. Veel bedrijven hebben namelijk weken nodig om te herstellen van ransomware. Ondertussen ligt de productie stil en moet er dure expertise worden ingehuurd om de schade te herstellen. Om maar te zwijgen over losgeld voor de criminelen.
Misschien denken veel CEO’s dat ransomware hun nooit zal overkomen. Of ze willen de gevolgen niet onder ogen zien. Maar de praktijk is tegenwoordig dat haast elk bedrijf er vroeg of laat mee te maken krijgt. En – gelukkig – dat zo’n aanval met adequaat risk-management goed kan worden tegengegaan.
Spanningen
Net als een brand moet je een ransomware-aanval in de kiem smoren. Dat doe je onder andere door bedreigde systemen te isoleren van de rest van het netwerk en van internet.
Dat klinkt gemakkelijker dan het is. Want hoe gaat het in de praktijk? Een of meer medewerkers merken dat er iets raars gaande is. Ze kunnen bijvoorbeeld niet meer bij bepaalde bestanden. Ze moeten dan weten dat ze dit snel moeten melden, en bij wie.
Die instantie moet vervolgens in staat zijn om de situatie goed in te schatten. Ook als die situatie snel verandert. En ze moet de bevoegdheid hebben om bedreigde systemen af te sluiten van het net. Zelfs als dat betekent dat hele afdelingen worden stilgelegd. Nog voordat de aanval daar merkbaar is.
U kunt zich voorstellen dat dit behoorlijke spanningen oproept. Een brand is snel waar te nemen, maar ransomware merk je pas op als het te laat is. Een afdelingsmanager die bezig is om targets te halen, zal allicht gaan protesteren: weten jullie wel zeker dat het ransomware is? Is het geen fout van IT? Ondertussen blijft de ransomware zich verspreiden.
Oefenen
Dat soort situaties voorkomt u met protocollen en draaiboeken. Goede communicatie moet misverstanden voorkomen. En er mag geen twijfel bestaan over wie op dat moment welke bevoegdheden heeft.
Dat lukt echter alleen als erop geoefend is. Allereerst op managementniveau! Crisissimulaties kunnen buitengewoon leerzaam zijn: mensen moeten plotseling gaan samenwerken vanuit andere verhoudingen. Sommigen vertonen onverwachte daadkracht. Anderen gaan twijfelen over de bevoegdheden die ze opeens in de schoot geworpen krijgen. Die twijfel mag er niet meer zijn als het menens wordt.
Ook op de werkvloer moeten mensen getraind worden om adequaat te reageren in de strijd tegen ransomware. Bijvoorbeeld door verdachte mailtjes en websites tijdig te herkennen en te melden. Net als de crisissimulaties zal die training maatwerk vragen, aangepast aan het opleidingsniveau en de inhoud van het werk.
Detectie en response
Veel hangt af van het incident- en crisismanagement. Dat zijn de mensen die het gevaar moeten herkennen, afremmen, isoleren en stoppen. Met de juiste tools – bijvoorbeeld voor monitoring van het netwerk – kunnen ze dat veel sneller.
Hun belangrijkste wapen is afsluiting van uw bedrijfsnetwerk. Liefst alleen bedreigde delen. Dat laatste is mogelijk wanneer het netwerk is opgedeeld in logische segmenten. Bewakingscamera’s hebben bijvoorbeeld hun eigen segment, evenals de financiële afdeling.
Hulptroepen
Voor doorsnee-IT’ers is dit geen gewone situatie. Ransomware verandert ook gestaag, evenals de tactieken van de criminelen. Al snel komt dus het moment waarop er hulptroepen moeten worden ingeschakeld.
Die komen van een Computer Emergency Response Team. Zo’n CERT is 24/7 bereikbaar, al zal het – afhankelijk van uw contract – enkele uren duren voor het daadwerkelijk kan gaan helpen. Ondertussen moeten uw mensen de aanval dus zo veel mogelijk vertragen.
Preventie
U ziet het: een ransomware-aanval afslaan is niet simpel. Bovendien kunnen de gevolgen zeer ernstig zijn. De logische conclusie is dat u de kans op een aanval moet verkleinen. Goed risk-management omvat daarom ook preventie.
Die begint bij de laptops van uw medewerkers. Software voor Endpoint Detection and Response (EDR) moet malware zo vroegtijdig mogelijk stoppen.
Verder goed autorisatiemanagement. Dit betekent dat mensen èn machines niet meer rechten hebben op het netwerk dan nodig is voor hun takenpakket. Een verkoopmedewerker hoeft niet bij de financiële systemen te kunnen komen. En een printer mag geen koppeling hebben met een fileserver. Zo beperkt u de schade wanneer er bijvoorbeeld een wachtwoord is gestolen.
Een ander krachtig middel is multifactor-authenticatie (MFA). Gebruikersnaam en wachtwoord kunnen gemakkelijk uitlekken. Daarom moet u iets extra’s verplicht stellen om in te loggen: bij voorkeur een authenticator-app op de smartphones van uw medewerkers. Dan moet elke inlogger dus iets weten én iets hebben, namelijk die smartphone.
Let op: elk systeem is zo veilig als de implementatie. Er zijn MFA-producten die mensen onder sommige omstandigheden laten inloggen zonder de extra factor. Dat biedt in de praktijk weinig zekerheid en dus veel risico.
Back-up
De laatste hoop is altijd de back-up. Het is dus zaak dat u zorgt dat die hoop niet vergeefs is! Want het is geregeld gebeurd dat criminelen niet alleen de werkbestanden, maar ook de back-up hadden versleuteld. Of zelfs gewist.
Moderne back-upsystemen maken dat gelukkig onmogelijk, net als het schuifje op de oude diskettes. Zelfs het handmatig weggooien van een oude back-up wordt beveiligd: het moet door meerdere partijen worden goedgekeurd en dan zit er vervolgens een wachttijd van 24 uur tussen.
Maar een goed product moet aan méér eisen voldoen. Berucht is de ransomware-aanval op Maersk: de backup was intact, maar zo onoverzichtelijk dat het weken duurde voor de rederij met hulp van externe experts alles weer op orde had. Met een modern product kan dat in uren of minuten.
Conclusie
Het zal duidelijk zijn dat er veel komt kijken bij de verdediging tegen ransomware. Het is een uitdaging voor uw IT’ers, afdelingsmanagers en andere medewerkers. En ook voor u.
Maar zonder een goed draaiboek wordt de leercurve bij een echte aanval wel heel steil.
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.