Wat te doen bij ransomware-aanvallen?

Het is de grootste nachtmerrie van elk securityteam binnen organisaties: een ransomware-aanval als WannaCry en Petya. Wat moeten organisaties doen om in te spelen op malwareaanvallen? Balabit, leverancier van oplossingen voor privileged access management (PAM) en log management, zet vijf stappen uiteen.

Balabit ontving tijdens de aanvallen realtime informatie van zijn klanten en andere securityprofessionals. De organisatie hielp risico’s van andere bedrijven te minimaliseren, terwijl het eigen securityteam ook de risico’s onderzocht voor de eigen organisatie. Vanuit deze ervaring reconstrueert Balabit wat er gebeurde om hiervan te leren.

1. Isolatie
   Ontkoppel devices als telefoons en laptops zo snel mogelijk. Krijg je te maken met malware, trek dan direct de stroomkabel eruit.
   
   
2. Verzamel informatie
   Wat is het? Hoe werkt het? Hoe kun je het aanpakken? Zijn er nationale computercalamiteitenteams beschikbaar? Gebruik hiervoor de handigste platformen die informatie verspreiden: Twitter en securityblogs. En natuurlijk ook de informele communicatie tussen bedrijven.
   
   
3. Netwerksegmentatie
   Filter het geïnfecteerde protocol van het netwerkverkeer. Het blijft een lastige beslissing: kies je ervoor om de malwareverspreiding te voorkomen óf houd je de businessprocessen op gang?
   
   
4. Implementeer tegenmaatregelen
   Gebruik indicators of compromise (IOC’s) en update je Intrusion Detection System (IDS) en firewallregels, AV-systemen en zoveel mogelijk Windows-servers en -clients. Ondertussen werken antivirusleveranciers natuurlijk ook aan een passende aanpak tegen de aanval.
   
   
5. Duimen en hopen
   Blijf vooruitkijken naar de toekomst. Wat komt er nu? Misschien een nieuwe variant? Zijn alle systemen gepatcht? Moet de organisatie bang zijn voor de krantenkoppen van morgen? En is er iets wat in de haast misschien over het hoofd is gezien? Ga alle scenario’s af en probeer op die manier een volgend probleem te voorkomen.

Incidentmanagement en realtime information flow

Csaba Krasznay, Security Evangelist bij Balabit: “Ransomware-incidenten als WannaCry en Petya leren ons wederom hoe organisaties moeten handelen: door middel van incidentmanagement en realtime information flow. Wanneer organisaties merken dat ze een ransomware-aanval ondergaan, ondernemen ze vanwege tijdsdruk snelle acties die vaak tot nog meer problemen leiden. Organisaties moeten daarom al het bewijs verzamelen voor forensisch onderzoek, hun logberichten opslaan en hun activiteiten met session management solutions vastleggen. Allemaal uit voorzorg voor het geval het systeem moet worden teruggezet na een menselijke fout.”