Zero trust-strategie is essentieel voor bestrijding ransomware

Ransomware is een lucratieve business voor cybercriminelen en een ware plaag voor organisaties. Slachtoffers kunnen zich de downtime en productiviteitsschade als gevolg ervan niet veroorloven, en vaak hebben ze simpelweg geen geld om het losgeld te betalen. De vraag is daarom: welke stappen kunnen organisaties nemen om de gevolgen tot een minimum te beperken?

Social engineering, phishing en gevaarlijke e-mailkoppelingen zijn de belangrijkste middelen die criminele organisaties gebruiken om hun malware te implementeren. In het Verizon 2021 Data Breach Investigation Report wordt phishing zelfs genoemd als de hoofdoorzaak van 36 procent van alle inbreuken. Nadat gebruikers op een link hebben geklikt, worden ze naar een website geleid die hun inloggegevens probeert te achterhalen en vervolgens mogelijk een kwaadaardig exploit-script op hun mobiele apparaat plaatst, installeert en uitvoert, of binnen het RAM-geheugen dat wordt gebruikt door zogeheten bestandsloze malware. Naarmate malware verder in een onderneming infiltreert door privilege escalation, kan het controle krijgen over gevoeligere bestanden en de meest kritieke infrastructuur, wat kan leiden tot kostbare incidenten als de hack van het oliepijpleidingbedrijf Colonial Pipeline in april dit jaar.

Noodzaak van patching

Een ander veelvoorkomende toegangspunt tot bedrijfsinfrastructuren ongepatchte kwetsbaarheden in software. Software up-to-date houden is een vaak vergeten onderdeel van cybersecurity, deels vanwege de benodigde middelen om elke kwetsbaarheid handmatig te patchen. Door deze kwetsbaarheden niet te patchen worden organisaties niet beschermd tegen kwaadwillende actoren van cyberbedreigingen die bekende deze vectoren misbruiken in te breken op de infrastructuur via de ermee verbonden endpoints. Dit wordt ook wel een Advanced Persisent Threat (APT) genoemd. Deze worden vaak niet ontdekt en sluimeren binnen het netwerk van een slachtofferbedrijf voordat ze toeslaan.

Preventieve maatregelen

Eindgebruikers zijn nog vaak de zwakste schakel binnen cybersecurity. Door een meerlaagse zero trust-strategie toe te passen, neem je de verantwoordelijkheid weg bij de eindgebruikers en IT-teams door een ‘never-trust, always verify’-benadering van beveiliging te leveren.

In een zero trust model is het volledig uitbannen van wachtwoorden de meest effectieve methode om gebruikersgegevens te controleren. Lukt dat niet, dan is het noodzakelijk te investeren in multifactorauthenticatie (MFA), een methode die onder andere gebruikmaakt van biometrie. Door een fysiek kenmerk van een gebruiker aan het toegangsbeheerproces te koppelen, kan je garanderen dat de gebruiker is wie hij zegt dat hij is.  

Als onderdeel van een meerlaagse zero trust-strategie moeten organisaties ook de apparaathygiëne verbeteren aan de hand van patch- en vulnerability-management.
Met Hyper automation-technologieën zoals deep learning, supervised learning en unsupervised learning, kunnen IT-teams helpen om in realtime te monitoren wat er gepatcht gaat worden, op basis van informatie die wordt verzameld uit diverse online bronnen.  

Door patchbeheer en privilegebeheer in één oplossing te combineren, kunnen apparaten en applicaties bovendien via een cloudcomponent worden gepatcht wanneer ze zich buiten het bedrijfsnetwerk bevinden. Hierdoor behouden IT-afdelingen de controle over het proces.

Hyper automation kan er daarnaast voor zorgen dat endpoints, edge-apparaten en gegevens worden gedetecteerd, beheerd, beveiligd en onderhouden. Tot slot moeten organisaties deze maatregelen voor apparaathygiëne en de beveiliging van gebruikersidentiteiten koppelen aan een effectieve detectie- en responsoplossing om succesvol bedreigingen te elimineren.

Werknemers in de frontlinie 

Opleiding speelt ook een belangrijke rol bij het voorkomen van inbreuken, vooral met betrekking tot phishing via e-mail. In het Verizon-rapport wordt de mens genoemd als een belangrijke factor in 85 procent van alle aanvallen. Hoewel e-mail gateways en soortgelijke oplossingen veel phishing e-mails aanmerken als spam, kan een onwetende werknemer nog steeds op een link klikken en zijn inloggegevens in gevaar brengen. Door trainingssessies aan te bieden aan werknemers kunnen zij leren dit soort kwaadaardige e-mails te herkennen.

Voorlichting geven is één manier, maar wellicht is dat niet de meest aansprekende wijze. Het versturen van nep phishing-campagnes naar het eigen personeel is bijvoorbeeld heel effectief om de cyberweerbaarheid van werknemers te testen. IT-teams kunnen het personeel bijvoorbeeld in diezelfde periode voorlichten, wanneer de kans het grootst is dat ze niet op hun hoede zijn. Als een medewerker vervolgens op een phishing-link klikt, wordt hij direct doorgestuurd naar een pagina die uitlegt wat hij fout heeft gedaan en welke signalen hij mogelijk heeft gemist. Wanneer werknemers alert zijn op dit soort e-mails van hun eigen IT-teams, zullen die waakzaamheid hopelijk ook hebben als het er echt toe doet.

Wel of niet betalen?

Losgeld betalen voor je data garandeert nog niet dat je bestanden ook daadwerkelijk worden hersteld of dat de malware uit de bedrijfssystemen worden verwijderd. Om die reden zijn cybersecurity-instanties van de overheid, zoals het NCSC (Nationaal Cyber Security Centrum) daar geen voorstander van. Het betalen van losgeld zal cybercriminelen alleen maar meer aanmoedigen. Bij een goede ransomware-strategie zou verdediging en effectief herstel voorop moeten staan. Hiermee voorkom je uiteindelijk ook dat je überhaupt hoeft te betalen. Uiteraard is het voor een organisatie zonder herstelplan bijzonder lastig om de betaaloptie te negeren.

Naast het opstellen van een herstelplan is het cruciaal om je voor te bereiden op ransomware met veiligheidsoefeningen om te controleren of het plan werkt. Daarbij is het simpelweg terugzetten van databackups op beschadigde systemen geen optie. Je moet dan honderden of duizenden systemen opnieuw van images voorzien voordat je de gegevens weer kan terugzetten. Er is dus een complete blauwdruk nodig voor wat in potentie een enorme operatie kan zijn.

Een zero trust-strategie kijkt naar drie belangrijke elementen: access, user en device. Deze moeten dus bovenaan de agenda staan bij het selecteren van de juiste tools om je te beschermen tegen ransomware. De belangrijkste zwakte in beveiliging is vandaag de dag het verzoek om toegang, en dat is waar zero trust zich op richt. Organisaties kunnen het betalen na een ransomware-aanval voorkomen door hun authenticatiemaatregelen te versterken met hyper automation, security-training en een grondig getest herstelplan. Die elementen bieden organisaties de basis voor de beste beveiligingsstrategie die ze beschermt tegen toekomstige aanvallen.

Door: Glenn Portier, Area Director Sales Benelux & Nordics bij Ivanti