Een tienpuntenplan om ransomware-aanvallen tegen te gaan

Blijf op de hoogte van het veranderende dreigingslandschap

Aanvallers zullen steeds nieuwe aanvalstechnieken blijven toepassen. Daarom is het belangrijk om je securityteam en belangrijke leidinggevenden beter op de hoogte te houden van de huidige stand van zaken met betrekking tot ransomware-bedreigingen, de potentiële impact ervan op het bedrijf en de stappen die de organisatie kan nemen om aanvallen te voorkomen.

Analyseer hoe het verliezen van kritieke data impact heeft op je organisatie

Om de impact van een ransomware-aanval te begrijpen, moet je eerst volledig inzicht krijgen in de bedrijfsmiddelen en begrijpen waar kritieke data zich bevinden, hoe deze toegankelijk zijn en hoe ze in de organisatie worden gebruikt. Breng de data in kaart en zorg ervoor dat vertrouwelijke informatie alleen toegankelijk is wanneer dit strikt noodzakelijk is. Voer vervolgens een bedrijfsimpactanalyse uit om erachter te komen wat de risico’s zijn wanneer je geen toegang hebt tot die data.

Interne en externe paraatheid beoordelen

Er is een verhoogd risico op een ernstige ransomware-aanval wanneer het securitybeleid niet constant beoordeeld wordt. Evalueer daarom de belangrijkste risico’s op basis van de unieke combinatie van mensen, processen, technologie en bestuursmogelijkheden. Vergeet niet eventuele risico’s van derden te identificeren. Op basis hiervan kun je een routekaart met prioriteiten voor risicobeperking opstellen, waarin de vereisten voor het bereiken van de beveiligingsdoelstellingen van de organisatie in lijn met de strategische bedrijfsdoelstellingen zijn vastgelegd.

Herzie en test het Incident Response Plan

Test en actualiseer het Incident Response Plan regelmatig en gebruik daarbij de nieuwste informatie over ransomware-dreigingen voor testsimulaties. Door te testen meet je hoe er gereageerd wordt op een ransomware-aanval, evalueer je de verdediging, identificeer je gaten in de security en evalueer je het vermogen om de tactieken, technieken en procedures die worden gebruikt door veel voorkomende ransomware-groepen succesvol af te weren.

Betrek de belangrijkste stakeholders bij de tests voor hun buy-in. Door vooraf moeilijke gesprekken te voeren, bespaar je kostbare tijd en zorg je ervoor dat organisaties zich concentreren op wat bij een ransomware-aanval het belangrijkst is: het handhaven van kritieke activiteiten en het herstellen naar een normale toestand.

Zero Trust implementeren

Bij een juiste toepassing vereenvoudigt en verenigt Zero Trust als strategische benadering van cybersecurity het risicobeheer door van beveiliging één use case te maken voor alle gebruikers, apparaten, verbindingsbronnen of toegangsmethoden. Ransomware-risico’s worden aangepakt door de manier waarop Zero Trust impliciet vertrouwen elimineert en continu elke fase van digitale interactie valideert.

Identificeer openbare bedrijfsmiddelen en blokkeer veelvoorkomende ransomware-aanvallen

Implementeer een registratiesysteem om elk bedrijfsmiddel, systeem en dienst te traceren dat zich op het openbare internet bevindt. Dit betekent ook dat je moet kijken naar de cloud service providers en Internet Service Providers (ISP) waar je gebruik van maakt. Daarbij is het belangrijk om deze bedrijfsmiddelen uitgebreid en regelmatig te onderzoeken en veel voorkomende, vaak gemisconfigureerde ports en protocollen op een rijtje te zetten. Remote Desktop Protocol (RDP) is bijvoorbeeld verantwoordelijk voor het merendeel van de ransomware-aanvallen. Aanvallers kunnen RDP gemakkelijk ontdekken, terwijl door het vele thuiswerken het gebruik van RDP aanzienlijk is toegenomen.

Bekende en onbekende bedreigingen voorkomen

Probeer het onbekende in het bekende te veranderen en implementeer nieuwe beschermingstechnieken sneller dan aanvallers kunnen reageren. Om bekende bedreigingen te voorkomen, moet je voorkomen dat bekende exploits, malware en command-and-control-verkeer het netwerk binnenkomen. Het blokkeren ervan verhoogt de kosten van een ransomware-aanval voldoende om aanvallers af te schrikken.

Richt je ook op het identificeren en blokkeren van onbekende bedreigingen, aangezien meer geavanceerde aanvallers nieuwe zero-day exploits blijven gebruiken om nieuwe varianten van ransomware te ontwikkelen.

Automatiseer waar mogelijk

Wanneer je wordt gewaarschuwd voor een ransomware-aanval, kost het vele uren handmatig werk om verschillende informatiebronnen uit verschillende tools samen te voegen. Implementeer tools die de geautomatiseerde remediëring van ransomware ondersteunen met behulp van vooraf gemaakte playbooks voor respons en herstel. SOAR-producten (Security Orchestration, Automation and Response) automatiseren het hele proces, zodat responsteams ransomware snel kunnen uitschakelen, dataverlies en financiële gevolgen tot een minimum kunnen beperken.

Cloud workloads beveiligen

Om cloud workloads te beveiligen tegen ransomware, moet je ervoor zorgen dat alle cloud infrastructuur, Kubernetes en container images veilig zijn geconfigureerd en stappen zijn ondernomen om kwetsbaarheden te minimaliseren, inclusief beveiligingsfuncties die normaalgesproken zijn uitgeschakeld. Controleer open-source pakketten en libraries op kwetsbaarheden die kunnen worden gepatcht. Identificeer en verwijder te tolerante of ongebruikte IAM-rechten.

Verkort de reactietijd met retainers voor externe deskundige ondersteuning

Het is essentieel om snel actie te ondernemen zodra een potentiële inbreuk is vastgesteld. Met een IR retainer zijn incident response experts een verlengstuk van jouw team, klaar om in te grijpen wanneer je hulp nodig hebt.

Over de auteur: Mark van Leeuwen is Country Director Netherlands bij Palo Alto Networks.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.