Afpersing is zo oud als de weg naar Rome. Of het nu de Il Mano Nero (methode van afpersen uit het begin van de vorige eeuw) betreft, of de zaak omtrent Holleeder. Afpersing vindt plaats in de schaduw van onze samenleving. Ook in deze schaduwzijde heeft de ‘digitale transformatie’ zich ingezet. Een veel gehoorde kreet in de media is op dit moment dan ook ransomware, oftewel afperssoftware (maar dat klinkt niet zo soepel).
De digitale transformatie zet zich steeds verder door, waardoor ransomware steeds eenvoudiger, en daarmee grootschaliger, beschikbaar komt. De recente WannaCry aanval is hier een triest voorbeeld van.
Na eerder zelf getroffen te zijn, wil het kabinet voor deze vorm van cybercriminaliteit in 2018 dan ook extra geld uittrekken en investeert de nationale politie in allerlei nieuwe teams om betere aangifte en bestrijding te kunnen verzorgen. Steeds meer zorgt ransomware voor behoorlijk wat hoofdbrekens bij menig ceo.
Ransomware
Ransomware ontstaat door kwaadwillende software (malware) op een werkplek die alle bestanden middels versleuteling onleesbaar maakt. De malware zit veelal verscholen in email berichten (spam) of wordt gedownload vanuit kwaadwillende websites. Logischerwijs versleutelt de malware allereerst alle bestanden waar ze schrijfrechten heeft, maar zal vervolgens proberen meer rechten te verkrijgen. Hierdoor kunnen niet alleen individuen worden getroffen, maar kunnen hele bedrijven of organisaties worden stilgelegd. Pas na betaling van een bepaalde som geld kunnen de bestanden weer worden benaderd. Helaas is het niet altijd zo dat betalen werkt; het schept immers een precedent, waardoor er steeds meer moet worden betaald. Ook dit is niet nieuw ten opzichte van de traditionele afperszaken.
Securitymaatregelen
Virusscanner
De bescherming tegen malware wordt vaak nog op een traditionele manier uitgevoerd, door gebruik te maken van een centrale gateway en lokale virusscanner. De gateway (Next generation firewalls, intrusion detection/prevention e.d.) zorgt voor het scannen van de inkomende bestanden en de virusscanner test tegen een aantal vooraf bekende virusafdrukken (signatures). Met de huidige mobiliteit van de medewerker biedt de gateway echter onvoldoende mogelijkheden en de virusscanner loopt letterlijk altijd achter de feiten aan. Dat ransomware voor hoofdbrekens zorgt, is dan ook volledig terecht.
Awereness
Een belangrijk onderdeel van een goede aanpak tegen ransomware is het creëren van awareness, zodat mensen malware zoveel als mogelijk herkennen en weten wat ze moeten doen. Ook de traditionele maatregelen, zoals segmentering en antivirus, moeten we niet overboord gooien. Een veelgehoorde maatregel is het toepassen van ‘white listing’. Hierdoor kunnen alleen toegestane applicaties vanaf de werkplek worden opgestart. Helaas heeft hierdoor niet alleen malware nauwelijks kans, maar wordt ook de helpdesk overspoeld met ontevreden medewerkers die meer rechten nodig hebben om applicaties op te starten. Uiteindelijk is white listing dan ook zelden succesvol.
Priviledged accounts
Een ander probleem is dat specifieke gebruikers, zoals ontwikkelaars, meer rechten nodig hebben om bepaalde applicaties te installeren of code te testen en daardoor een grotere kwetsbaarheid vormen voor ransomware. Het goed beheren van deze privileged accounts is een belangrijke stap tegen de verspreiding van deze malware.
Grey listing
Inmiddels is er technologie beschikbaar om de ‘end point’ goed te beschermen door onbekende applicaties, in een veilige omgeving, vanaf het end point te testen op malware. Dit noemen we ‘grey listing’ en biedt de gewenste bescherming zonder de helpdesk en/of medewerker onnodig te belasten.
Tijdelijke rechten
Daarnaast kunnen tijdelijke rechten vanuit een workflow worden verkregen, waardoor bijvoorbeeld ontwikkelaars gebruik kunnen maken van de hogere rechten, zonder onnodig hoog risico te lopen op malwarebesmettingen.
Integrale aanpak
Essentie is dat we komen tot een integrale aanpak om de risico’s van ransomware te mitigeren, waarbij de mens (Awareness), het proces (aanvullende rechten aanvragen) en de techniek (bescherming tegen kwaadwillende code) samen optrekken.
Deze mogelijkheden om hier iets aan te doen komen dan ook niets te vroeg, want als de digitale transformatie van deze schaduwzijde zich verder voortzet, zullen er zich veel meer Ransom-as-a-Service momenten voordoen.
Het doel moet zijn dat we niet wakker liggen dat onze continuïteit in gevaar wordt gebracht door een Russische hacker die Il Mano Nero nieuw leven wil inblazen.
