Ransomware-aanvallen, waarbij hackers complete servers en systemen gegijzeld houden, nemen in aantal toe – en het lijkt erop dat organisaties daar niet goed op reageren. Ze houden vast aan het idee dat een aanval te voorkomen is – en áls de aanval alsnog komt, staan ze aan de grond genageld. Beter regeren zij op ransomware zoals acteur Liam Neeson dat doet in de film Taken: ‘I will find you and I will kill you.’
In Taken speelt Neeson een voormalig CIA-agent met een ‘specifieke set skills’ waarmee hij boeven opspoort en uitschakelt. Als een stel louche Europeanen zijn backpackende dochter kidnappen twijfelt Neesons karakter geen seconde: hij springt op het vliegtuig en elimineert de dreiging.
Zó pak je ransomware idealiter ook aan. Je kunt je dochter (de servers) met de juiste voorbereiding gewoon op reis laten gaan naar Europa (laten werken). Maar áls er iets gebeurt moet je alert zijn en de dreiging waarnemen, opzoeken, uitschakelen en daarna herstellen.
Gijzeling
Neeson kan in Taken amper om de gijzeling heen: hij heeft zijn dochter aan de telefoon op het moment dat ze meegenomen wordt. Dat is een duidelijke hint.
De sporen die digitale criminelen achterlaten zijn subtieler. Toch zijn er duidelijke indicatoren voor pogingen van hackers om in je systemen binnen te dringen. Er verschijnen dan files met nieuwe, gevaarlijke extensies (.cryp) op je systeem, namen van files veranderen of files verdwijnen vaker dan normaal (en op vreemde plekken). Ook de gebruikte processen in Windows kunnen op een poging om ransomware in installeren wijzen: als het systeem op de achtergrond vaak herstart, of het aantal verbindingen tussen systemen toe neemt, is dat vaak een slecht teken.
Organisaties kunnen software installeren die 24/7 als een waakhond door de systemen kan lopen. Die software begint te blaffen als hij één van deze indicatoren waarneemt, of als hij andere verdachte situaties ziet.
Isoleren
Als organisatie ben je blij als je een ransomware-infectie tot één laptop kunt beperken. De kosten van een geslaagde ransomware-aanval variëren, met voorbeelden van betalingen tot wel elf miljoen dollar, maar zullen altijd véél duurder zijn.
Als je beveiligingssoftware verdacht gedrag (of een geslaagde aanval) op één endpoint waarneemt, moet hij het probleem meteen isoleren. Geslaagde pass the hash-aanvallen, waarbij hackers erin slagen het wachtwoord van een systeemadministrator te achterhalen, verspreiden zich vaak snel over een netwerk. Ze vinden vaak buiten kantooruren plaats, waardoor de bescherming door software gedaan zal moeten worden. Die heeft vaak maar één keuze, maar is relatief gemakkelijk: isoleer het incident door het geïnfecteerde apparaat volledig uit het systeem te verwijderen. Dit kan zelfs op een manier waarop engineers van je bedrijf wél in het apparaat kunnen om de aanval te onderzoeken en bewijslast te verzamelen.
In Taken doet Neeson dat óók, door het telefoontje van zijn dochter naar Albanië te herleiden en het probleem uiteindelijk op een boot, compleet geïsoleerd van het vaste land en autoriteiten, te isoleren. Spoiler: daar eindigt de gijzeling, en het loopt voor Neeson en zijn dochter goed af.
Uitschakelen
Het isoleren van het gevaar is niet genoeg. Want ook die ene laptop houd je het liefst intact: ook dáár kunnen essentiële files op staan. Bij Neesons acties om de boeven te verslaan kwamen veel pistolen en karate kijken. Securitysoftware werkt discreter, iets minder spectaculair, maar minstens zo effectief.
Naast het isoleren van de dreiging op een apparaat is het terugzetten van de bios-klok één van de belangrijkste dingen die securitysoftware kan doen. Door de klok terug te draaien kan de verlooptermijn van de ransomwaresoftware vaak óók worden verschoven. Verder kan de software achterhalen wanneer de aanval plaatsvond en als tijdmachine fungeren: hij zet de instellingen van de computer terug naar die van vóór de aanval, zodat het is alsof die nooit heeft plaatsgevonden.
Herstel
Taken lijkt als losstaande film goed af te lopen, met een zangcarrière die lonkt voor Neesons dochter. Het bestaan van Taken 2 verraadt echter dat het geluk voor haar niet eeuwig duurt. Herstel van een ransomware-aanval komt in de vorm van een flashback, met een reis terug in de tijd naar de laatste succesvolle backup van vóór de aanval.
Met een goed securityplatform kies je ervoor je systemen regelmatig te backuppen, en dat kan op verschillende niveaus: van de individuele laptop tot de allesoverkoepelende cloud-omgeving. De omvang van de aanval bepaalt volgens hoe ver je terug moet (welke back up je pakt) én hoeveel apparaten en systemen je terug moet zetten. Na het terugzetten naar de juiste instellingen is de ransomware-aanval, net als de cultuurtrip naar Europa voor Neesons dochter, niets meer of minder dan een hele nare herinnering.
(Auteur Hans ten Hove is sales director Nothern Europe van Datto.)