Het is een publiek geheim dat diverse prominente organisaties onlangs getroffen werden door aanvallen met ransomware. Deze vorm van malware maakt een snelle opmars en kan potentieel veel slachtoffers maken, met mogelijk rampzalige gevolgen. Zo trof de variant WannaCry op 28 maart nog een belangrijke productiefaciliteit. Een Amerikaanse gemeente kreeg dan weer te maken met de variant SamSam. Gelukkig bleef in beide gevallen de aanval beperkt. Het had allemaal veel erger kunnen uitpakken.
In de meeste gevallen, zoals bij WannaCry, wordt ransomware geactiveerd wanneer eindgebruikers klikken op links in, of bijlagen bij e-mailberichten die deel uitmaken van een phishingcampagne (willekeurige aanvallen) of spearphishingcampagne (gerichte aanvallen). De kwaadaardige code wordt geactiveerd op een kwetsbare endpoint die met een open netwerk is verbonden. Daarop verspreidt de ransomware zich naar andere kwetsbare systemen om daar data te versleutelen.
SamSam daarentegen richt zich voornamelijk op kwetsbare servers die met het internet zijn verbonden. Het voert brute force-aanvallen uit via het rdp (remote desktop protocol) of maakt misbruik van bekende kwetsbaarheden. Aanvallen met SamSam zijn doorgaans een stuk gerichter en grondiger gepland. De variant kwam eind 2015 op en hoewel het aantal aanvallen met deze ransomware aanvankelijk beperkt bleef, bestoken de ontwikkelaars nu diverse organisaties: van zorginstellingen tot onderwijsorganisaties en gemeenten. Sinds begin 2018 werden vier grote steden het slachtoffer van SamSam. Bijna tweeduizend werknemers waren hierdoor gedwongen om terug over te schakelen op pen en papier.
Terug naar de basis
Hoewel SamSam en WannaCry uiteenlopende typen ransomware vertegenwoordigen en gebruikmaken van verschillende aanvalskanalen, hebben ze één ding met elkaar gemeen. Ze richten zich op systemen met bekende kwetsbaarheden die al lang gepatcht hadden moeten zijn.
Wat het probleem er niet makkelijker op maakt, is dat netwerken steeds complexer worden en it-afdelingen hun handen vol hebben aan het uitbreiden van de netwerkmogelijkheden, zoals het inrichten van cloudomgevingen en het ontwikkelen van netwerkapplicaties. Hierdoor zien zij basismaatregelen op het beveiligingsgebied over het hoofd. Volgens een van de it-beheerders die momenteel tegen een SamSam-infectie vecht, ‘is het inmiddels wel duidelijk dat we onze focus niet louter op de fysieke infrastructuur moeten richten, maar ook op de beveiliging van onze digitale infrastructuur … Dit is nieuw terrein voor ons.’
Wat te doen?
Cybercriminelen maken gebruik van een bijzonder effectieve strategie: ze voeren aanvallen uit op alle fronten. Ze ontwikkelen niet alleen nieuwe aanvalstechnieken om misbruik te maken van de voortdurende groei van het aanvalsoppervlak als gevolg van de digitale transformatie, maar maken ook gebruik van de oude en vertrouwde methode om misbruik te maken van bekende kwetsbaarheden die niet zijn verholpen omdat it-afdelingen daar simpelweg niet aan toe kwamen.
De beste verdediging is om een gestructureerd proces te hanteren voor het reduceren van het aantal aanvalskanalen waaraan uw organisatie is blootgesteld. Begin bij de basis:
- Breng alle apparaten in kaart: Het is belangrijk om te allen tijde te weten welke apparaten met uw netwerk zijn verbonden. Dat is uiteraard lastig als uw beveiligingsappliances en access points niet in staat zijn om met elkaar te communiceren.
- Houd zicht op het bedreigingslandschap: Het is belangrijk om u te abonneren op feeds met real-time bedreigingsinformatie. Dat is nodig om uw beveiligingssystemen optimaal af te stemmen op de laatste bedreigingen.
- Let op indicators of compromise (ioc’s): Zodra u alle apparaten in kaart hebt gebracht, kunt u snel zien welke apparaten het meeste risico lopen. U kunt zo ook het versterken van de beveiliging, patchen, isoleren of vervangen van deze it-activa indelen naargelang de prioriteit.
- Automatiseer het patchproces: Vrijwel niemand schept er plezier in om systemen te patchen. Toch blijven kwetsbaarheden het belangrijkste ingangskanaal voor cyberaanvallen en malware, zoals de recente WannaCry-epidemie duidelijk aantoont. Het is daarom belangrijk om het patchproces te automatiseren.
- Segmenteer het netwerk: De harde waarheid is dat uw organisatie vroeg of laat zal worden getroffen door een beveiligingsincident. Als het zover is, is het belangrijk om de gevolgen zoveel mogelijk in te perken. De beste verdediging is om het netwerk in segmenten op te delen. Zonder juiste segmentatie kunnen ransomworms zoals WannaCry zich met het grootste gemak verspreiden naar locaties waar u back-ups opslaat. Dat maakt het een stuk moeilijker om uw bedrijfsprocessen te herstellen. Strategieën zoals microsegmentatie binnen gevirtualiseerde omgevingen en macrosegmentatie tussen fysieke en gevirtualiseerde netwerken, maken het mogelijk om aanvallen met ransomware proactief en/of dynamisch te isoleren om verdere verspreiding te voorkomen.
- Implementeer beveiligingsmechanismen: Werk met beveiligingsoplossingen die zowel gebruikmaken van malware signatures als technologie voor gedragsanalyse. Daarmee kunt u zowel aanvallen aan de netwerkrand als bedreigingen die het netwerk zijn binnengedrongen detecteren en blokkeren.
- Maak back-ups van uw bedrijfskritische systemen: Een cruciale voorzorgsmaatregel voor aanvallen met ransomware is om te beschikken over back-ups van bedrijfskritische data die buiten het netwerk liggen opgeslagen, zodat u uw bedrijfsprocessen zo snel mogelijk kunt hervatten.
- Versterk de beveiliging van endpoints en access points: Zorg ervoor dat alle apparaten die een verbinding met uw netwerk maken voldoen aan de basisvereisten op beveiligingsgebied en scan actief op geïnfecteerd(e) apparaten en dataverkeer.
- Maak gebruik van automatisering: Nadat u de omgevingen waarop u controle kunt uitoefenen hebt afgebakend, is het zaak om zoveel mogelijk van uw basisprocessen op beveiligingsgebied te automatiseren. Zo houden uw it-medewerkers meer tijd over om zich te richten op bedreigingsanalyses en voorzorgsmaatregelen van een hogere orde. Zo kunnen ze bescherming bieden tegen de geavanceerdere bedreigingen die op uw organisatie zijn gericht.
- Maak gebruik van een ‘Security Fabric’. Om ervoor te zorgen dat deze beveiligingspraktijken naadloos worden toegepast op elke nieuwe netwerkcomponent, moet u gebruikmaken van beveiligingsoplossingen die met het netwerk zijn geïntegreerd en de mogelijkheid bieden van centrale orchestration en analyses. In plaats van een steeds complexere en sterker gefragmenteerde beveiligingsstrategie te hanteren, kan een ‘Security Fabric’ zich automatisch aanpassen aan het dynamische netwerk en het volledig beschermen. Dit draagt bij aan een integraal overzicht en fijnmazig beheer van de bedrijfsbrede beveiliging.
Filip Savat, countrymanager Fortinet Belux