Elke ransomware-aanval of security-incident kan worden opgedeeld in 3 fases. De fase voordat een aanval plaatsvindt, de fase tijdens een aanval en de fase nadat een aanval heeft plaatsgevonden. Om een goede beveiliging te bouwen, moet elke fase van een aanval goed begrepen worden. In deze blog ligt de focus op de eerste fase. Dit is de fase waarin de gaten die kwetsbaarheden veroorzaken en ingangen voor aanvallers creëren moeten worden gedicht.
Wat gebeurt er voordat een aanval plaatsvindt?
Normaal gesproken begint een aanvaller met het verkennen van zijn doelwit. De aanvaller zoekt uit waar de meeste schade aangericht kan worden door essentiële diensten en de supply chain te bestuderen en hij probeert erachter te komen of zijn doelwit een verzekering heeft en tot welk bedrag deze vergoedt. Hierna wordt een aanvalscampagne gelanceerd, dit gebeurt meestal met phishingmails. Zodra de aanvaller binnen is bij de organisatie, verblijft hij hier een tijd om extra informatie te verzamelen over de infrastructuur en om backdoors te installeren bij verschillende systemen.
Om het aanvallers zo moeilijk mogelijk te maken, is het verstandig om rekening te houden met de vijf punten die hieronder worden besproken.
1. Voer goede data hygiëne op systemen uit (patch management is essentieel)
Door niet-ondersteunde besturingssystemen en niet-gepatchte software te gebruiken wordt de deur opengezet voor aanvallers om malware en andere exploits te installeren. Zodra aanvallers toegang krijgen tot de omgeving, gaan ze systematisch op zoek naar de belangrijkste systemen en gevoelige data om uit te buiten. Het is daarom belangrijk om een goed gedefinieerd patchbeheerprogramma te hanteren om patches en updates uit te voeren vlak nadat ze uitkomen. Het doel moet hierbij zijn om kritieke patches en updates uit te voeren binnen drie tot zeven dagen en andere uit te voeren binnen 30 dagen.
In veel gevallen zijn cybercriminelen, tegen de tijd dat een leverancier een patch uitbrengt, al op de hoogte van de kwetsbaarheid en hebben ze een tool ontwikkeld of zijn ze al ver gevorderd met de ontwikkeling hiervan. Het was om deze reden mogelijk dat de WannaCry ransomware zo wijdverspreid was. Organisaties lieten na om systemen met oudere besturingssystemen bij te werken, hoewel er een al enige tijd een patch beschikbaar was.
Naast een goed gedefinieerd patchbeheerprogramma moeten systemen ook goed worden geconfigureerd, verkeerd geconfigureerde systemen leiden namelijk mogelijk tot inbreuken. Aanvallers kunnen toegang krijgen tot netwerken of informatie over het netwerk verkrijgen die tot toegang leiden door open poorten en verkeerd geconfigureerde firewalls of routers.
2. Implementeer multi-factor authenticatie en een veilige manier om admin inloggegevens op te slaan voor alle systemen
Slecht wachtwoordbeheer en slecht beveiligde endpoint devices kunnen leiden tot kwetsbaarheden. Aanvallers zijn hiernaar op zoek, want wachtwoorden en inloggegevens met toegang tot vertrouwelijke data en systemen zijn extra waardevol voor hen. Het veilig opslaan van (admin) inloggegevens biedt extra beveiliging voor inloggegevens van gedeelde resources op een netwerk. Daarnaast biedt het de optie om wachtwoorden automatisch te verversen na elke login.
Als een werknemer hetzelfde wachtwoord gebruikt voor meerdere persoonlijke- en bedrijfsaccounts levert dit een extra beveiligingsrisico op. Als een van deze accounts wordt gecompromitteerd, dan kunnen aanvallers toegang krijgen tot de andere accounts. Multi-factor authenticatie voegt extra stappen en beveiliging aan gegevens toe, omdat iemand moet bewijzen dat hij degene is die inlogt. Dit kan door akkoord te geven op een persoonlijk apparaat of door het gebruik van biometrische data.
3. Zorg voor consistente logging in de hele omgeving
Security- en accesslogs zijn essentieel om de bron van een aanval of ‘patient zero’ te identificeren. Hoe sneller de bron van een aanval wordt geïdentificeerd, hoe sneller de nodige patches uitgevoerd en data kan worden hersteld. Na een aanval kan er met deze logs ook aangetoond worden dat de organisatie voldaan heeft aan alle vereisten – er kan beschreven worden wat er is gebeurd en dat de organisatie zich daadwerkelijk aan de vereisten heeft gehouden. Echter, enkel de data security logs bijhouden is niet voldoende. Ook deze logs moeten beveiligd zijn tegen aanvallers die deze logs willen wissen of wijzigen om hun sporen uit te wissen.
4. Implementeer een snel analyseplatform om signalen van aanvallers vroegtijdig te identificeren
Snelle analyseplatforms, ook wel ‘threat hunters’ genoemd, kunnen proactief zoeken naar indicatoren van een inbreuk en kunnen deze indicatoren ook verwijderen. Deze threat hunters zijn essentieel in de periode voordat een aanval plaatsvindt, ze sporen verdacht gedrag en anomalieën op. Zodra er signalen van een mogelijke aanval zijn opgespoord, ontvangt de organisatie een waarschuwing zodat er actie ondernomen kan worden. Trage analyseplatforms waarschuwen organisaties te laat, waardoor grote hoeveelheden data in gevaar komen.
5. Houd regelmatig cybersecurity awareness trainingen en simulatieoefeningen met een focus op ransomware
Bij cybersecurity is de mens vaak de zwakste schakel in een organisatie, zo zijn bijvoorbeeld in 2021 ruim honderdduizend Nederlands gedupeerd door phishing blijkt uit cijfers van het CBS. Dat zoveel mensen gedupeerd zijn door phishing is ook niet zo gek, want het is een van de meest voorkomende soorten aanvallen, zo wordt er geschat dat er 3.4 miljard spam e-mails per dag worden verstuurd. Bij veel phishing pogingen worden gebruikers verleidt tot het downloaden van malware bijlagen of tot het klikken op verdachte links. Door medewerkers te trainen om dit soort phishing mails te herkennen, wordt de zwakste schakel sterker.
Naast phishing, kan een ontoereikend wachtwoordbeleid leiden tot identiteitsdiefstal of ongeoorloofde toegang tot gevoelige informatie. Maar ook externe apparaten op het bedrijfsnetwerk die verouderde software of besturingssystemen gebruiken, kunnen de deur openzetten voor cyberaanvallen. Zonder een duidelijk internet- en e-mailbeleid bestaat de kans dat werknemers niet weten hoe ze gevoelige data openen, gebruiken en delen, of welke informatie wel en welke niet via e-mail moet worden gedeeld. Data access beleid zorgt ervoor dat elke werknemer alleen toegang heeft tot de systemen en data die hij nodig heeft om zijn werk uit te voeren.
Andere kwetsbaarheden om op te letten
Nu steeds meer mensen thuiswerken en door de toename van ‘bring your own device’ (BYOD) beleid, zijn er meer aanvallen op mobiele endpoint devices. Daarnaast creëren onbeveiligde Remote Desktop Protocol (RDP), virtuele desktop endpoints en verkeerde netwerkconfiguraties kwetsbaarheden die kunnen leiden tot ransomware-aanvallen. Onjuist beveiligde endpoint devices kunnen gevoelig zijn voor wifi-hacking en man-in-the-middle-aanvallen met als gevolg dat het bedrijfsnetwerk en gevoelige data worden blootgesteld.
RDP is de tweede meest gebruikte aanvalsvector voor ransomware en wordt vaak gebruikt door aanvallers om ongemerkt toegang te krijgen tot bedrijfsnetwerken. De beveiliging van RDP verbindingen kan expliciet worden ingesteld, maar vaak worden deze verbindingen beveiligd met zwakke wachtwoorden en wordt er een bekende standaardpoort gebruikt, die ook slecht beveiligd is. Inloggegevens voor RDP kunnen ook worden gekocht op het dark web. Zodra deze inloggegevens zijn bemachtigd door aanvallers, kunnen zij security endpoints omzeilen om toegang te krijgen tot allerlei bedrijfssystemen.
Hoewel het niet mogelijk is om alle data in de organisatie tegen elke dreiging te beveiligen, is de kennis in welke kwetsbaarheden vaak voorkomen belangrijk. Kennis en een goede voorbereiding kan helpen om het risico van een ransomware aanval te beperken.
Marco Bal, Principal Systems Engineer, Pure Storage
