Inhoudsopgave:
- Hoe raken bedrijven geïnfecteerd?
- Bereiden
- Voorkomen
- Beschermen
- Niet betalen
- Blijf productief
- Wacht niet tot de schoen valt
Video: Wat moet je doen tegen ransomware? (November 2024)
De VS zetten zich schrap voor de volledige impact van een wereldwijde ransomware-epidemie op basis van de Wanna Decryptor-malwarestam. Het is belangrijk om uw bedrijf en gegevens te beschermen tegen deze zich snel uitbreidende bedreiging, maar als we er eenmaal voorbij zijn, moet u onthouden dat Wanna Decryptor alleen het meest luidruchtige voorbeeld is van het ransomware-probleem.
Er zijn drie dingen die je moet weten over ransomware: het is eng, het groeit snel en het is een groot bedrijf. Volgens het Internet Crime Complaint Center (IC3) van de FBI werden tussen april 2014 en juni 2015 meer dan 992 CryptoWall-gerelateerde klachten ontvangen, wat resulteerde in meer dan $ 18 miljoen aan verliezen. Dat kwaadaardige succes wordt weerspiegeld in de groeisnelheid van ransomware met de Infoblox DNS Threat Index, met een 35-voudige toename van nieuwe domeinen gecreëerd voor ransomware in het eerste kwartaal van 2016 (vergeleken met het vierde kwartaal van 2015).
Over het algemeen laat ransomware een versleutelde muur tussen een bedrijf en de interne gegevens en toepassingen die het bedrijf nodig heeft, vallen. Maar deze aanvallen kunnen veel ernstiger zijn dan alleen de ontoegankelijkheid van de gegevens. Als u niet voorbereid bent, kan uw bedrijf tot stilstand komen.
Vraag het maar aan het Hollywood Presbyterian Medical Center. Lang voor Wanna Decryptor leerde het ziekenhuis een pijnlijke les toen het personeel de toegang tot hun pc's verloor tijdens een uitbraak van ransomware begin 2016. Het ziekenhuis betaalde het losgeld van $ 17.000 nadat werknemers 10 dagen afhankelijk waren van faxapparaten en papieren kaarten. Of vraag het aan de politie van Tewksbury. In april 2015 betaalden ze het losgeld om weer toegang te krijgen tot gecodeerde arrestatie- en incidentregistraties.
Hoe raken bedrijven geïnfecteerd?
Als er op elk niveau een zilveren voering is voor Wanna Decryptor, dan is het dat het dient om zonder twijfel te bewijzen dat de dreiging van ransomware reëel is. Geen enkel bedrijf of werknemer is immuun voor een mogelijke ransomware-aanval. Het is belangrijk om te begrijpen hoe ransomware computers infecteert voordat u bespreekt hoe u uw bedrijf hiertegen kunt beschermen of hoe u kunt reageren als u in gevaar komt. Inzicht in de oorsprong en de wijze van infectie biedt inzichten om veilig te blijven.
Ransomware komt meestal uit een van twee bronnen: gecompromitteerde websites en e-mailbijlagen. Een legitieme website die is gecompromitteerd, kan een exploitkit hosten die uw machine infecteert, meestal via een browser-exploit. Dezelfde methodologie kan worden gebruikt door een phishing-website. Een drive-by download installeert ransomware en het begint met het coderen van uw bestanden.
In het geval van een kwaadaardige e-mailbijlage worden gebruikers misleid om de bijlage te openen en vervolgens ransomware te installeren. Dit kan zo eenvoudig zijn als een nep-e-mailbericht met een uitvoerbare bijlage, een geïnfecteerd Microsoft Word-bestand dat u misleidt tot het inschakelen van macro's, of een bestand met een hernoemde extensie zoals een bestand dat eindigt op "PDF" maar eigenlijk een EXE-bestand is (een uitvoerbaar bestand).
Momenteel is er geen zilveren kogel om de veiligheid van uw organisatie tegen ransomware te waarborgen. Maar er zijn vijf stappen die elk bedrijf moet nemen om hun infectiekansen drastisch te verminderen - en ook de pijn te verzachten als een aanval slaagt.
Bereiden
Een belangrijk onderdeel ter voorbereiding op een ransomware-aanval is het ontwikkelen van een robuuste back-upstrategie en het maken van regelmatige back-ups. "Robuuste back-ups zijn een belangrijk onderdeel van een anti-ransomware-strategie", zegt Philip Casesa, productontwikkelingsstrateeg bij ISC2, een wereldwijde organisatie zonder winstoogmerk die beveiligingsprofessionals certificeert. "Zodra uw bestanden zijn gecodeerd, is uw enige haalbare optie om de back-up te herstellen. Uw andere opties zijn om het losgeld te betalen of de gegevens te verliezen."
Corrons van Panda Security biedt nog een waarschuwing: back-ups "zijn van cruciaal belang voor het geval uw verdediging faalt, maar zorg ervoor dat u de ransomware volledig hebt verwijderd voordat u de back-ups herstelt. Bij PandaLabs hebben ransomware back-upbestanden versleuteld gezien."
Een goede strategie om te overwegen is een gelaagde of gedistribueerde back-upoplossing die meerdere kopieën van back-upbestanden op verschillende locaties en op verschillende media bewaart (zodat een geïnfecteerd knooppunt niet onmiddellijk toegang heeft tot zowel huidige bestandsrepository's als back-uparchieven). Dergelijke oplossingen zijn verkrijgbaar bij verschillende MKB-bedrijven (online back-upleveranciers) en de meeste DRaaS-leveranciers (Disaster-Recovery-as-a-Service).
Voorkomen
Zoals eerder vermeld, is gebruikerseducatie een krachtig maar vaak over het hoofd gezien wapen in je arsenaal tegen ransomware. Train gebruikers om social engineering-technieken te herkennen, clickbait te vermijden en open nooit een bijlage van iemand die ze niet kennen. Bijlagen van mensen die ze kennen, moeten met voorzichtigheid worden bekeken en geopend.
"Inzicht in hoe ransomware zich verspreidt, identificeert het gebruikersgedrag dat moet worden aangepast om uw bedrijf te beschermen, " zei Casesa. "E-mailbijlagen zijn het grootste risico voor infectie, drive-by downloads zijn nummer twee en kwaadaardige links in e-mail zijn nummer drie. Mensen spelen een belangrijke factor bij het besmet raken met ransomware."
Gebruikers trainen om de ransomware-bedreiging in overweging te nemen, is eenvoudiger dan u denkt, vooral voor het MKB. Natuurlijk kan het de traditionele vorm van een langdurig intern seminarie aannemen, maar het kan ook gewoon een serie groepslunches zijn waarbij IT de kans krijgt om gebruikers via interactieve discussie te informeren - voor de lage prijs van een paar pizza's. U kunt zelfs overwegen een externe beveiligingsconsulent in te huren om de training te geven, met enkele aanvullende video's of voorbeelden uit de praktijk.
Beschermen
De beste plaats om te beginnen met het beschermen van uw MKB tegen ransomware is met deze Top Vier mitigatiestrategieën: app-whitelisting, patch-apps, patch-besturingssystemen (besturingssystemen) en het minimaliseren van beheerdersrechten. Casesa wees er snel op dat "deze vier besturingselementen 85 procent of meer malware-bedreigingen afhandelen."
Voor MKB's die nog steeds afhankelijk zijn van individuele pc-antivirus (AV) voor beveiliging, laat IT de beveiliging voor de hele organisatie centraliseren en neemt volledige controle over deze maatregelen. Dat kan de effectiviteit van AV en anti-malware drastisch verhogen.
Welke oplossing u ook kiest, zorg ervoor dat deze op gedrag gebaseerde beveiligingen bevat. Alle drie onze experts waren het erover eens dat op handtekeningen gebaseerde anti-malware niet effectief is tegen moderne softwarebedreigingen.
Niet betalen
Als je je niet hebt voorbereid op en beschermd tegen ransomware en je wordt geïnfecteerd, dan kan het verleidelijk zijn om het losgeld te betalen. Toen ons echter werd gevraagd of dit een verstandige zet was, waren onze drie experts verenigd in hun antwoord. Corrons wees er snel op dat "betalen riskant is. Nu verlies je zeker je geld en misschien krijg je je bestanden onversleuteld terug." Waarom zou een crimineel tenslotte eervol worden nadat je hem hebt betaald?
Door criminelen te betalen, geef je ze een stimulans en de middelen om betere ransomware te ontwikkelen. "Als je betaalt, maak je het voor iedereen veel erger", zegt Casesa. "De slechteriken gebruiken uw geld om gemene malware te ontwikkelen en anderen te infecteren."
Het beschermen van toekomstige slachtoffers is misschien niet top-of-mind wanneer u probeert een bedrijf te runnen met gegijzelde gegevens, maar kijk er gewoon vanuit dit perspectief naar: dat volgende slachtoffer zou u helemaal opnieuw kunnen zijn, deze keer nog meer vechten effectieve malware die u hebt helpen betalen om zich te ontwikkelen.
Casesa wijst erop dat "door het losgeld te betalen, je nu een steeds groter doelwit bent geworden voor de criminelen omdat ze weten dat je betaalt." In verkooptaal wordt u een gekwalificeerde lead. Net zoals er geen eer is onder dieven, is er geen garantie dat de ransomware volledig zal worden verwijderd. De crimineel heeft toegang tot uw machine en kan uw bestanden decoderen en de malware erop achterlaten om uw activiteiten te controleren en extra informatie te stelen.
Blijf productief
Als de schade veroorzaakt door ransomware te maken heeft met verstoring van uw bedrijf, waarom dan geen stappen ondernemen om de bedrijfscontinuïteit te vergroten door over te stappen naar de cloud? "Het beveiligingsniveau en de algehele beveiliging die u van de cloud krijgt, is veel groter dan wat een klein bedrijf zich kan veroorloven", merkt Brandon Dunlap op, Global CISO van Black & Veatch. "Cloudproviders hebben malwarescanning, verbeterde authenticatie en tal van andere beveiligingen waardoor de kans dat ze aan een ransomware-aanval lijden erg laag is."
Verplaats op zijn minst e-mailservers naar de cloud. Dunlap wijst erop dat "e-mail een enorme aanvalsvector is voor ransomware. Verplaats dat naar de cloud waar providers meerdere beveiligingscontroles zoals malware scannen en DLP in de service bundelen." Extra beveiligingslagen, zoals proxy-gebaseerde sitereputatie en verkeersscanning, kunnen worden toegevoegd via vele cloudservices en kunnen uw blootstelling aan ransomware verder beperken.Dunlap is enthousiast over de bescherming die de cloud biedt tegen ransomware. "We bevinden ons op een fantastisch moment in de technologiegeschiedenis met een groot aantal oplossingen met weinig wrijving voor veel van de problemen waarmee kleine bedrijven te maken hebben, " zei Dunlap. "Dit maakt kleine bedrijven wendbaarder vanuit IT-perspectief."
Als uw lokale machine besmet raakt met ransomware, maakt het misschien niet eens uit of uw gegevens zich in de cloud bevinden. Wis uw lokale machine, maak een nieuwe image, maak opnieuw verbinding met uw cloudservices en u bent weer actief.
Wacht niet tot de schoen valt
Dit is niet een van die situaties waarin een afwachtende aanpak je beste tactiek is. Wanna Decryptor laat duidelijk zien dat ransomware beschikbaar is; het groeit in gigantische sprongen en grenzen, zowel in verfijning als in bad guy populariteit - en het is absoluut op zoek naar jou. Zelfs nadat deze huidige dreiging is omvergeworpen, is het van cruciaal belang dat u maatregelen neemt om gegevens en eindpunten te beschermen tegen infecties.
Maak regelmatig back-ups, train medewerkers om infecties te voorkomen, patch apps en besturingssystemen, beperk beheerdersrechten en voer niet-op handtekeningen gebaseerde anti-malware software uit. Als u dit advies opvolgt, kunt u alle behalve de meest bloedige infecties voorkomen (en die zijn waarschijnlijk niet gericht op MKB's). In het geval dat een aanval door uw verdediging heen komt, moet u een duidelijk, getest plan hebben voor IT om de infectie op te ruimen, back-ups te herstellen en de normale bedrijfsvoering te hervatten.
Als je deze best practices niet volgt en je wordt geïnfecteerd, weet dan dat het betalen van het losgeld geen garanties met zich meebrengt, je kwalificeert als een sukkel voor de criminelen en hen de middelen geeft om nog meer verraderlijke ransomware te ontwikkelen (en de stimulans om het zo vaak mogelijk op u te gebruiken). Wees geen slachtoffer. Neem in plaats daarvan nu de tijd om later van de voordelen te profiteren: bereid u voor, voorkom, bescherm en blijf productief.
