8 bewezen praktijken om te beschermen tegen ransomware

Vandaag is ransomware de meest voorkomende bedreiging waarmee organisaties van alle omvang en in elke sector te maken hebben. De schade die wereldwijd wordt veroorzaakt door ransomwareaanvallen wordt geschat op meer dan $20 miljard in 2021 en dit aantal wordt verwacht te stijgen naar $265 miljard in 2031.

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

In deze publicatie worden en worden de 8 bewezen beste praktijken toegelicht en verklaard die helpen om bescherming tegen ransomware-infecties te verzekeren en het risico op cyberbreuken te verminderen.

Wat is bescherming tegen ransomware?

Ransomwarebescherming omvat doorgaans alle stappen die organisaties ondernemen om te voorkomen dat ransomware blijvende schade aanricht aan hun IT-infrastructuur en hun winstgevendheid. Een compleet anti-ransomwareplan moet beschermingsmaatregelen, monitoringactiviteiten en herstelstrategieën omvatten.

• Ransomwarepreventiemaatregelen

Het verdedigen tegen ransomware dient het primaire doel van een organisatie te zijn. Het is beter om een ransomwareaanval af te weren dan te proberen om de impact ervan te verminderen of om je geïnfecteerde gegevens terug te winnen. Door de noodzakelijke beoefeningen te implementeren en de juiste hulpmiddelen te gebruiken, kunt u de kans verkleinen dat ransomware uw systemen binnendringt en de gevolgen van een dergelijke inbreuk.

• Ransomwaredetectiemaatregelen

Het monitoren van uw omgeving tegen malware en ransomware is essentieel voor vroegtijdige ontdekking. Hoe eerder u een inbreuk identificeert, hoe groter uw kans om het te stoppen. Er zijn verschillende detectietools en beste praktijken die u kunt implementeren om u te beschermen tegen ransomware.

• Maatregelen voor het herstellen van ransomware

Als een ransomware-aanval uw verdediging doorbreekt, kan het uw gegevens versleutelen of vergrendelen en vervolgens de normale bedrijfsactiviteiten onderbreken. Talrijke maatregelen voor het herstellen van ransomware stellen u in staat om gegevensverlies en downtime te minimaliseren met een snelle herstel van uw werklasten. Houd er rekening mee dat dit proces moeilijk en langdurig kan zijn, dus u moet de preventieve praktijken hieronder toepassen.

Best Practices voor Ransomwarebescherming

De optimale aanpak voor ransomwarebescherming omvat een gelaagde strategie. Dit model omvat het trainen van uw personeel, het beschermen van eindpunten, het implementeren van de benodigde technologieën, het ontwikkelen van een volledig incidentresponsplan en meer.

1. Train uw medewerkers

Vandaag de dag kan 95% van de cybersecurity problemen worden herleid tot menselijke fouten en 43% van alle inbreuken zijn bedreigingen vanuit een organisatie, of het nu kwaadwillig of per ongeluk is. Een enkel apparaat kan het startpunt zijn van een aanval die de hele organisatie treft.

Dat gezegd hebbende, wordt aanbevolen om medewerkers over cyberhygiëne te informeren zodra je ze in dienst neemt. Bovendien moet je periodieke trainingen organiseren om ervoor te zorgen dat gebruikers continu op de hoogte zijn van de nieuwste bedreigingen en dat ze de vereiste richtlijnen toepassen.

De volgende praktijken zijn essentieel voor bescherming tegen ransomware en het verminderen van incidenten veroorzaakt door menselijke fouten:

• Open geen e-mails van verdachte bronnen of klik op twijfelachtige bijlagen.
• Klik niet op advertentiebanners of onveilige links gevonden op onbekende websites.
• Gebruik sterke wachtwoorden, verander ze regelmatig en gebruik geen hetzelfde wachtwoord voor verschillende accounts.
• Schakel tweefactorauthenticatie in.
• Deel geen persoonlijke informatie of sla deze op op een gemakkelijk toegankelijke locatie.
• Steek geen onbekende USB-stick in.
• Vermijd het gebruik van openbare Wi-Fi-netwerken.
• Volg het beveiligingsbeleid van je organisatie en meld snel schadelijke activiteiten.
• Bied meer info aan je medewerkers over handmatige oplossingen en software die kan helpen om malware te verwijderen.

2. Implementeer netwerksplitsing

De beste manier om uw netwerk te beschermen en u te verdedigen tegen ransomware is door netwerksegmentatie te implementeren. Dit is vooral belangrijk in cloud- en hybride omgevingen. Door verschillende subnets en routers op de juiste manier te verbinden, kunt u de verspreiding van een malware-infectie binnen de hele organisatie beperken als één apparaat wordt gecompromitteerd.

Overweeg het gebruik van de IEEE 802.1X-standaard met ondersteunde authenticatiemethoden en configureer toegangsbeheer tot een netwerk. Op deze manier is een ondertekend certificaat en geldige referenties vereist om verbinding te maken met een netwerk om authenticatie te doorlopen en een versleutelde verbinding tot stand te brengen. Er zijn drie hoofdcomponenten in de architectuur: een client, een authenticator en een authenticatieserver. Een RADIUS-server en een switch die geschikt is voor 802.1X zijn nodig om een gebruiker te herkennen voor een bedrade Ethernetverbinding. 802.1X kan worden gebruikt voor bedrade en draadloze netwerken.

Bovendien moet u indien mogelijk netwerkpenetratietests uitvoeren, omdat dit u helpt kwetsbaarheden te detecteren die kunnen worden gebruikt om toegang te krijgen tot uw netwerk. Los gevonden problemen op om uzelf te beschermen tegen ransomware en potentiële aanvallen te voorkomen.

3. Configureer routers en poortinstellingen

Onjuist geconfigureerde routers kunnen worden gebruikt als een aanvalsvector omdat cybercriminelen voortdurend netwerken scannen op een open poort die ze kunnen misbruiken. Het blokkeren van toegang tot ongebruikte poorten en het wijzigen van standaard poortnummers naar aangepaste nummers kan u helpen uzelf te beschermen tegen ransomware.

Je kunt ook URL-filtering en advertentieblokkering configureren op routers die internettoegang bieden voor gebruikers in jouw organisatie. Moderne software kan automatisch bekende schadelijke sites toevoegen aan contentfilters om het URL-filteringsysteem up-to-date te houden.

4. Gebruik basis- en geavanceerde beschermingstechnologieën

De meeste varianten van ransomware zijn bekend en kunnen worden gedetecteerd met behulp van basisbeveiligingstools. Echter, nieuwe soorten malware worden regelmatig ontdekt en bestaande varianten worden steeds geavanceerder, daarom zou je ook geavanceerde beveiligingssoftware moeten gebruiken.

De onderstaande lijst bevat tal van beschermingstechnologieën die je kunt gebruiken om je te verdedigen tegen ransomware-aanvallen.

• Firewall-bescherming. Dit is je eerste verdedigingslinie tegen cyberinbreuken. Een webapplicatiefirewall bewaakt en filtert HTTP-verkeer van en naar webservice. Je kunt ook de firewall op routers configureren om het risico van ransomware-infiltratie te verminderen.
• Antivirussoftware. Als kwaadaardig gedrag wordt gedetecteerd in Windows of macOS, blokkeert de antivirussoftware onmiddellijk verdachte bestanden en ontvang je een melding. Onthoud dat je je antivirussoftware up-to-date moet houden zodat het nieuwe versies van ransomware kan identificeren. Sommige antivirusoplossingen kunnen integreren met vShield en vSphere om VMware virtuele machines (VM’s) die draaien op ESXi-hosts te beschermen.
• Eindpuntontdekking en respons (EDR). Moderne EDR-oplossingen voeren realtime bedreigingsinlichtingen en -analyse uit om bescherming te bieden tegen ransomware-aanvallen vóór en tijdens een inbreuk. U kunt de reactie- en mitigatieprocessen automatiseren om de schade zoveel mogelijk te beperken.
• E-mailbeveiliging. Een juiste configuratie van anti-spam- en anti-malwarefilters op e-mailservers voorkomt dat gebruikers e-mailberichten met schadelijke links of bestandsbijlagen ontvangen (of vermindert op zijn minst die kans aanzienlijk). Aanvallers delen meestal links naar kwaadaardige websites of voegen Word- en Excel-documenten met macro’s toe om een ransomware-infectie te verspreiden.

Filterconfiguraties moeten regelmatig worden bijgewerkt door gebruik te maken van databases van vertrouwde leveranciers zoals Google en Microsoft. Afhankelijk van uw beveiligingsbeleid kunt u anti-malware- en anti-spamfilters configureren om een waarschuwingsbericht weer te geven of een bericht te verwijderen voordat het de gebruiker bereikt.

• Zandbak. Zandbakken bieden een extra beveiligingslaag omdat ze u in staat stellen een code of link te analyseren in een geïsoleerde omgeving op een parallel netwerk. Als een verdacht bericht de e-mailfilters passeert, kan het worden geïnspecteerd en getest voordat het uw netwerk bereikt.
• Inbraakdetectiesysteem (IDS). Het IDS is een geavanceerd instrument dat uw netwerk en systemen bewaakt op zoek naar kwaadaardige activiteiten of beleidsschendingen. Zodra een bedreiging is gedetecteerd, stuurt het Intrusion Detection System automatisch een rapport naar beveiligingsbeheerders zodat zij de noodzakelijke maatregelen kunnen nemen en zich kunnen verdedigen tegen ransomware.
• Bedrogtechnologie. Als alles faalt, kan bedrogtechnologie u helpen uw gegevens te redden van diefstal of versleuteling. Met behulp van deze technologie kunt u een lokvogel creëren die uw daadwerkelijke gegevens en servers nabootst om cybercriminelen te misleiden, zodat ze denken dat hun aanval succesvol was. Dit stelt u ook in staat om snel een dreiging te detecteren voordat deze schade of gegevensverlies veroorzaakt.
• IT-monitoringtool. Realtime IT-infrastructuurmonitoring stelt u in staat om snel een inbreuk te identificeren op basis van netwerkprestaties. Verdachte processorbelasting, abnormale schijfactiviteit en groot verbruik van opslagruimte zijn duidelijke indicatoren van een ransomware-infectie.

Overweeg het configureren van een honey pot (of val) in geval van het detecteren van vreemd gedrag in uw netwerk. Een honey pot (of vallen) is een technologie die wordt gebruikt om abnormale activiteit te vangen. Het is een set speciale bestanden opgeslagen op niet-standaard locaties op een server. Als deze bestanden worden geopend, wordt de systeembeheerder op de hoogte gebracht omdat dit niet zou moeten gebeuren tijdens normale productieactiviteiten.

5. Beperk toestemmingen met zero-trust-beveiliging

Zoals de naam al aangeeft, betekent het zero-trust-model dat u ervan moet uitgaan dat elke gebruiker, intern of extern, die probeert verbinding te maken met het netwerk, niet kan worden vertrouwd en een potentiële bedreiging vormt. Toegang wordt alleen verleend na een grondig verificatie- en authenticatieproces. Deze aanpak beschermt tegen ransomware en inbreuken door ongeautoriseerde toegang te elimineren.

Om uw beveiligingsbeleid verder te versterken, moet u gebruikers alleen de machtigingen geven die ze specifiek nodig hebben om hun werk te voltooien op basis van het principe van de minste privileges. Bijvoorbeeld, een gewone gebruiker mag niet de inloggegevens van een beheerder hebben. Het is belangrijk op te merken dat u een specifiek account moet aanmaken om toegang te krijgen tot de back-uprepository met gevoelige gegevens.

6. Installeer beveiligingspatches en houd systemen up-to-date

Het tijdig installeren van beveiligingspatches voor besturingssystemen en toepassingen vermindert beveiligingslekken en kwetsbaarheden die door aanvallers kunnen worden misbruikt. Het wordt aanbevolen om een patchbeheerprogramma te implementeren en automatische updates in te schakelen waar mogelijk.

7. Ontwikkel een responsplan

Het is essentieel voor elke organisatie om een responsplan klaar te hebben voor het geval de ransomware-aanval succesvol was. Een bedrijfscontinuïteits- en rampenherstelplan (BCDR-plan) verdedigt niet tegen ransomware, maar helpt u de downtime te verminderen en uw verloren gegevens snel te herstellen.

Zorg ervoor dat u een reeks acties schetst die door uw team moeten worden uitgevoerd na een inbreuk. Deze taken kunnen omvatten:

• Het loskoppelen van geïnfecteerde apparaten van het netwerk
• Het verwijderen van ransomware en geïnfecteerde bestanden
• Gegevens herstellen met behulp van back-ups
• Het gebruik van een decryptietool indien mogelijk

Het is belangrijk op te merken dat wat je ook doet, betaal het losgeld niet! Elke betaling stimuleert de criminelen om extra aanvallen te lanceren en er is geen garantie dat je je gegevens terugkrijgt.

8. Maak regelmatig back-ups

Als een ransomware-aanval je netwerk infecteert, kun je nog steeds herstellen met minimale schade en downtime met behulp van back-ups. Herstel vanuit back-ups is de meest effectieve methode om corrupte of versleutelde gegevens en werklasten te herstellen.

Hieronder volgen enkele van de beste praktijken die je kunt volgen om een soepele herstel te garanderen:

• Volg de 3-2-1 back-upregel om een enkel faalpunt te elimineren en gegevensherstelbaarheid te garanderen.
• Sla back-ups op in onveranderbare opslag om te beschermen tegen ransomware-encryptie en -wijziging.
• Bewaar air-gapped back-upkopieën op tape en andere apparaten die losgekoppeld zijn van het netwerk.
• Voer back-upverificatie uit om ervoor te zorgen dat alle gegevens herstelbaar zijn.
• Gebruik een speciaal beheerdersaccount om toegang te krijgen tot en back-ups te beheren.

Conclusie

Ransomware is een van de gevaarlijkste bedreigingen voor organisaties over de hele wereld. Gelukkig stellen de beste praktijken die in dit blogbericht worden genoemd je in staat om het risico op infectie te verminderen, gegevensverlies te beperken en optimale bescherming te bieden tegen ransomware.

Houd er rekening mee dat in het geval van een besmetting van uw netwerk, u kunt vertrouwen op uw back-ups om versleutelde gegevens te herstellen. NAKIVO Backup & Replication biedt uitgebreide ransomware-gegevensbescherming voor verschillende omgevingen. De oplossing omvat een breed scala aan geavanceerde tools zoals incrementele back-ups, gedetailleerd herstel en disaster recovery-orchestratie.