De dreiging van ransomware neemt toe: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? Nu kijken
Ransomware is een van de grootste cyberbeveiligingsproblemen waarmee de wereld tegenwoordig wordt geconfronteerd, waarbij bendes routinematig inbreken in bedrijfsnetwerken om bestanden en netwerken te versleutelen.
Vaak realiseren slachtoffers zich pas dat ze zijn gecompromitteerd wanneer bestanden, servers en andere systemen zijn versleuteld en krijgen ze een losgeldbrief te zien waarin wordt gevraagd om betaling in cryptocurrency voor de decoderingssleutel.
Maar zelfs als cybercriminelen zich al in het netwerk bevinden, is het niet per se te laat om een ransomware-aanval te voorkomen; als een organisatie een goede strategie voor het opsporen van bedreigingen heeft, kunnen ze vreemde of verdachte activiteiten detecteren en de dreiging tegengaan voordat ransomware een groot probleem wordt.
Dat komt omdat criminelen weken in het netwerk kunnen doorbrengen voordat ze een ransomware-aanval starten. En zelfs als beveiligingen die zijn ontworpen om te voorkomen dat ze het netwerk binnenkomen, hebben gefaald, kan deze vertraging een kans bieden om een volledige ransomware-aanval te voorkomen.
Het National Institute of Standards and Technology (NIST) cybersecurity framework (CSF) van het Amerikaanse ministerie van Handel noemt Identificeren, Beschermen, Opsporen, Reageren en Herstellen als de vijf functies van het beveiligen van netwerken. Maar veel organisaties proberen nog steeds te vertrouwen op het aspect 'beschermen' als de belangrijkste verdedigingslinie, zonder een duidelijke strategie, als ze die al hebben, voor het detecteren van en reageren op bedreigingen die beveiligingen omzeilen.
“Als je nadenkt over het CSF-framework, denk ik dat we zoveel in de beschermingsbak uitgeven en niet genoeg in detecteren, reageren en herstellen”, zei Jason Lewkowicz, Global CISO voor Cognizant, tijdens een paneldiscussie over ransomware op de VMworld 2021-conferentie van VMware.
Zie ook: Een winnende strategie voor cyberbeveiliging (speciaal rapport van ZDNet).
Als criminelen al in staat zijn geweest om het netwerk te doorbreken, is het misschien moeilijk te geloven dat niet alles verloren is, maar door de manier waarop aanvallen werken, is het nog steeds mogelijk om ze af te sluiten en een ransomware-incident te voorkomen.
Het is bijvoorbeeld gebruikelijk dat cybercriminelen toegang krijgen tot netwerken en malware installeren om de omgeving te onderzoeken die ze hebben gecompromitteerd. Vervolgens volgen ze vaak een standaardroutine van acties gedurende de dagen of weken dat ze zich in het netwerk bevinden. Het is mogelijk om deze activiteit te identificeren en als het wordt geïdentificeerd, is er de mogelijkheid om de aanvallers te stoppen.
“Detectie kan daadwerkelijk een onderdeel zijn van het voorkomen van ransomware. Er is een klassieke reeks van gebeurtenissen en het is bijna hartverscheurend omdat het voorspelbaar is en we zien het elke dag”, zegt Katie Nickels, directeur van de inlichtingendienst bij Red Canary.
“Mijn team zal een eerste malwarefamilie zien zoals QBot – dan zullen de tegenstanders rondkijken in de omgeving, wat verkenningen doen en dan installeren ze een tool genaamd Colbalt Strike, dan verplaatsen ze zich lateraal. Het is hetzelfde playbook – ransomware komt eraan”.
Als organisaties een goede kennis hebben van hun eigen netwerk en een team voor het opsporen van bedreigingen dat kennis kan nemen van hoe deze hands-on ransomware-aanvallen werken en deze kunnen gebruiken om bedreigingen te detecteren, kunnen ze worden geïdentificeerd, verwijderd en hersteld voordat het probleem uitgroeit tot een grootschalige ransomware-aanval.
“Als je deze dingen kunt detecteren – dit zijn zeer detecteerbare, voorspelbare gedragingen – als je ze vroeg zou kunnen detecteren, kun je de codering, de exfiltratie of een heel slecht resultaat daadwerkelijk voorkomen”, zei Nickels.
“Het is interessant, want iedereen denkt aan preventie en bescherming, maar vroege detectie is eigenlijk het voorkomen van ransomware”, voegde ze eraan toe.
Kleinere bedrijven of bedrijven zonder een aanzienlijk IT- of informatiebeveiligingsbudget kunnen moeite hebben om zelf op jacht te gaan naar bedreigingen, maar het kan nuttig zijn om een ransomware-aanval te voorkomen en het is veel goedkoper dan slachtoffer worden.
p>
“Het is zo belangrijk om mogelijkheden voor het opsporen van bedreigingen in het team te hebben – als je dat niet in je organisatie hebt, partner binnen het ecosysteem – omdat het opsporen van bedreigingen echt helpt om die te identificeren en die activiteiten te profileren”, zegt Amelia Estwick, directeur van bedreiging. onderzoek bij VMware.
Het kunnen achterhalen of cybercriminelen het netwerk hebben gecompromitteerd, kan een grote rol spelen bij het daadwerkelijk voorkomen van een incident, of in ieder geval ervoor zorgen dat de impact wordt verminderd. Een ransomware-aanval beperkt houden tot een deel van het netwerk is nog steeds beter dan deze zich over de hele bedrijfsomgeving te laten verspreiden. Het kan cyberbeveiligingsteams ook helpen om in de toekomst nieuwe aanvallen te voorkomen.
“We weten al dat ze erin zitten, dus laten we uitzoeken hoe we de luiken moeten dichtmaken en hoe ze zich door het systeem bewegen, zodat we kunnen leren om beter tools te bieden en te ontwikkelen voor het detecteren en voorkomen dat dit opnieuw gebeurt”, aldus Estwick.
Meer over cyberbeveiliging:
Dit bedrijf is getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaaldenRansomware-aanvallers richtten zich op dit bedrijf. Toen ontdekten verdedigers iets merkwaardigsDe helft van de bedrijven herkent deze tekenen van interne cyberbeveiligingsbedreigingen nietNieuwe DOJ-taskforce om ransomware aan te pakken, aldus rapport Hebben we de piek van ransomware bereikt? Hoe het grootste beveiligingsprobleem van internet is gegroeid en wat er daarna gebeurt
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 