Redactie - 01 maart 2022

Hoe organisaties zich beter kunnen wapenen tegen de gevolgen van ransomware-aanvallen

Hoe organisaties zich beter kunnen wapenen tegen de gevolgen van ransomware-aanvallen image

De kranten staan er vol mee: organisaties die hun bedrijfsactiviteiten moeten stilleggen, omdat ze getroffen zijn door een ransomware-aanval. Hoe kunt u uw organisatie beter wapenen tegen de gevolgen van ransomware? Mijn advies: vraag meerdere EDR-aanbieders om een proof of concept en zoek daarbij naar oplossingen die uw detectie en respons verregaand kunnen automatiseren, zodat een cyberaanval in vroegtijdig stadium kan worden herkend en kan worden voorkomen.

Een ‘one vendor only-beleid’ is niet goedkoper of veiliger

De tactieken die cybercriminelen gebruiken om uw organisatie binnen te dringen zijn vrij eenvoudig. Vaak is een phishing-e-mail voldoende om een onoplettende medewerker te verleiden op een linkje te klikken of een bestand te downloaden. Daarnaast zien we dat het niet patchen van software de deur wagenwijd voor ze openzet. Goede beveiliging begint met de basis: train medewerkers, zorg dat uw (e-mail) beveiliging op orde is en patch software niet wanneer het u uitkomt, maar direct wanneer het mogelijk is. Dat klinkt misschien heel eenvoudig, maar in mijn ervaring laten organisaties hier nog te veel steken vallen.

Ook merken we dat sommige organisaties ervoor kiezen om diverse software van één leverancier af te nemen. Het is heel verleidelijk om te kiezen voor de beveiligingssoftware van de leverancier van uw operating systeem of werkplekken; dat is toch software die vaak al standaard is geïnstalleerd op de laptops, en bespaart wellicht ook kosten. Maar niets is minder waar. De waarheid is dat de licentiemodellen van sommige aanbieders u vaak op kosten jagen. Kijk goed hoe de licenties zijn opgebouwd. Is er een meerprijs voor bepaalde features? Betaalt u per gebruiker of per device? Meer software van één aanbieder betekent bovendien niet dat u daarmee ook automatisch kiest voor de beste beveiliging. We zien vaak dat die oplossingen op een aantal vlakken toch tekort schieten. Of ze bevatten wel alle features die u mag verwachten van een EDR oplossing, maar niet het gebruikersgemak van het geautomatiseerd, makkelijk en snel “isoleren” van bedreigingen. Kortom, het is niet altijd ‘best of breed’.

Zorg voor een integraal beeld en automatiseer uw detectie en response

Welke soort beveiligingssoftware moet u overwegen? In ieder geval géén traditionele antivirussoftware. Die biedt onvoldoende bescherming, omdat deze alleen bekende malware kan detecteren en het aantal verschillende soorten dreigingen nog steeds met de dag groeit. Gelukkig zijn er wel verschillende Endpoint Detection and Response (EDR)-oplossingen op de markt die uw organisatie kunnen beschermen tegen (de gevolgen van) ransomware-aanvallen. Veel van deze oplossingen maken inzichtelijk welke mogelijke vreemde gedragingen in uw omgeving kunnen duiden op gevaar.

Is dit voldoende? Waarschijnlijk niet. Want ook al heeft uw organisatie één duidelijk overzicht van alle mogelijke gevaren, bent u dan in staat om snel en adequaat te reageren op deze dreigingen? Deze zogenaamde ‘time to containment’ is door het vele handmatige werk vaak veel te lang. Bovendien hebben veel organisaties te maken met een capaciteitstekort: er zijn te weinig security-experts die de skills bevatten om dit werk te kunnen doen. Dat kan tot gevolg hebben dat cybercriminelen té lang de tijd krijgen om ongemerkt hun gang te gaan. Het automatiseren van EDR biedt hier uitkomst, omdat het mogelijk maakt om op machinesnelheid te reageren. Zo adviseren wij onze klanten de EDR-oplossing van SentinelOne, omdat deze in staat is nieuwe virussen, payloads, miners, oftewel cyberattacks op basis van hun gedragingen in realtime te detecteren en deze ook op agent niveau automatisch kan encrypten, in quarantaine plaatsen en kan verwijderen.

Daarnaast is het belangrijk om te realiseren dat een infectie niet altijd afkomstig is van een bepaald type operating systeem. Zoals dat ook gebleken is met de recente Log4J- problematiek. Die was op verschillende type operating systemen geinstalleerd, waardoor exploits actief konden worden gemaakt vanuit verschillende hoeken van de infrastructuur. Wanneer u niet beschikt over een integrale EDR-oplossing over de verschillende operating systemen zijn er nog steeds blinde vlekken in de infrasctructuur, waardoor u dus ook nog steeds risico loopt.

Wanneer u op zoek gaat naar een EDR-oplossing, vraag dan meerdere EDR-aanbieders om een proof of concept te leveren en daarbij transparant te zijn over de voorwaarden waaronder u gebruik kunt maken van de getoonde technologie en een integraal beeld te geven van de infrastructuur. Alleen zo kunt u de juiste afweging maken met welke aanbieder u direct actie kunt ondernemen en uw organisatie dus het beste is beschermd.

Door: Gerko van Veen (foto), Solutions Architect bij T4Change

ALSO BW tm 16-10-2024 DIC Awards BW tm 28-10-2024
Dutch IT Security Day BN tm 15-10-2024