In 2022 beheerste ransomware vaak het nieuws. En het ziet er niet naar uit dat dit in 2023 anders zal zijn. Toch hoeft een aanval met ransomware niet noodzakelijk catastrofaal te zijn. “Als je je goed voorbereidt en er vroeg genoeg bij bent, kun je nog heel wat onheil vermijden.”
Als senior manager bij NVISO biedt Michel Coene ondersteuning aan bedrijven die met securityproblemen te maken krijgen. Hij ondersteunt hen met onderzoek en adviseert hen hoe ze op die problemen kunnen reageren. Daarnaast is hij als instructeur verbonden aan SANS Institute, waar hij opleiding geeft over cyberbeveiliging. “Preventie blijft belangrijk in het kader van cybersecurity”, zegt hij, “maar bedrijven moeten tegelijk beseffen dat een volledig waterdichte beveiliging niet bestaat. Daarom is detectie essentieel, zodat je tenminste weet dat er een aanval tegen je bedrijf bezig is.”
De waarde van data
Die detectie is essentieel in de strijd tegen ransomware. Het principe van een aanval met ransomware – data versleutelen en losgeld vragen om ze weer vrij te geven – bestaat al meer dan dertig jaar. Toch zit het fenomeen vooral de laatste jaren duidelijk in de lift. Dat heeft onder meer met de beschikbaarheid van de technologie te maken. Ransomware is as a service beschikbaar, inclusief de bijhorende richtlijnen, playbooks en support, wat de drempel sterk heeft verlaagd.
“Aanvallen zijn niet enkel op grote organisaties gericht”, legt Michel Coene uit. “Elk bedrijf is een mogelijk doelwit. Het gaat er heus niet om of jouw data interessant zijn voor de aanvaller. Dat is een denkfout die veel organisaties maken. Het enige dat telt is: hoe belangrijk zijn je data voor jouw organisatie? Dat is waar de aanvallers op inspelen.”
Aanval in stappen
De berichtgeving over aanvallen met ransomware geeft te vaak een vertekend beeld. Ze schetst alleen het ultieme eindresultaat: een organisatie die niet meer behoorlijk functioneert, omdat haar data versleuteld zijn. “Maar dat is pas de laatste stap van de aanval”, legt Michel Coene uit. “Cybercriminelen hebben eerst een verkenning uitgevoerd. Ze zijn een eerste keer het netwerk binnengedrongen en hebben de omgeving in kaart gebracht. Vervolgens zijn ze zich binnen het netwerk beginnen bewegen. Het is dan pas dat ze echt in actie komen: het gebruik van ransomware om tot een bepaald doel te komen, zoals het ontvangen van losgeld.”
Ook al is de aanval reeds bezig, zolang de ransomware niet actief is, kan de organisatie nog heel wat ondernemen om te verhinderen dat het zover komt. “Dat is precies waarom detectie zo belangrijk is”, legt Michel Coene uit. “Het gaat erom controlepunten in te bouwen zodat je de aanval tijdig kunt stoppen.”
Technologie en mensen
De ideale bescherming bestaat uit een combinatie van technologie en mensen. Inzetten op bewustmaking blijft een noodzaak, zowel bij het IT-team als bij de eindgebruikers. “Een aanval is heel vaak op eindgebruikers gericht”, zegt Michel Coene. “Denk aan phishing-mails die de ontvanger verleiden om een bestand te openen, of die vragen ergens in te loggen.” Met technologie kun je die phishing-berichten onderscheppen om linken en bijlagen te screenen. Maar ook die systemen zijn niet onfeilbaar. “Om dat soort gevaren te leren herkennen, blijft een regelmatig herhaalde security awareness training nodig.”
Bescherming tegen ransomware bouw je op met technologie, mensen en een duidelijk actieplan.”
Belangrijk is verder dat je als organisatie ook een bredere kijk ontwikkelt. Wat doe je als eindgebruiker wanneer je beseft dat je op een foute link hebt geklikt? Of wanneer je wel ergens je paswoord hebt ingegeven? “Je moet een cultuur ontwikkelen waarin de eindgebruikers het aandurven om direct te signaleren dat ze mogelijk de mist in gingen”, zegt Michel Coene. “Dat is nodig om vervolgens heel snel in actie te treden.”
Maak een plan
Nog belangrijker is dat de organisatie een plan uitwerkt met mogelijke scenario’s, voor het geval er zich een incident met ransomware voordoet. “Zo vermijd je dat je bij een aanval kostbare tijd verliest”, legt Michel Coene uit. “Zo’n plan vraagt heel wat voorbereiding.” De IT-afdeling moet onder meer een back-up voorzien die bij een aanval buiten schot blijft. Ze moet ook controleren of die back-up compleet is en of het in de praktijk lukt om de back-up terug te zetten.
“Tegelijk is het belangrijk om iedereen bij de voorbereiding te betrekken”, zegt Michel Coene, “niet alleen IT, maar ook de hr-afdeling, de collega’s bij communicatie om klanten in te lichten, de afdeling legal om aangifte te doen in het geval van een datalek, enzovoort.” Verder is het essentieel om vooraf te beslissen wat je als organisatie doet in het ultieme geval: wel of niet losgeld betalen. “Dat is een groot dilemma”, aldus Michel Coene. “Als je betaalt, hou je het criminele model mee in stand. Betaal je niet, dan kan dat mogelijk het einde van je organisatie betekenen. Een eenduidig antwoord is hier niet mogelijk.”
Over SANS Institute
SANS Institute biedt diverse opleidingen aan rond cybersecurity, waaronder ‘Defeating Advanced Adversaries – Purple Team Tactics & Kill Chain Defense’ en ‘Ransomware for Incident Responders’.
Ook dit jaar doet SANS verschillende Europese steden aan met zijn trainingen. Brussel staat eind januari en in september op de agenda. Daarnaast zijn de trainingen ook beschikbaar in Amsterdam, Parijs, Berlijn, München en Londen. Kijk voor meer informatie op www.sans.org