Het zal je niet ontgaan zijn: de grote grote uitbraak van ransomware Petya/NotPetya. Dit ‘gijzelvirus’ versleutelt belangrijke bestanden van computer en opslagsystemen, zodat ze niet meer gebruikt kunnen worden. Een paar weken geleden was het ook al raak, toen het WannaCry-virus ongeveer hetzelfde deed. Welke IT security maatregelen moet jouw organisatie nemen om zo’n aanval tegen te gaan? We zetten 7 tips op een rij.
Ransomware is een groot probleem, omdat het hele systemen en zelfs bedrijven en instanties wereldwijd kan platleggen. Ook cruciale systemen bij ziekenhuizen, overheden en veiligheidsinstanties worden niet gespaard en zijn korte of langere tijd niet operationeel. De enige oplossing voor de besmette systemen is vaak het terugzetten van een back-up, waarbij veel tijd en ook kostbare informatie verloren kan gaan. Met deze recente grote uitbraken van cryptolocker virussen zoals WannaCry en Petya/NotPetya in het achterhoofd zijn er een aantal maatregelen te nemen om goed beschermd te zijn tegen een cryptolocker aanval. Voorkomen is immers altijd beter dan genezen.
Onderstaande tips kunnen hierbij goed helpen:
- Zorg dat Windows servers, werkstations, internetbrowser en andere applicaties altijd bijgewerkt blijven met de nieuwste updates en security paches. Een goed uitgevoerde procedure voor patch-management is cruciaal bij het voorkomen van malware-aanvallen. WannaCry, Petya en andere malware maken graag gebruik van een ‘lek’ in een Windows-systeem of andere software. Als de update-processen – bewust of onbewust – achterlopen, zijn de systemen altijd vatbaar voor dit soort aanvallen.
- Gebruik proces analyzer-technieken naast de reguliere anti-virus modules
De betere beveiligingssoftware monitort de processen op de machines door middel van ‘behavioral analysis’ . Deze techniek grijpt in als er ‘verdacht gedrag’ plaatsvindt op de computer of server. Het verdachte proces wordt dan onmiddellijk gestopt, waarbij mogelijke versleuteling van alle bestanden wordt voorkomen. Deze geavanceerde techniek wordt meer en meer gebruikt, maar moet wel bewust worden ingeschakeld. Het vereist soms wat extra resources op de clients, maar de extra bescherming in geval van een aanval kan dit zeker waard zijn. Het is zeker aan te raden om deze extra bescherming in ieder geval te gebruiken op alle werkstations en de (kritieke) Windows servers. - Schakel de firewall in op alle servers en werkstations
Door gebruik te maken van een firewall wordt de verspreiding van malware en cryptolockers beter tegengegaan. Blokkeer in het geval van WannaCry en Petya in ieder geval poort 445 voor al het inkomende verkeer. Toekomstige malware zal ook gebruik maken van andere poorten om zichzelf te verspreiden. Laat alleen inkomend verkeer toe op die poorten die de server of het werkstation echt nodig hebben om hun werk te kunnen doen. Hierdoor kan malware zich niet makkelijk verspreiden over het interne netwerk als het eenmaal binnen is gekomen. - Maak gebruik van Internet Web Protectie
Internet Web Protectie zijn extra beveiligingsmaatregelen binnen internetbrowsers. Browsing protection beschermt tegen schadelijke websites en browser-aanvallen. Web Content Control verbetert de beveiliging en productiviteit door toegang tot websites te controleren gebaseerd op bepaalde categorieën. Web Traffic Scanning, beschermt tegen virussen in http-verkeer. Overweeg ook de mogelijkheid om bepaalde inhoud en scripts te blokkeren binnen web sessies. Daarnaast is het goed om het gebruik van browser plug-ins te beperken waar dat kan. Hoe minder plug-ins in gebruik, hoe minder kans om er misbruik van te maken. - Back-up!
Naast een goede en regelmatige back-up van data en servers is ook een goede herstelprocedure (restore) noodzakelijk. Ook het (snel) opnieuw uitrollen van werkstations die besmet zijn geraakt, helpt bij een vlot herstel na een eventueel incident. Zorg er dan wel voor dat deze gelijk voorzien zijn van de laatste beveiligingsupdates. - Gebruik het gezond verstand
Wees voorzichtig met bijlages en links in e-mails en berichten van afzenders die onbekend zijn. Klik nooit zomaar op een link of open een afbeelding van onbekende bron. Schakel nooit zomaar macro’s in (in bijvoorbeeld in Microsoft Office). Zorg dat de gebruikers en beheerders ‘digivaardig’ worden en zich bewust zijn van de gevaren. Security awareness creëer je bijvoorbeeld met een Phishing as a Service programma. - Segmenteer de data die toegankelijk is
Alle locaties waar een gebruiker of beheerder toegang tot heeft, kunnen een doelwit zijn. Ook netwerk opslag (SAN, NAS), externe data zoals USB-disk of zelfs cloud-opslag zijn bereikbaar als het besmette systeem daar toegang tot heeft. Als de toegang tot deze bronnen beperkt is, zal de schade ook beperkt blijven.
Met bovenstaande maatregelen ben je veel beter beschermd tegen ransomware, cryptoware en andere malware. Maar, het blijft een wedloop tussen de cybercriminelen en de IT beveiliging. Er is maar één gebruiker nodig die op een verkeerde link klikt of op een andere manier per ongeluk een cryptolocker virus activeert. Honderd procent garantie op bescherming is er niet, maar met de juiste maatregelen wordt het risico op besmetting een heel stuk kleiner. Het is dus zaak om een eventuele aanval zo veel mogelijk te voorkomen en van te voren de eventuele gevolgen goed in te dammen.
De juiste productkeuze is hierin belangrijk. Er zijn meerdere high-end producten op de markt die de structuur van malware en cryptoware kunnen herkennen. Ictivity maakt voor end-point security gebruik van F-secure om klanten te beschermen tegen virussen, cryptoware en andere malware. De software van F-Secure heeft de gevolgen van Petya kunnen voorkomen.
Meer weten of advies van een IT security specialist? Neem contact met ons op!
