Ransomware is geen nieuwe aanvalsvector. In feite is de eerste malware in zijn soort verscheen meer dan 30 jaar geleden en werd verspreid via 5,25-inch diskettes. Om het losgeld te betalen, moest het slachtoffer geld opsturen naar een postbus in Panama.
Snel vooruit naar vandaag, betaalbare ransomware-as-a-service (RaaS)-kits zijn beschikbaar op het dark web voor iedereen om te kopen en te implementeren, en aanvallers hebben een oneindig aantal kanalen tot hun beschikking om organisaties te infiltreren als gevolg van hun afhankelijkheid van de cloud en mobiele technologieën.
Bij het initiëren van een ransomware-aanval draait alles om het discreet verkrijgen van toegang. En aangezien werknemers nu overal toegang hebben tot uw gegevens, heeft u geen zicht meer op hoe ze dat doen. Om je tegen deze aanvallen te beschermen, ben je niet alleen op zoek naar malware, maar heb je continu inzicht nodig in je gebruikers, de endpoints die ze gebruiken en de applicaties en gegevens waartoe ze toegang hebben.
Pas opeen leider in endpoint-to-cloud-beveiliging, heeft een interactieve infographic gepubliceerd om u te helpen visualiseren hoe een ransomware-aanval plaatsvindt en begrijpen hoe u uw gegevens kunt beschermen. Lookout zal deze blog gebruiken om 1) het klimaat op te zetten dat resulteerde in $ 20 miljard dollar aan losgeldbetalingen in 2021en 2) hoe u uw organisatie kunt beschermen tegen deze voortdurende bedreigingen.
Overal werken verbetert zowel de productiviteit als de infiltratie van aanvallers
Hoewel de daadwerkelijke malware die wordt gebruikt om uw gegevens te gijzelen, ‘ransomware’ wordt genoemd, is dat niet waar u zich op moet concentreren. Voordat er iets wordt ingezet, hebben aanvallers toegang tot uw infrastructuur nodig.
Tegenwoordig hebben gebruikers toegang tot gegevens via netwerken die u niet beheert en apparaten die u niet beheert, waardoor alle on-premises beveiligingsmaatregelen die u had, overbodig worden.
Dit betekent dat cybercriminelen phishing-aanvallen kunnen lanceren om gebruikersreferenties te compromitteren of een kwetsbare app te misbruiken met weinig gevolgen. En als ze zich eenmaal binnen uw infrastructuur bevinden, zetten ze snel malware in om hardnekkige achterdeurtjes te creëren waardoor ze kunnen komen en gaan wanneer ze willen. Als ze privileges escaleren, wordt het bijna onmogelijk om te voorkomen dat ze zijwaarts bewegen en uw gegevens gijzelen.
Stap voor stap: hoe te beschermen tegen ransomware
Er zijn een aantal stappen die plaatsvinden tussen een aanvaller die toegang krijgt tot uw infrastructuur en om losgeld vraagt. Deze stappen worden beschreven in de: anatomie van een ransomware-aanval infographic en hier is een overzicht op hoog niveau van wat er gebeurt en hoe u uw organisatie kunt beschermen.
1 — Blokkeer phishing-aanvallen en verhul web-enabled apps
Een van de gemakkelijkste manieren waarop aanvallers toegang krijgen, is door een gebruikersaccount over te nemen door inloggegevens te compromitteren met phishing-aanvallen. Het is van cruciaal belang om te kunnen webverkeer op elk apparaat inspecteren om te voorkomen dat deze aanvallen zowel pc als mobiele gebruikers. Dit zorgt ervoor dat ransomware-operators hun aanvallen niet kunnen starten door accounts te compromitteren.
Bedreigingsactoren zullen ook het web crawlen om kwetsbare of blootgestelde internetgerichte infrastructuur te vinden om te exploiteren. Veel organisaties hebben apps of servers die zijn blootgesteld aan internet om toegang op afstand mogelijk te maken, maar dit betekent dat aanvallers ze kunnen vinden en op zoek kunnen gaan naar kwetsbaarheden. Deze apps verhullen van ontdekking is een belangrijke verdedigingstactiek. Dit helpt u af te stappen van de ongebreidelde toegang die VPN’s bieden en ervoor te zorgen dat alleen geautoriseerde gebruikers toegang krijgen tot de gegevens die ze nodig hebben.
2 — Detecteer en reageer op afwijkend gedrag
Als aanvallers erin slagen uw infrastructuur binnen te dringen, zullen ze zijwaarts gaan bewegen om verkenningen uit te voeren. Dit is om extra kwetsbaarheden te vinden met als uiteindelijk doel gevoelige gegevens bloot te leggen. Enkele van de stappen die ze kunnen nemen, zijn het wijzigen van uw instellingen om de beveiligingsmachtigingen te verlagen, gegevens te exfiltreren en malware te uploaden.
Sommige van deze stappen zijn mogelijk geen ronduit kwaadaardig gedrag, maar kunnen als afwijkend gedrag worden beschouwd. Dit is waar een goed begrip van het gedrag van gebruikers en apparaten en het segmenteren van toegang op applicatieniveau essentieel wordt. Om zijdelingse bewegingen te stoppen, moet u ervoor zorgen dat gebruikers geen vrije toegang hebben tot uw infrastructuur en dat ze niet kwaadaardig handelen. Het is ook van cruciaal belang om buitensporige of verkeerd geconfigureerde privileges te kunnen detecteren, zodat u wijzigingen in uw app en cloudhouding kunt voorkomen.
3 — Maak gegevens onbruikbaar voor losgeld met proactieve versleuteling
De laatste stap van een ransomware-aanval is het gijzelen van uw gegevens. Naast het versleutelen van de gegevens en het buitensluiten van uw beheerders, kan de aanvaller ook bepaalde gegevens exfiltreren om als hefboom te gebruiken, en vervolgens verwijderen of versleutelen wat er nog in uw infrastructuur is.
Exfiltratie en impact zijn meestal wanneer de aanvaller eindelijk zijn aanwezigheid onthult. De wijzigingen die ze aanbrengen in gegevens, ongeacht of deze in rust of in beweging zijn, zullen alarmbellen doen rinkelen en ze zullen betalingen eisen. U kunt echter al hun inspanningen voor niets doen als die gegevens proactief worden versleuteld door uw beveiligingsplatform en ze absoluut onbruikbaar maken voor de aanvaller. Versleuteling is een cruciaal onderdeel van elke preventie van gegevensverlies (DLP) strategie, en als u deze activeert op basis van contextueel gegevensbeschermingsbeleid, kunt u uw meest gevoelige gegevens beschermen tegen compromittering.
Beveiliging tegen ransomware: producten aanwijzen versus een verenigd platform
Een ransomware-aanval is niet zomaar een enkele gebeurtenis; het is een aanhoudende dreiging. Om uw organisatie te beveiligen, heeft u een volledig beeld nodig van wat er gebeurt met uw endpoints, gebruikers, apps en data. Dit zorgt ervoor dat u phishing-aanvallen kunt blokkeren, web-apps kunt camoufleren, zijdelingse bewegingen kunt detecteren en erop kunt reageren, en uw gegevens kunt beschermen, zelfs als deze zijn geëxfiltreerd en worden vastgehouden voor losgeld.
Historisch gezien hebben organisaties nieuwe tools aangeschaft om nieuwe problemen te verhelpen. Maar dit soort aanpak werkt niet met bedreigingen zoals ransomware. Hoewel u misschien enige telemetrie heeft in de toegangsactiviteit van uw gebruikers, de status van hun bedrijfsapparaat en hoe uw gegevens worden verwerkt, moet uw beveiligingsteam meerdere consoles beheren die niet met elkaar samenwerken.
Lookout begrijpt de noodzaak van een platformbenadering en heeft een Security Service Edge (SSE)-platform inclusief DLP, Gebruikers- en entiteitsgedraganalyse (UEBA) en Enterprise Digital Rights Management (EDRM).
Met een platform dat geïntegreerde inzichten biedt in alles wat er binnen uw organisatie gebeurt, stellen we u in staat gevoelige gegevens te beveiligen zonder de productiviteit te belemmeren. Het SSE-platform van Lookout is onlangs door de 2022 Gartner Magic Quadrant voor SSE. Lookout scoorde ook in de top drie voor alle SSE-use cases in de 2022 Gartner Critical Capabilities voor SSE.
Voor meer informatie over de belangrijkste lessen die u kunt leren van grote ransomware-aanvallen in 2021 en hoe u uw gevoelige gegevens kunt beschermen, downloadt u de nieuwste versie van Lookout gids over ransomware.
