Ransomware: ons advies voor preventie

Ransomware: ons advies voor preventie

DearBytesBlogRansomware: ons advies voor preventie

Ransomware: de kranten staan er vol mee. De één na de andere organisatie wordt erdoor getroffen en stelt ons de vraag: “Hoe moeten we dit nu voorkomen”? En dan wel concreet graag.

DB Drawing 006 - Ransomware

DearBytes helpt al jaren organisaties om hun systemen te beschermen tegen malware. Daarbij benutten we de functionaliteit van alle tools in ons portfolio ten volle. En zo kunnen we ook zeggen welke van die tools nu echt het verschil maken in de beveiliging tegen specifieke dreigingen. Zo ook ransomware.

Dus, ik geef u hierbij, in samenspraak met het team van experts van DearBytes: ons advies tegen ransomware!

Management summary…

U wilt concreet? U krijgt concreet:

  1. Anti-Phishing
  2. Endpoint Protection
  3. Advanced Threat Protection
  4. Rechten in het netwerk
  5. Back-ups
  6. Security Monitoring Service

1) Anti-Phishing

De meeste besmettingen met ransomware starten met een misleidende email of andersoortig bericht via internet. Door de aanval op dat punt al onschadelijk te maken is de verdediging het meest effectief. In mijn eerdere blog over phishing heb ik de maatregelen die wij aanbieden uiteengezet, bestaande uit:

User Awareness

Activeer risicobewustzijn onder medewerkers: eerst denken, dan klikken:

  1. Intel Security Phishing Quiz (gratis) – 10 voorbeelden van e-mails: welke herkent u als phishing? (wereldwijd gemiddelde: 65% correct);
  2. DearBytes Phishing Test service – Een op maat gemaakte phishing actie binnen uw organisatie. Eenmalig of meerdere malen per jaar;
  3. Awareways E-learning informatiebeveiliging – Complete en actuele leermethode ter vergroting van informatiebewustzijn onder medewerkers.

Web & Email Scanning

Ook als uw medewerkers volledig “aware” zijn, is er kans dat ze in de vallen van een aanvaller trappen. Phishing-mails komen, met name door een betere spelling, steeds betrouwbaarder over, ook in het Nederlands. Daarom is het goed om aanvullende maatregelen te treffen voor het geval men er toch in trapt.

Naast het scannen van inkomende e-mail op verdachte patronen is het tegenwoordig ook zeer belangrijk om het webverkeer te controleren. Een standaard firewall biedt die functie niet, dus is er iets extra’s voor nodig. Het voordeel is dat bekende, schadelijke websites met behulp van actuele “threat intelligence” kunnen worden geblokkeerd.

2) Endpoint Protection

In de opinie van DearBytes zijn een aantal functionele onderdelen essentieel in de bescherming van computersystemen tegen ransomware:

  1. Real-time Anti-Malware – is niet meer voldoende, maar speelt nog steeds een belangrijke rol;
  2. On-demand Anti-Malware – scant de computer liefst dagelijks volledig door, incl het werkgeheugen, bij voorkeur met een ander merk;
  3. Host Intrusion Prevention – levert “virtual patching” op om misbruik van software kwetsbaarheden te voorkomen;
  4. URL Filtering – voor de momenten dat uw (draagbare) endpoints zich buiten de beveiliging van uw bedrijfsnetwerk bevinden;
  5. Real-time Threat Intelligence – voedt de endpoint protection continu met kennis over nieuwe malware varianten.

Met name het laatste onderdeel is een toevoeging die tegenwoordig essentieel is. McAfee Threat Intelligence Exchange geeft op een revolutionaire manier invulling aan het automatisch delen van security intelligence:

McAfee & Bytescan

DearBytes levert deze functionaliteiten in de vorm van een Complete Endpoint Protection suite van Intel Security / McAfee, aangevuld met onze eigen Bytescan, powered by HitmanPro. Alle onderdelen worden beheerd met McAfee ePolicy Orchestrator (ePO). Uw accountmanager kan een samenstelling maken van componenten die precies aansluit bij uw behoeftes, neem contact op voor een advies op maat.

Cryptolocker Adviezen voor Preventie & Response

Het centrale beheer is cruciaal om de mogelijkheden van de producten volledig te kunnen benutten. En om de laatste inzichten over ransomware werking in detectiemiddelen te kunnen opvoeren. Zo zijn deze adviezen toepasselijk in de bescherming tegen Cryptolocker en aanverwante varianten.

3) Advanced Threat Protection

Vandaag de dag worden elke dag een half miljoen nieuwe malware samples gevonden (bron: McAfee Labs Threats Report May 2015 (PDF)). De kans is groot dat een variant door anti-malware software nog niet herkend wordt op het moment dat één van uw medewerkers het ontvangt. Een systeem in uw eigen netwerk dat onbekende malware kan vinden, is daardoor steeds belangrijker. Maar nog belangrijker is om ervoor te zorgen dat de resultaten van dat systeem ook automatisch kunnen worden toegepast in de systeembeveiliging. Ofwel: een geïntegreerde security architectuur.

Een goede optie is de Advanced Threat Defense optie van McAfee, zeker voor organisaties die elders in het netwerk ook al gebruik maken van McAfee technologie. Daardoor wordt namelijk integratie met de advanced threat protection kinderspel, aangezien die out-the-box geleverd wordt.

Alternatieven zijn de oplossingen van FireEye en het 100% Nederlandse RedSocks.

4) Rechten in het netwerk

Ransomware op één computer is vervelend, maar als door die infectie ook nog eens bestanden in het netwerk worden versleuteld, is de impact niet te overzien. Denk daarom goed na hoeveel rechten medewerkers hebben op mappen in het netwerk en beperk het recht om bestanden aan te passen zoveel mogelijk.

5) Back-ups!

Als onverhoopt dan toch een ransomware-variant uw netwerk bereikt en bestanden versleuteld raken, is het zaak om zo snel mogelijk weer verder te kunnen. Natuurlijk is het betalen van losgeld een onverstandige zet. Daarom is het cruciaal om back-ups te hebben en deze ook te testen. Er zijn veel pijnlijke voorbeelden van organisaties die tijdens een incident merkten dat hun back-ups niet werkten. Als manager moet u vragen om onomstotelijk bewijs dat die tests regelmatig succesvol worden uitgevoerd.

DearBytes kan assisteren bij het aanleggen van beleidsmatige kaders die van cruciaal belang zijn ten aanzien van informatiebeveiliging en business continuïteit. Onze specialisten van Strategie en Beleid staan graag voor u klaar.

6) Security Monitoring Service

Tenslotte gaat u vermoedelijk bij het inzetten van extra security maatregelen tegen de cruciale vraag aanlopen: wie gaat het beheren? Zeker als uw security infrastructuur snel groter wordt, is de kans groot dat uw beheerorganisatie dit met tijd en wellicht kennis niet meer bij kan benen. Koppel precies voor die rol het DearSOC aan uw netwerk.

soc room managed services

DearBytes biedt precies om u op dit vlak te ontzorgen de Security Monitoring Service aan. Daarbij draait het primair om het 24×7 monitoren van security tools om incidenten te detecteren en er adequaat om te reageren.

Maar uniek aan het DearBytes SOC is dat wij u ook kunnen ontzorgen op gebied van technisch en functioneel beheer van uw security toepassingen.

Conclusie

Zoals ik al zei: geen silver bullet. In plaats daarvan een gelaagde aanpak die bestand is tegen geavanceerde malware.

Bovenstaande kan door uw DearBytes accountmanager worden uitgewerkt tot een op maat gemaakt voorstel. Laat hieronder uw gegevens achter om vrijblijvend meer informatie te ontvangen.