‘Ransomware pak je aan met radicaal andere cybersecurity-benadering’

Abonneer je gratis op Techzine!

Ransomware staat bij veel IT-leveranciers en bedrijven op de radar als gevaarlijke cyberbedreiging. De malwarevorm is immers al jaren in trek en zal dat waarschijnlijk nog lang blijven, simpelweg omdat er veel geld mee te verdienen valt. Als het aan Datto-CISO Ryan Weeks ligt vallen er echter minder slachtoffers. “Mkb’ers en Managed Service Providers moeten in plaats van een cybersecurity-programma, een cyber resilience-programma opbouwen”.

We spraken aanvankelijk met Weeks over de trends in het cyberlandschap en hoe Datto zich hier op aanpast. Hij stipt hierbij aan dat Datto veel cyberaanvallen tegenkomt, aangezien getroffen organisaties vaak op de hulp van Datto vertrouwen. MSP’s en mkb’ers zetten namelijk onder meer disaster recovery- en backup-technologie van Datto in, wat bij het herstellen van cyberincidenten noodzakelijk is.

Volgens Weeks is ransomware al jaren een groot gevaar voor MSP’s en mkb’ers. Wanneer een MSP succesvol geïnfecteerd wordt, is dat namelijk vaak een toegangspoort tot meerdere bedrijven die zakendoen met de MSP. Hij spreekt over een bedrijfsmodel dat werkt voor cybercriminelen. Bij succesvolle aanvallen worden soms honderdduizenden of miljoenen euro’s betaald. “Het aantal neemt niet af en ransomware blijft denk ik bestaan”, aldus Weeks.

Tip: Waarom cybercriminelen massaal forums en het dark web gebruiken

Uitgangspunt is dat je gehackt bent of wordt

Bedrijven kunnen zich daarom het best aanpassen aan de ransomware-realiteit. Er wordt immers al jaren gewaarschuwd voor het gevaar. Daar zijn de verantwoordelijken voor het securitybeleid van bedrijven zich ook bewust van. Velen zullen dan ook op zoek zijn naar de juiste benadering. Weeks ziet hierbij wat hij noemt een cyber resilience-programma als de ideale aanpak. Het is natuurlijk de vraag hoe die aanpak in elkaar steekt en of dat die ook echt verandering bewerkstelligt (de magic bullet wordt al langer gezocht), maar Weeks gelooft in ieder geval wel in een effectievere werkwijze.

De Datto-CISO geeft aan dat de nieuwe denkwijze ervan uitgaat dat je bedrijf slachtoffer van ransomware is of wordt. Door deze hypothese verandert ook de mentaliteit, stelt Weeks. In plaats van een sterke focus op enkel beschermen en voorkomen, gaan bedrijven zich ook richten op detectie, response en herstel. Je kan dan tijdig ingrijpen en bent voorbereid op het worst-case scenario. Er ligt een stappenplan klaar voor als onverhoopt toch een succesvolle ransomware-aanval plaatsvindt. “Op die manier is een bedrijf echt veerkrachtig en in staat om zo snel mogelijk te herstellen na een ransomware-aanval”, aldus Weeks.

Tip: SentinelOne is de flight recorder voor bescherming van endpoints

Nieuwe mogelijkheden ter bescherming en om te herstellen

Datto heeft zodoende nieuwe functionaliteit toegevoegd aan zijn producten. Een van de belangrijkste toevoegingen betreft Cloud Deletion Defense. Hiermee wordt primair ingespeeld op de tactiek van cybercriminelen om backups als doelwit te hebben. Als ze de data op de backup namelijk bemachtigen en verwijderen, is een van de laatste verdedigingslinies weg. Voor een bedrijf is het daarmee ook lastiger geworden om te herstellen van de aanval, waardoor ze eerder geneigd zijn te betalen. Met Cloud Deletion Defense zijn er volgens Weeks echter altijd backups beschikbaar voor herstel. “We hebben het voor hackers onmogelijk gemaakt om een cloud-kopie te vernietigen. Zelfs als lokale kopieën vernietigd worden, kunnen we helpen bij herstel”, legt de Datto-CISO uit. Er is als het ware een extra verdedigingslaag waarmee opnieuw toegang gekregen wordt tot verwijderde cloud snapshots. Cloud Deletion Defense werkt daarmee uitsluitend voor Datto Cloud Snapshots. Bij het verwijderen van agents worden normaliter namelijk de bijbehorende cloud snapshots verwijderd, waar de nieuwe feature op inspeelt door wel de mogelijkheid te bieden om de data te herstellen.

Daarnaast is er met Ransomware Detection een beschermingsfeature toegevoegd aan Datto Remote Monitoring and Management (RMM), de oplossing waarmee MSP’s endpoints op afstand kunnen monitoren, beheren en ondersteunen. De behavior-based security-oplossing Ransomware Detection controleert endpoints op ongebruikelijke encryptieactiviteit. Bij verdacht gedrag probeert het direct het ransomware-proces te beëindigen. Ook wordt het getroffen apparaat geïsoleerd, zodat de ramsomware zich niet verder via het netwerk kan verspreiden. Met deze RMM-feature moeten MSP’s ransomware op schaal kunnen monitoren, waarbij ze proactief handelen. De risico’s worden aangepakt voordat het bedrijf van de klant in de problemen komt.

Weeks stipt aan dat met name Cloud Deletion Defense en Ransomware Detection twee belangrijke vernieuwingen zijn in de strijd tegen ransomware. Er is echter ook de troef BitDam, een cyber threat detection-startup die recent werd overgenomen. De technologie van BitDam richt zich op het beveiligen van collaboration-platformen, zoals Zoom en Microsoft 365. BitDam is gebouwd om meerdere cyberbedreigingen te voorkomen, waaronder phishing en ransomware. Zo stopt het bijvoorbeeld zero-days waarvan de malware-signatures onbekend zijn. Het is de bedoeling dat naarmate de tijd vordert de BitDam-technologie een actievere rol gaat spelen binnen de Datto-strategie.

Meer inspanningen om wat te veranderen

Al met al is ransomware al jaren een bedreiging waarvoor gewaarschuwd wordt. Het blijft echter zoeken naar de juiste aanpak. Datto ziet de cyber resilience-aanpak, waarbij je ervan uitgaat dat je gehackt bent of gaat worden, als de juiste handelswijze. Het laat met nieuwe features en investeringen ook zien daar werk van te maken. Naar verwachting blijft Datto dat doen, want hoewel Weeks gelooft in een radicaal andere denkwijze, vermoedt hij ook dat ransomware nog geruime tijd onder ons is.

Tip: Invloed Datto op Autotask Endpoint Management en Autotask PSA