Drie tactieken om ransomware-aanvallen tegen te gaan

Abonneer je gratis op Techzine!

Het voorkomen van ransomware-aanvallen staat bij iedereen bovenaan de agenda, zowel voor IT-beheerders als CISO’s, CEO’s en overheden. Hoewel het geen nieuw probleem is, heeft een ononderbroken reeks aan verwoestende ransomware-aanvallen wereldwijd de aandacht op dit probleem gevestigd. Tegelijkertijd worden cyberaanvallers met de dag geavanceerder. Voor organisaties is het dan ook belangrijker dan ooit om een ​​alomvattende preventie- en beveiligingsstrategie te ontwikkelen, voordat onherstelbare schade wordt aangericht.

Hoe aanvallers in eerste instantie toegang krijgen

Om een ​​ransomware-aanval en andere malware-aanvallen te voorkomen, moeten de pogingen van aanvallers om in eerste instantie houvast te krijgen in het netwerk worden afgeweerd. Preventie, detectie en herstel in de endpoint-beveiliging wordt dus een cruciaal onderdeel van de beveiligingsstrategie.

In het algemeen gebruiken aanvallers een van deze twee tactieken om in eerste instantie toegang tot een netwerk te krijgen:

  1. Aanvallers weten succesvol gebruik te maken van een kwetsbaarheid in het netwerk van hun slachtoffer: dit kan gaan door het vinden van een softwaredefect of een bug die kan worden gemanipuleerd om kwaadaardige code te implementeren, of een verkeerde configuratie kan blootleggen die een aanvaller een toegangspunt geeft om eigen code te implementeren. Dit soort kwetsbaarheden treden bijvoorbeeld op bij een verkeerde configuratie van cloudbronnen of via kwetsbaarheden van een derde partij die kunnen leiden tot een aanval op de supply chain.
  2. Aanvallers weten ongeautoriseerd toegang te krijgen tot een geldig account: ongeautoriseerde toegang tot een geldig account wordt gerealiseerd door inloggegevens van gebruikersaccount te stelen via social engineering.

Organisaties die opgezadeld zitten met verouderde beveiligingsmaatregelen en -strategieën hebben moeite om hun gegevens veilig te houden in een wereld waar ransomware-aanvallen zich snel verspreiden door gemakkelijke toegankelijkheid. Wanneer deze organisaties hun aanpak niet veranderen, zullen vindingrijke aanvallers kwetsbaarheden blijven vinden om te misbruiken en om gebruikers te misleiden.

Beveiligingsincidenten voorkomen met een meerlaagse aanpak

De volgende generatie identity en AI-gebaseerde endpoint-bescherming bieden een betere oplossing tegen ransomware. Eerdere oplossingen, zoals authenticatie op basis van wachtwoorden of endpoint-bescherming gebouwd op antivirus-handtekeningen, hebben ernstige tekortkomingen bij het tegenhouden van moderne ransomware. Gezien het punt van preventie is om de eerste infiltratie tegen te houden analyseren we vervolgens hoe moderne beveiligingsoplossingen nieuwe manieren kunnen bieden in de strijd tegen ransomware.

Tactiek #1: Gebruikersauthenticatie implementeren bestendig tegen aanvallen

Veel succesvolle ransomware-aanvallen krijgen in eerste instantie toegang tot het netwerk van hun slachtoffer door inloggegevens van een geldig account te ontcijferen of te stelen. Om dit effectief te voorkomen, zijn inloggegevens voor gebruikersauthenticatie nodig die moeilijk te kopiëren, stelen of kraken zijn.

Het initiële toegangspunt voor MAZE-ransomware en andere door mensen bediende ransomware, is vaak een gestolen wachtwoord voor een systeem dat toegankelijk is via het internet met RDP of via een Citrix-webportalaccount met een zwak wachtwoord.

Traditionele multi-factor authenticatie (MFA) helpt beveiligingskwetsbaarheden bij het gebruik van wachtwoorden aan te pakken. Toch is deze methode nog steeds fundamenteel afhankelijk van iets dat een menselijke gebruiker moet onthouden en weten, en daarbij zijn benaderingen via een telefoon niet 100% veilig. Bovendien brengt de inzet van MFA-beveiliging aanzienlijke kosten met zich mee, wat het voor veel organisaties onaantrekkelijk maakt om te gebruiken.

MFA zonder een wachtwoord voorkomt diefstal van inloggegevens en ontneemt aanvallers de kans om een wachtwoord te raden. Deze vorm van MFA gebruikt meerdere authenticatiefactoren, maar sluit traditionele wachtwoorden uit. Zonder traditionele wachtwoorden wordt de beveiliging onmiddellijk en inherent verbeterd, de gebruikerservaring gestroomlijnd en blijven de kosten beperkt.

Tactiek #2. Onmiddellijke detectie, quarantaine en verwijdering van ransomware

Realistisch gezien garandeert het hebben van preventieve maatregelen niet dat aanvallers nooit een netwerk zullen binnendringen en toegang krijgen tot het apparaat van een gebruiker. De volgende beste verdedigingslinie is een autonoom, beveiligings-, detectie-, en reactiemechanisme dat met machinematige snelheid verdachte activiteiten op endpoint-niveau kan detecteren en in bedwang kan houden. Hiermee kan worden voorkomen dat er data verloren raakt, financieel verlies wordt geleden of onnodige tijdsinvestering wordt gemaakt.

Modern Extended Detection & Response (XDR)-oplossingen bewaken lokale processen in realtime en analyseren hun gedrag, waardoor het mogelijk wordt om een kwaadaardige code zeer nauwkeurig te identificeren en onmiddellijk maatregelen te nemen. Op deze manier wordt de aanval gestopt op het moment dat deze begint voordat aanvallers toegang hebben tot hun gewenste doelen, ongeacht of de aanval vanuit het lokale geheugen of op afstand wordt uitgevoerd.

Het stoppen van een lopende aanval is de belangrijkste taak van elke XDR-oplossing, maar daar houdt het niet op. Na het nemen van cruciale stappen om een lopende aanval te stoppen, moeten IT- en beveiligingsteams een gedetailleerd forensisch beeld krijgen. Dat beeld moet een tijdlijn van de activiteit van de malware, het toegangspunt en de aanvalsvector, en een lijst van alle getroffen bestanden en netwerken bevatten. Beheerders kunnen de aanval vervolgens analyseren om zich beter voor te bereiden op toekomstige bedreigingen en hun managers, wetshandhavers en verzekeraars van de nodige gegevens te voorzien.

Tactiek #3. Schade door ransomware terugdraaien

Het derde element in deze meerlaagse aanpak, en misschien wel het meest cruciale voor degenen die getroffen zijn door ransomware, is de mogelijkheid om de klok terug te draaien en alle activa en configuraties terug te brengen naar de staat waarin ze verkeerden voor de aanval. Deze cruciale stap zorgt voor een snel herstel en bedrijfscontinuïteit, ongeacht hoe breed en diep de aanval schade aanricht.

Onbekende malware of aanvalstactieken worden mogelijk niet automatisch opgevangen en geblokkeerd door de detectiecomponent, dus het ongedaan maken van de handelingen die malware heeft verricht is de enige overgebleven manier om het netwerk veilig te houden.

Het automatisch terugzetten van alle wijzigingen die zijn uitgevoerd door kwaadaardige of verdachte codes, geeft organisaties een vangnet tegen de ernstige gevolgen van succesvolle cyberaanvallen.

Een uitgebreide beveiligingsstack om ransomware te voorkomen

Samenvattend is preventie het belangrijkste doel voor cyberbeveiligingsarchitecten en verdedigers van bedrijfsnetwerken. Een effectieve strategie richt zich op het bestand maken tegen aanvallen gericht op gebruikersauthenticatie, het onmiddellijk detecteren en verwijderen van bedreigingen en tot slot het terugdraaien van alle acties die door aanvallers en hun malware worden verricht bij niet-detecteerbare aanvallen.

Dit is een ingezonden bijdrage van Wil Beerens, Solution Technologist bij Lenovo. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.