Dacht je dat ransomware was verdwenen? Denk dan nog maar eens na... Ransomware is nog steeds springlevend, en zoals altijd hebben aanvallers nieuwe trucs achter de hand. Overweeg bijvoorveeld onderstaande mogelijk getroffen items.
Voor elk werkstation dat ransomware kan infecteren, heeft de cybercrimineel zoveel meer mogelijkheden om gegevens te vinden en te versleutelen die waardevol genoeg zijn om het losgeld te betalen.
Hoewel servers minder vatbaar zijn voor infectie, omdat ze over het algemeen niet worden gebruikt voor het lezen van e-mail (een belangrijk toegangsmedium voor ransomware), worden ze ook vaak verstrikt in een aanval.
Uiteindelijk programmeren ransomware-auteurs hun malware om de gegevens te zoeken waarvan zij denken dat deze waardevol zijn voor de slachtofferorganisatie. Het kan voorkomen op de geïnfecteerde werkstations of servers, of zelfs op toegewezen stations of SMB-verbindingen op andere systemen die anders geïnfecteerd zijn.
Bedenk hoeveel organisaties tegenwoordig online exchange gebruiken. Een overgrote meerderheid van de door MSP ondersteunde klanten valt in deze categorie en de e-mailgegevens van deze organisaties zijn een groot doelwit van ransomware geworden. Hoewel het minder waarschijnlijk is dan de on-premise infrastructuur, komt het vrij vaak voor.
Het bereik van ransomware binnen een organisatie is opmerkelijk. Het beïnvloedt een groot aantal eindpunten en servers, en grote hoeveelheden gegevens, zowel op locatie als mogelijk in cloudopslag. Dit niveau van potentiële impact laat zien dat je voorbereidt moet zijn om een infectie aan te pakken, mocht deze zich voordoen, want dit zal uiteindelijk gebeuren.
Er zijn tegenwoordig verschillende mitigatietechnieken beschikbaar om de effecten van een ransomware aanval te helpen opvangen, maar uiteindelijk zal jij je voordeel halen dankzij back-up- en herstel.
hoe plan je een strategie voor het herstellen van ransomware?
De grootste onbekenden zijn welk eindpunt het toegangspunt zal zijn en waar de gegevens zich bevinden die zullen worden beïnvloed. Afhankelijk van de grootte van de organisatie van jouw klant, kan dit vrijwel onmogelijk te bepalen zijn. In plaats daarvan moet je dit vanuit het zakelijke perspectief bekijken en achteruit werken. Naast de gebruikelijke oefening voor het targeten van back-ups die je met je klant zult doorlopen, vind je hieronder 6 stappen die je kunt nemen om back-ups op de juiste manier te gebruiken als onderdeel van een reactie op ransomware.
Identificeer welke gegevens belangrijk zijn - In plaats van te reageren op een ransomware-scenario en te hopen dat je een zeer recente levensvatbare back-up hebt om te herstellen, identificeer je nu die gegevenssets die het meest waardevol, kritisch, bedrijfseigen, beschermd door naleving etc. Bepaal wat voor soort hersteldoelen de gegevens nodig hebben en stel een back-upplan op om te kunnen herstellen in het geval van een ransomware-infectie. Volgens het KnowBe4-rapport dat hierboven wordt vermeld, herstelde 61% van de organisaties server-gebaseerde gegevens via een back-up. En je wil zeker geen deel uitmaken van die andere 39%...
Bepaal welke eindpunten belangrijk zijn - Zelfs als je het losgeld betaalt, heb je technisch gezien nog steeds malware op een of meer van je eindpunten. Elk geïnfecteerd eindpunt moet worden teruggezet in een staat waarvan bekend is dat het goed is (lees: pre-ransomware-infectie), en realistischer, volledig gewist en opnieuw geïmplementeerd. Door degenen te identificeren die eigendom zijn van gebruikers van wie productiviteit cruciaal is voor de organisatie (bijv. het directieteam), kun je een back-upplan opstellen voor die machines om ook een snel herstel van een back-up mogelijk te maken.
Identificeer welke servers belangrijk zijn - Dit zou eigenlijk al aanwezig moeten zijn vanwege de kritieke aard van de systemen. Als je al een back-upstrategie hebt waarmee je kritieke systemen snel kunt herstellen, loop dan gewoon door een ransomware-infectie en / of coderingsscenario en zorg ervoor dat je de mogelijkheid hebt om te herstellen. Want je doet al regelmatig driemaandelijkse testherstellingen, toch? Zo niet, dan zou dit een extra stimulans moeten zijn om dit te doen!
Bepaal hoe je niet-essentiële eindpunten kunt herstellen - Voor die eindpunten die als niet-kritiek worden beschouwd, moet je nog steeds een plan hebben om ze terug te brengen naar dezelfde bekende goede staat. Het kan worden hersteld, opnieuw gemaakt of opnieuw opgebouwd. Mogelijk heb je ook een methode om een gouden configuratie te herstellen of opnieuw te imiteren en bij te werken met behulp van scripts of een oplossing voor systeembeheer. Welke oplossing je hier ook hebt, deze moet nu worden gedefinieerd en niet tijdens de nasleep van een ransomware aanval.
Bescherm de back-ups zelf - De meeste back-upsystemen die tegenwoordig op de markt zijn, gebruiken schijven als het meest gebruikelijke medium. De dagen van tape zijn namelijk allang voorbij. Dat gezegd hebbende, kan een online medium zoals schijf back-upgegevens tot een belangrijk doelwit maken voor dit type aanval. Met dat in gedachten, moet je zorgen dat je de best practices van (Just-Enough-Admin) volgt voor jouw back-upbewerkingen, in die zin dat alleen de rechten die nodig zijn om de klus te klaren, aan de gebruiker moeten worden toegewezen, en service accounts die worden gebruikt om de back-upservices te leveren.
Zorg voor een externe kopie - Mocht het ergste gebeuren, en jouw lokale back-ups worden ook versleuteld, dan is het goed om een externe, onsamenhangende locatie te hebben die een kopie van de back-ups bevat. Het grote ding hier is dat het niet gemakkelijk toegankelijk moet zijn vanuit je productienetwerk. Correct gebruik van applicatie-serviceaccounts, bestands- / mapmachtigingen en netwerktopologie zou het voor een aanvaller veel moeilijker moeten maken om deze externe back-ups te bereiken, laat staan om ze te vinden.
Het concept van herstel van ransomware is niet zo moeilijk; het gaat meer om proactief inzicht hebben in wat belangrijk is voor jouw klant. Volg de best practices uit de branche en stel een plan op om te herstellen, net als bij elk ander rampscenario. Voorkomen is beter dan genezen.
Wil je meer informatie over backup en disaster recovery, of over andere diensten waar Portland je bij kan helpen? Bekijk onze MSP Support en Portland pagina voor het volledige aanbod.