Hoe kunnen organisaties zichzelf beschermen tegen de ransomwarepandemie?
Ransomware is niet nieuw.
De security-frameworks die zijn opgezet om aanvalsketens van bedreigingen af te weren, zijn ook niet nieuw.
Voor een goed inzicht in wat de beste verdediging tegen ransomware is, moeten we eerst een goed inzicht hebben in de ransomware zelf. Wat zijn de economische aspecten, de drijfveren, de tactieken, de technieken en de procedures? Ook moeten we rekening houden met het veranderende landschap van de afgelopen anderhalf jaar, zowel in sociaal als in technisch opzicht.
Wat is ransomware en hoe werkt het?
Laten we beginnen bij het begin. Wat is ransomware?
Ransomware is, zoals de naam al aangeeft, malware die de toegang tot een systeem blokkeert totdat er losgeld is betaald.
Het bedrijfsmodel van ransomware is in wezen heel eenvoudig. Dring een systeem binnen, versleutel het systeem en bied de eigenaar een decoderingssleutel aan in ruil voor losgeld dat in niet-traceerbare cryptovaluta moet worden betaald.
Ransomwaregroepen werken bijna op dezelfde manier als een gewone organisatie. Ze hebben personeel, een teamstructuur, een product en ze investeren tijd en moeite in het verbeteren van hun product. Ook doen ze er alles aan om hun reputatie hoog te houden onder hun klanten (hun slachtoffers). Per slot van rekening is het niet goed voor de zaken als iemand losgeld betaalt voor een decoderingssleutel die niet werkt.
In de afgelopen jaren is er veel discussie geweest of het wel zo verstandig is om losgeld te betalen. Veel mensen vinden dat criminelen hiermee worden beloond, zodat ze nog meer geld in hun activiteiten kunnen investeren en het probleem alleen maar groter wordt. Maar dat ijzersterke argument is veel moeilijker vol te houden op het moment dat iemand zelf slachtoffer wordt. Hoe zou u zich voelen als uw systeem volledig versleuteld is, uw personeel duimen zit te draaien en boze klanten om een snel herstel van de services roepen? Een ransomware-aanval kan een organisatie letterlijk kapot maken als er niet snel een oplossing wordt gevonden. En als het om een cruciale serviceprovider gaat, zoals een nutsbedrijf of een ziekenhuis, spelen er nog veel meer factoren mee en kan een afwachtende houding ernstige gevolgen hebben voor mensen die zelf geen deel uitmaken van de organisatie.
Wat zijn de kosten van ransomware-aanvallen?
Ransomware groeit 30% op jaarbasis. Als deze trend zich voortzet, kunnen de kosten alleen al in 2021 oplopen naar 20 miljard dollar. En dat is zeker geen onrealistische verwachting, omdat lang niet alle ransomware-aanvallen worden gemeld en niet alle betalingen bekend worden gemaakt. In een wereld waarin ministeries overwegen het betalen van losgeld te verbieden en aandelenmarkten zeer heftig kunnen reageren, is het uiteraard heel begrijpelijk dat organisaties dit soort incidenten liever niet aan de grote klok hangen.
Toch zijn er veel incidenten aan het licht gekomen, hoewel de exacte details vaak moeilijk te achterhalen zijn.
Zo kwamen dit jaar enkele grote organisaties breeduit in het nieuws in verband met een ransomware-aanval. De aanvallen vonden plaats in verschillende branches, van producenten en nutsbedrijven zoals KIA Motors en Colonial Pipeline, tot tech-organisaties zoals CD Projekt Red en Acer, tot financiële dienstverleners zoals CNA en AXA Insurance, en zelfs security-providers zoals Kesaya. Maar deze aanvallen raken niet alleen het slachtoffer. Veel getroffen organisaties zijn leveranciers van goederen of services, waardoor de aanvallen een sterk domino-effect hebben op klanten die zich verderop in de leveringsketen bevinden.
Daarnaast beperkt de ransomwarepandemie zich niet alleen tot zakelijke organisaties en klanten, maar treft deze ook de gezondheidszorg en de behandeling van patiënten. Ziekenhuizen, klinieken en federatieve netwerken, zoals de NHS in het VK, hebben er allemaal mee te maken gehad. De Ierse gezondheidsdienst HSE is nog steeds niet helemaal hersteld van de aanvallen die vier maanden geleden plaatsvonden, met alle langetermijngevolgen voor de patiëntenzorg van dien.
Hoeveel deze aanvallen de respectieve slachtoffers hebben gekost, is moeilijk in te schatten. De losgeldeisen kunnen variëren van kleine bedragen tot tientallen miljoenen, maar meestal wordt het precieze bedrag dat organisaties hebben betaald niet bekendgemaakt. Het is in elk geval wel duidelijk dat ransomwaregroepen heel veel geld verdienen.
Volgens een onderzoek dat Sophos uitvoerde voor zijn State of Ransomware 2021-rapport wordt er gemiddeld 170.000 dollar aan losgeld betaald. De gemiddelde kosten van het herstel na een aanval stegen echter van 761.000 naar meer dan 1,85 miljoen dollar. Dat is belangrijk: de kosten van het herstel van een ransomware-aanval zijn nu tien keer hoger dan het losgeld dat wordt betaald. Uit datzelfde onderzoek komt ook naar voren dat het aantal organisaties dat losgeld heeft betaald, is gestegen van 26% naar 32%, maar dat slechts 8% erin is geslaagd de geblokkeerde data volledig te herstellen.
Wat is er nieuw op het gebied van ransomware?
Men ging er altijd vanuit dat betrouwbare databack-ups en uitgekiende herstelprocedures een goede bescherming boden tegen het betalen van losgeld. Er doen weliswaar enkele nare verhalen de ronde over back-ups die ook zouden zijn geïnfecteerd, maar dat zijn uitzonderingen. Ransomwaregroepen hebben echter nieuwe manieren ontdekt om security-maatregelen te omzeilen en te zorgen dat hun inspanningen worden beloond:
- Data wordt tegenwoordig vaak gestolen vóór de versleuteling, zodat een aanvaller kan dreigen deze te publiceren, als extra aansporing om het losgeld te betalen.
- Nadat een aanvaller eenmaal is binnengedrongen, kan de toegang tot het netwerk via access brokers worden verkocht aan andere criminelen. Dat leidt tot nog meer aanvallen die verschillende motieven kunnen hebben.
- Als een supply chain wordt getroffen door een ransomware-aanval, kan via de klanten van een leverancier nog meer druk op het slachtoffer worden uitgeoefend om de service snel te herstellen.
- Voorkennis van een aanval kan worden verkocht aan financiële tussenpersonen die vervolgens kunnen speculeren op koersdalingen voordat het probleem bekend wordt op de markt.
- Specifieke technische ervaring is tegenwoordig ook niet meer nodig, omdat complexe kwaadaardige technologie via ransomware-as-a-service voor een relatief kleine vergoeding aan een steeds grotere criminele doelgroep beschikbaar wordt gesteld.
Kortom, het is een slagvaardige en flexibele criminele bedrijfstak die veel wisselende manieren tot zijn beschikking heeft om geld te verdienen aan de technische ellende van anderen.
Waarom neemt het aantal ransomware-aanvallen toe?
Veel organisaties moesten snel reageren op de pandemie en besloten daarom eerst de overgang naar remote werken mogelijk te maken en op een later tijdstip een plan van aanpak op te stellen. Dat betekende onder andere dat programma's voor digitale en cloudtransformatie veel sneller dan normaal werden uitgevoerd. Veranderingen die anders jaren in beslag zouden nemen, werden nu in maanden of zelfs weken uitgevoerd. Soms werden er doelbewust gaten in de security-structuur van een organisatie gemaakt om toch maar de continuïteit te kunnen waarborgen. De technische en security-schulden die hierdoor ontstonden, moesten op een later tijdstip maar worden opgelost.
Tijdens de pandemie zijn werknemers ook kwetsbaarder geworden voor psychologische trucs die inspelen op de sociale en economische veranderingen die overal om hen heen plaatsvinden.
Andere kwetsbaarheden zijn het gevolg van veranderende werklocaties, stijgende werkloosheid, toenemende sociale onrust en op corona gebaseerde phishingaanvallen. Daarnaast delen veel mensen hun werkplek of computer met kinderen, gezinsleden of huisgenoten, zaken die allemaal bijdragen aan een hoger risico.
En ook de volgend factoren spelen een belangrijke rol:
- Organisaties zijn kwetsbaarder voor aanvallen als gevolg van de snelle transitie naar de cloud en de overgang naar remote werken.
- De afgelopen vier jaar is er elk jaar een recordaantal nieuwe kwetsbaarheden aan het licht gekomen (NIST NVD).
- De tijd die beschikbaar is om proof-of-concepts voor kwetsbaarheden te ontwikkelen is ook elk jaar verder gedaald, van weken naar dagen (en in sommige gevallen zelfs uren).
- Personeel, waaronder ook security-werknemers, raakt overbelast en velen zitten tegen een burn-out aan.
We kunnen dus zonder overdrijving stellen dat het risicoprofiel van organisaties fors is verhoogd.
Hoe reageren organisaties op ransomware-aanvallen?
Een goede responsvoorbereiding is cruciaal om als organisatie zo effectief mogelijk op een ransomware-aanval te kunnen reageren. Net als bij andere incidentresponses bestaat de eerste stap uit het maken van een draaiboek voor de respons op ransomware. Dit draaiboek moet gezamenlijk met alle relevante belanghebbenden worden opgesteld en alle mogelijke scenario's bevatten, van de kleinste verstoring tot een totale ontwrichting. Tot slot moet het draaiboek als "levend document" regelmatig worden bewerkt en bijgewerkt.
De effectiviteit van de respons op ransomware kan het beste worden gecontroleerd aan de hand van "tabletop-oefeningen", waarin alle mogelijke scenario's worden doorlopen en waaraan ook de besluitvormers deelnemen die nodig zijn als er daadwerkelijk een aanval plaatsvindt. Communiceren de teams effectief? Is het besluitvormingsproces duidelijk voor elk scenario? Zijn alle besluitvormers aanwezig?
Tot slot is het belangrijk dat u ook uw cyberverzekeraar erbij betrekt. De verzekeringsbranche had grote moeite om een verzekeringsmodel te ontwikkelen voor ransomware en voor cyberaanvallen in het algemeen. Klanten en verzekeraars hebben veel discussies moeten voeren over de dekking van de risico's, met als onvermijdelijk resultaat dat de premies geleidelijk hoger worden naarmate verzekeraars meer inzicht in hun risicopositie krijgen. Zorg dat de risico's van uw organisatie zijn afgedekt tot een niveau dat voor u acceptabel is. Bent u niet verzekerd, zoek dan een verzekeraar om mee samen te werken.
Hoe kunnen organisaties ransomware-aanvallen voorkomen en de overlast tot een minimum beperken?
Bekende best practices voor security-hygiëne en preventie spelen nog steeds een belangrijke en effectieve rol bij het afweren van cyberaanvallen, of het nu om ransomware gaat of om andere malware. Daarnaast is het belangrijk dat security-managers de volgende richtlijnen nauwkeurig opvolgen:
- Zorg dat u een goed inzicht heeft in de omgeving, de medewerkers en de supply chain (en hoe deze na de pandemie zijn veranderd).
- Let erop dat de systemen te allen tijde gepatcht en up-to-date zijn.
- Controleer of de security-maatregelen zowel op de on-prem als de cloudinfrastructuur en -assets worden toegepast.
- Verzeker u ervan dat de registratie en monitoring correct worden uitgevoerd (en dat u weet hoe alles er in een normale situatie uitziet).
- Maak gebruik van risicobeoordelingen bij de communicatie met leidinggevenden en het stellen van prioriteiten aan investeringen.
Waarom moeten organisaties investeren in identity-gedreven Zero Trust?
Security-hygiëne alleen biedt onvoldoende bescherming. In tijden met een verhoogd dreigingsniveau is het ook van essentieel belang dat u precies weet wat een Zero Trust-framework inhoudt en dat u deze aan uw security-strategie toevoegt.
Een identity-gerichte benadering van Zero Trust zorgt ervoor dat de juiste mensen in de juiste context, op het juiste device, de juiste toegangsrechten tot de juiste resource hebben. Helaas is Zero Trust niet iets dat u simpelweg kunt kopen voor uw organisatie. Een Zero Trust-benadering wordt in fasen ingevoerd en kan via de volgende moderne IAM-controles worden geïmplementeerd:
Adaptieve multi-factor authenticatie
Adaptieve multi-factor authenticatie is een van de meest effectieve manieren om account takeovers te voorkomen. Via adaptieve MFA worden toegangsrechten verleend op basis van contextafhankelijke access policies om onderscheid te maken tussen normaal en abnormaal gedrag en tussen gebruikersacties met een laag en een hoog risico. Signalen over abnormaal gedrag en acties met een hoog risico zijn vaak de eerste indicatie van kwaadaardige activiteit.
Adaptieve MFA kan voorkomen dat ransomware-operators zich voor het eerst toegang tot een systeem verschaffen, maar een holistische Zero Trust-architectuur biedt bescherming tegen laterale bewegingen van aanvallers. Een identity-gerichte benadering van Zero Trust zorgt ervoor dat de juiste mensen in de juiste context, op het juiste device, de juiste toegangsrechten tot de juiste resource hebben.
Gecentraliseerd access management
Aanvallers richten zich doelbewust op organisaties die opvallen vanwege hun complexe, legacy architecturen en slecht werkende integraties. Het implementeren van een geautomatiseerde, schaalbare en neutrale benadering van access management biedt de beste mogelijkheden om het risico op aanvallen in uw organisatie terug te dringen.
Het Okta Integration Network heeft bijvoorbeeld duizenden pre-built integraties en maakt gebruik van moderne protocollen zoals OIDC om het risico op een wildgroei aan wachtwoorden te beperken. Okta kan u helpen consistente, dynamische en op context gebaseerde access policies voor alle resources in te stellen en tegelijkertijd de user experience te verbeteren.
Authenticatiecontroles
De juiste balans tussen user experience en security is van doorslaggevend belang om de productiviteit op peil te houden en uw organisatie te beschermen. Gebruiksvriendelijke authenticatie-opties zorgen voor frictieloze controles en kunnen snel worden geadopteerd. Zo kunt u het aantal onjuiste configuraties terugdringen en voorkomen dat gebruikers hun toevlucht nemen tot minder effectieve alternatieven.
Het ransomwareprobleem kan niet met een magische toverformule worden opgelost, maar een goede security-hygiëne en een identity-gerichte Zero Trust-strategie zijn van cruciaal belang voor een optimale bescherming. Okta is - zowel vanuit architecturaal oogpunt als vanuit klantperspectief - ontworpen om een identity-gerichte Zero Trust-benadering te bieden. Als marktleider in identity en access management is Okta de ideale partner om uw organisatie te beschermen tegen de hedendaagse dreigingen. Okta kan u helpen bij het uitstippelen en implementeren van een uitgebreide identity-gerichte security-strategie waarin de complexe aspecten van het beschermen van mensen en assets worden samengevoegd in een naadloze experience. Klik hier voor meer informatie.
Start uw transitie naar Zero Trust met het downloaden van onze whitepaper: Getting Started with Zero Trust: Never trust, always verify.