Neem contact op
Ransomware

Wat te doen tegen een ransomware aanval?

7 min. leestijd
Placeholder for Security engineer desktopSecurity engineer desktop

Share

Bijna dagelijks worden Nederlandse organisaties slachtoffer van aanvallen met ransomware. Ransomware is kwaadaardige software die wordt gebruikt om bestanden te versleutelen. Slachtoffers moeten aan de aanvallers losgeld (ransom) betalen om hun bestanden terug te krijgen. In sommige gevallen dreigen de aanvallers ook met het openbaar maken van de gestolen data als het losgeld niet wordt betaald.

Het gevraagde losgeld is de afgelopen jaren explosief toegenomen. Waar het losgeld rond 2012 meestal een paar duizend euro bedroeg, wordt nu vaak een som van honderdduizenden of zelfs miljoenen euro’s geëist. De laatste jaren zien we dat aanvallers zich niet meer richten op het besmetten met een enkele computer, maar hele netwerken overnemen, inclusief de systemen waar backups worden opgeslagen. Als het onmogelijk is om backups terug te zetten, zien veel organisaties zich genoodzaakt om het losgeld te betalen.

De kosten lopen snel op bij een cyberaanval. Je bedrijf is tijdelijk offline, systemen moeten opgeschoond worden en je loopt inkomsten mis. Verder krijg je als organisatie ook te maken met reputatieschade, wat lastiger uit te drukken is in kosten. Op de langere termijn zullen de kosten hierdoor nog wel hoger worden is mijn verwachting. En hoe goed je je als organisatie ook verzekerd, nooit zullen alle kosten worden gedekt.

Stijging ransomware aanvallen in 2021

Het bedrijf Cybersecurity Ventures voorspelt dat in 2021 er wereldwijd elke 11 seconden een ransomware aanval op een bedrijf wordt uitgevoerd. Zij schatten dat de kosten van ransomware voor bedrijven 20 miljard dollar zullen bedragen en de wereldwijde schade door cybercriminaliteit zal 6 biljoen zal zijn. Dit zijn niet alleen de losgeld betalingen, maar ook de kosten van herstel en schadebeperking na een aanval. Met name de herstelkosten zijn aanzienlijk. En met de hoeveelheid aanvallen die er tegenwoordig zijn is het slim deze kosten in overweging te nemen bij de budgettering voor de komende jaren.

CheckPoint ziet ook een stijging in het aantal ransomware aanvallen. Tijdens een onderzoek in de zomer van 2020 zagen zij dat het dagelijks gemiddelde van ransomware aanvallen met 50% is gestegen in vergelijking met de periode daarvoor. In Nederland zagen zij zelfs een toename van 100%. Bij deze aanvallen gaat het met name om ransomware als Egregor (opvolger van Maze) en Ryuk.

Records werden gebroken in 2020 in het aantal aanvallen. Volgens Check Point begon deze trend toen de wereldwijde COVID-19 pandemie uitbrak en iedereen massaal thuis ging werken. Zo konden er ‘gaten’ ontstaan in de verdediging van IT systemen.

Ransomware & COVID-19

Aanvallen komen in elke sector voor, maar met name voor de zorgsector zijn deze aanvallen nu extra zwaar omdat zij al onder druk staan als gevolg van de COVID-19 pandemie. Cybercriminelen laten zich helaas niet afschrikken door deze crisis.

In een onderzoeksrapport van Zscaler werd geschreven dat er meer dan 6,6 miljard versleutelde bedreigingen werden gedetecteerd in hun cloud van januari tot en met september 2020 binnen encrypted kanalen. Zoals je ziet staat de zorg op nummer 1 in het aantal aanvallen, maar andere sectoren komen er ook niet goed vanaf:

  1. Zorg: 1,6 miljard (25,5%)
  2. Financiële en verzekeringsinstellingen: 1,2 miljard (18,3%)
  3. Productie: 1,1 miljard (17,4%)
  4. Overheden: 952 miljoen (14,3%)
  5. Service: 730 miljoen (13,8%)

De grootste stijging was zichtbaar in maart 2020, toen de Wereld Gezondheids Dienst (WHO) het virus tot een pandemie verklaarde. Toen zagen de onderzoekers een vervijfvoudiging van het aantal ransomware aanvallen over encrypted verkeer. Cybercriminelen gebruikten de angst voor het virus als middel.

Placeholder for Figure1 medusalocker paymentportalFigure1 medusalocker paymentportal

Aanpak van ransomware

Voor een succesvolle aanpak van ransomware is het noodzaak om op meerdere zaken te focussen. Hierbij kan je denken aan:

  • Educatie
  • E-mail security
  • End-point protection
  • Patchbeleid
  • Netwerksegmentatie
  • SOC/monitoring
  • Backups
  • Incident Response

In dit artikel zal ik verder focussen op hoe je met behulp van een SOC de aanval kan inzetten tegen ransomware.

De aanval inzetten tegen ransomware met een SOC

Met de juiste security oplossingen kan je de meeste aanvallen van ransomware tijdig waarnemen en zo beperken/tegenhouden. Een van de middelen is een Next Generation Firewall (NGFW). Mijn collega Remco Hobo heeft een mooi overzicht gemaakt van de top 5 NGFW voor 2022. Maar vaak zijn firewalls en antivirus systemen onvoldoende om een ransomware attack tegen te houden. Daarom stappen steeds meer organisaties over op een Security Operations Center (SOC).

Een SOC is de fysieke locatie van een informatiebeveiligings team. Dit team is verantwoordelijk voor het monitoren en analyseren van de beveiliging van een organisatie op een continue basis. Ze zijn ook actief in het voorkomen, opsporen en reageren op cybersecurity incidenten. Het team dat je netwerk en systemen bewaakt doet dit met een Security Information & Event Management (SIEM) platform. Het biedt real-time analyse van beveiligingswaarschuwingen en verbetert de detectie van bedreigingen en de mogelijkheden om te reageren. Een SIEM helpt om inzicht te geven in de dagelijkse activiteiten binnen je netwerk en vormt de basis van een effectief security framework. Ook wordt in een SOC veel geautomatiseerd, zodat verbanden gelegd worden tussen incidenten en sneller de oorzaak van het probleem gevonden kan worden. Dit zorgt tegelijk voor kortere tijd om het incident op te lossen.

Wanneer een Chief Information Security Officer (CISO) aan de slag wil gaan met een SOC is het een uitdagende opgave om in één keer een volwaardig SOC op te zetten. Daarom raden wij aan om klein te beginnen en stapsgewijs door te groeien naar een compleet SOC. Daarnaast is het ook belangrijk om de samenwerking aan te gaan met de gehele organisatie. Informatieverwerking wordt namelijk door iedereen gedaan. Dit maakt de inrichting van een SOC uitdagende bezigheid.

Opzetten van een SOC

Voor adequate monitoring van informatiebeveiliging binnen jouw organisatie is meer nodig dan het monitoren van logbestanden van antivirus oplossingen of de firewall. Er moeten een aantal zaken ingericht en georganiseerd worden:

  • Informatiebeveiligingsbeleid - hierin staan de doelstellingen van informatiebeveiliging voor de organisatie en hoe informatiebeveiliging is georganiseerd.
  • Overzicht van het applicatielandschap - dit geeft zicht op welke informatie een organisatie in huis heeft en de wijze waarop deze informatie wordt verwerkt. Deze is ook nodig voor de risicoanalyse.
  • Resultaten van een recente risicoanalyse - hiermee wordt in kaart gebracht wat de gevolgen zijn voor de organisatie in het geval van problemen met beschikbaarheid, integriteit en vertrouwelijkheid van bepaalde informatie. Ook laat het zien welke bedreigingen bij de verwerking van informatie een onacceptabel risico vormen.
  • ICT-beheerorganisatie - een SOC zal aanvallen detecteren en netwerk zwakheden aan het licht brengen. Hier worden proposities voor opgesteld, zodat aanvallen afgewend kunnen worden afgewend of ter verbetering van de beveiliging. Deze worden doorgezet naar de ICT-beheerorganisatie. Hiervoor zijn goede afspraken en vastgelegde processen nodig tussen het SOC en de ICT-beheerorganisatie.
  • Eigenaarschap voor informatiesystemen - ieder informatiesysteem moet een manager hebben als systeemeigenaar. Dit is voor het geval er tactische beslissingen genomen moeten worden aan de hand van een waargenomen incident.

Naast dat je al deze bovenstaande zaken in gang moet zetten is het ook belangrijk om de juiste mensen te vinden die aan de slag gaan met monitoring. Een SOC is nog vrij nieuw, dus het vinden van ervaren SOC-medewerkers kan lastig zijn. Ga daarom eerst op zoek naar medewerkers binnen jouw organisatie met de juiste motivatie en mentaliteit om hiermee aan de slag te gaan. Ook het is van belang om te investeren in hun opleiding. Dit moet een terugkerend item zijn, want cybercriminelen stoppen ook niet met ontwikkelen van hun aanvallen. Verder is het belangrijk dat de monitoring zo mogelijk 24x7 en voor alle dagen van de week wordt ingericht. De hackers werken ook buiten kantooruren (knipoog).

Een SOC zelf organiseren of uitbesteden?

Wanneer je als CISO aan de slag wilt gaan met een SOC om onder andere de dreiging van ransomware aanvallen te beperken, moet je goed nadenken of je deze zelf wilt opzetten of wilt uitbesteden. Het vanaf de grond opbouwen van een SOC kan een uitdagende klus zijn zoals je hierboven hebt gelezen. Je kan dit ook uitbesteden, dan kies je voor Managed Detection & Response of ook wel SOC as a Service (SOCaas) genoemd. Dan hoef je niet zelf aan de slag met de opbouw van een SOC, het kiezen van de juiste software, de mensen en alle processen die erbij komen kijken.

Wanneer je jouw beveiliging uitbesteed zul je er niet de controle over verliezen. Je blijft als organisatie zelf eindverantwoordelijk. Een extern-SOC team brengt je op de hoogte wanneer er een dreiging of inbreuk op je netwerk is en geeft je hier feedback over op een prioritair niveau en kan helpen met het oplossen van de inbreuk.

Ontdek wat een managed SOC inhoudt, waarom het uitbesteden van jouw IT-security niet eng is en hoe je de juiste managed SOC kiest »
Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates

Placeholder for Adobe Stock 369977292Adobe Stock 369977292
Juniper Networks

Netwerk security

Junipers viervoudig leiderschap in het Gartner Magic Quadrant

Het herhaalde leiderschap van Juniper Networks in Gartner's Magic Quadrant onderstreept zijn innovatieve voorsprong in wired, wireless en indoor location technologie.

3 min. leestijd
Placeholder for Industrial company NIS2Industrial company NIS2

NIS2

NIS2 vraagt van industriële bedrijven grote inspanningen om hun OT-omgevingen te beveiligen: Waar te beginnen?

Duizenden industriële bedrijven krijgen te maken met de implementatie van NIS2, waarbij de uitdagingen per bedrijf sterk verschillen. Wij presenteren je 12 stappen om naleving te bereiken.

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson

5 min. leestijd
Placeholder for Two men looking at a laptopTwo men looking at a laptop

Cloud security Endpoint security

Het belang van Secure Web Gateways (SWG)

Deze gids introduceert Secure Web Gateways (SWG), waarbij belangrijke functies, implementatieopties, schaalbaarheid, organisatorische voordelen, integratie voor praktische inzichten worden behandeld.

3 min. leestijd
Alle artikelen