Checklist bescherming ransomware

Overzicht

Checklist bescherming ransomware

Ransomware is nog steeds een kwelgeest voor veel organisaties. Wanneer een organisatie slachtoffer wordt van een ransomware aanval kan dit grote gevolgen hebben voor de continuïteit van de organisatie. Het kan soms dagen of weken duren voordat de organisatie alles weer hersteld heeft en  de normale bedrijfsvoering weer kan oppakken. Als dit al lukt… Bovendien kan het aanleiding geven voor veel aandacht in de landelijke pers met de nodige imagoschade tot gevolg.

Vanuit mijn ervaring, opgedaan bij de uitvoering van cybersecurity assessments bij veel organisaties, heb ik een checklist samengesteld van maatregelen die een organisatie kan nemen om te proberen een ransomware infectie te voorkomen. Aangezien er geen 100% garantie om ransomware te voorkomen is het daarom minstens zo belangrijk om een mogelijke ransomware aanval op tijd te detecteren en snel te kunnen isoleren. Tenslotte is het van groot belang om voorbereid te zijn mocht de ransomware aanval toch leiden tot het platleggen van grote delen van de IT omgeving (en mogelijk ook OT omgevingen).

De structuur van de checklist heb ik opgebouwd op basis van het NIST Cybersecurity framework. Dit framework dient om organisaties weerbaarder te maken tegen cybersecurity incidenten en bestaat uit de stappen: identificeer, bescherm, detecteer, reageer en herstel.

Identificeer

  • Identificeer systemen, data en andere waardevolle assets die de organisatie nodig heeft om haar doelstellingen te behalen
  • Stel met behulp van een business impact analyse vast wat de gevolgen zijn voor de organisatie als een ransomware aanval niet afgestopt kan worden en de gehele IT omgeving platlegt
  • Stel vast hoe het is gesteld met de awareness van de gebruikers en management in de organisatie als het gaat om ransomware en cybersecurity in het algemeen

Bescherm

  • Train de gebruikers en management en maak hun bewust van (gerichte) phishing campagnes die worden gebruikt om ransomware op het netwerk van de organisatie te krijgen door bv malafide bijlagen etc.
  • Zorg voor goede emailbescherming die phishing mails kunnen herkennen en kunnen voorkomen dat malafide bijlagen of links bij de gebruiker terecht komen
  • Zorg voor een adequate en up to date endpoint security oplossing die naast bekende virussen tegen houdt ook afwijkende patronen herkent die mogelijk kunnen wijzen op ransomware
  • Zorg ervoor dat het netwerk is opgesplitst in zones, zodat malware zich niet zo makkelijk kan verspreiden
  • Zorg dat de firewall(s) up to date zijn en zorgen voor de juiste bescherming tussen de zones
  • Zorg ervoor dat alle systemen up to date zijn (patches) en systemen die niet kunnen worden gepatcht extra beschermd worden
  • Zorg ervoor dat alleen bekende software uitgevoerd kan worden. Restricties op executables die mogen worden uitgevoerd op systemen
  • Zorg dat medewerkers alleen de rechten hebben die ze nodig hebben om hun werk te kunnen doen. Voorkom zoveel mogelijk local admin rechten
  • Zet protocollen die niet worden gebruikt, ook daadwerkelijk uit. Zoals bijvoorbeeld RDP (Remote Desktop Protocol). Hardening van systemen
  • Test de effectiviteit van de genomen technische security maatregelen op regelmatige basis
  • Voer op regelmatige basis vulnerability scans uit
  • Backup de data conform het beproefde 3-2-1 principe: 3 kopieën van de data op twee verschillende backupstorage, waarvan er minimaal 1 ook offline wordt gehouden (voorkomt dat offline backup ook versleuteld wordt door de ransomware)
  • Test de integriteit van de backups regelmatig en ook de recovery. Het hebben van inzicht wanneer u zich volledig kan herstellen, geeft een vertrouwd gevoel

Detecteer

  • Zorg voor een geavanceerde, realtime Intrusion Detection oplossing die potentiele ransomware aanvallen snel kan detecteren
  • De verschillende ingezette security oplossingen genereren de nodige logging en events. Het is belangrijk hier inzicht in te hebben. Ook de logging van belangrijke systemen, zoals de domain controller, Office 365, etc is van belang. Door actief vanaf een centrale plek de security te monitoren en de verschillende logbronnen in de gaten te houden, kan men sneller en effectieve mogelijke aanvallen detecteren

Reageer

  • Zorg ervoor dat u geïnfecteerde systemen snel kunt isoleren en afsluiten
  • Stel uw backups veilig
  • Disable alle shares waar u kritieke of gevoelige data op slaat
  • Zorg ervoor dat u snel en effectief de gehele organisatie kunt alarmeren en voorzien van de juiste instructies
  • Probeer snel grip te krijgen over de omvang en de ernst van de situatie (aantal devices en welke data is versleuteld).
  • Waarschuw uw partners en de autoriteiten indien noodzakelijk (Autoriteit Persoonsgegevens, agentschap Telecom)
  • Stel de logging veilig, zodat u onderzoek kunt doen
  • Stel vast om welke ransomware het gaat en hoe de malware op uw netwerk is gekomen
  • Mitigeer de geconstateerde kwetsbaarheid
  • Check wat de mogelijkheden zijn om de data te ontcijferen (decryptietool)

Herstel

  • Zorg ervoor dat de ransomware volledig is verdwenen van uw IT omgeving
  • Restore de data van de backup

Lees meer over het testen of uw organisatie weerbaar is tegen ransomware aanvallen op: https://sblcybersecurity.nl/artikel/cyber-risico-assessments-essentieel-wanneer-bedrijven-versneld-gaan-digitaliseren/ en https://sblcybersecurity.nl/artikel/bent-u-voorbereid/

Deel deze insight:

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on print
Print
Share on email
Email

Voordeel SBL

Wat zijn de voordelen van SBL Cyber Security

Advies op maat

Cybersecurity is maatwerk. Niet iedere organisatie is hetzelfde en loopt dezelfde risico’s. SBL stemt advies, aanpak en oplossingen af op uw behoefte.

Toegang tot ervaren experts

Niet iedereen weet alles. Door de ervaring van SBL kunnen we wel alles overzien. Via SBL heeft u toegang tot ervaren experts die u kunnen helpen.

Maak Cybersecurity inzichtelijk

SBL zorgt voor expertise en hulpmiddelen om uw ICT omgeving en uw beveiligingsstatus in kaart te brengen. Het vertrekpunt voor een gedegen verbeterplan.

Effectief samenwerken

SBL werkt graag voor u wanneer dat nodig is. Wij zijn op de locatie of wij werken met de hedendaagse hulpmiddelen veilig online. Beter voor het milieu en bovendien efficiënte tijdsbesteding.

Hulp nodig bij cyber security?

Alleen nog geen idee waar te beginnen

Vragen?

of

Plan hier uw afspraak​. Wij bellen u zo spoedig mogelijk terug!