Blog

Wat te doen tegen een ransomware aanval?

De inzet van een Security Operations Center

Bijna dagelijks worden Nederlandse organisaties slachtoffer van aanvallen met ransomware. Ransomware is kwaadaardige software die wordt gebruikt om bestanden te versleutelen. Slachtoffers moeten aan de aanvallers losgeld (ransom) betalen om hun bestanden terug te krijgen. In sommige gevallen dreigen de aanvallers ook met het openbaar maken van de gestolen data als het losgeld niet wordt betaald.

Het gevraagde losgeld is de afgelopen jaren explosief toegenomen. Waar het losgeld rond 2012 meestal een paar duizend euro bedroeg, wordt nu vaak een som van honderdduizenden of zelfs miljoenen euro’s geëist. De laatste jaren zien we dat aanvallers zich niet meer richten op het besmetten met een enkele computer, maar hele netwerken overnemen, inclusief de systemen waar backups worden opgeslagen. Als het onmogelijk is om backups terug te zetten, zien veel organisaties zich genoodzaakt om het losgeld te betalen.

De kosten lopen snel op bij een cyberaanval. Je bedrijf is tijdelijk offline, systemen moeten opgeschoond worden en je loopt inkomsten mis. Verder krijg je als organisatie ook te maken met reputatieschade, wat lastiger uit te drukken is in kosten. Op de langere termijn zullen de kosten hierdoor nog wel hoger worden is mijn verwachting. En hoe goed je je als organisatie ook verzekerd, nooit zullen alle kosten worden gedekt.

Stijging ransomware aanvallen in 2021

Het bedrijf Cybersecurity Ventures voorspelt dat in 2021 er wereldwijd elke 11 seconden een ransomware aanval op een bedrijf wordt uitgevoerd. Zij schatten dat de kosten van ransomware voor bedrijven 20 miljard dollar zullen bedragen en de wereldwijde schade door cybercriminaliteit zal 6 biljoen zal zijn. Dit zijn niet alleen de losgeld betalingen, maar ook de kosten van herstel en schadebeperking na een aanval. Met name de herstelkosten zijn aanzienlijk. En met de hoeveelheid aanvallen die er tegenwoordig zijn is het slim deze kosten in overweging te nemen bij de budgettering voor de komende jaren.

Check Point, een van onze partners en leverancier van cybersecurity-oplossingen, ziet ook een stijging in het aantal ransomware aanvallen. Tijdens een onderzoek in de zomer van 2020 zagen zij dat het dagelijks gemiddelde van ransomware aanvallen met 50% is gestegen in vergelijking met de periode daarvoor. In Nederland zagen zij zelfs een toename van 100%. Bij deze aanvallen gaat het met name om ransomware als Egregor (opvolger van Maze) en Ryuk.

Records werden gebroken in 2020 in het aantal aanvallen. Volgens Check Point begon deze trend toen de wereldwijde COVID-19 pandemie uitbrak en iedereen massaal thuis ging werken. Zo konden er ‘gaten’ ontstaan in de verdediging van IT systemen.

Ransomware & COVID-19

Aanvallen komen in elke sector voor, maar met name voor de zorgsector zijn deze aanvallen nu extra zwaar omdat zij al onder druk staan als gevolg van de COVID-19 pandemie. Cybercriminelen laten zich helaas niet afschrikken door deze crisis.

In een onderzoeksrapport van Zscaler werd geschreven dat er meer dan 6,6 miljard versleutelde bedreigingen werden gedetecteerd in hun cloud van januari tot en met september 2020 binnen encrypted kanalen. Zoals je ziet staat de zorg op nummer 1 in het aantal aanvallen, maar andere sectoren komen er ook niet goed vanaf:

  1. Zorg: 1,6 miljard (25,5%)
  2. Financiële en verzekeringsinstellingen: 1,2 miljard (18,3%)
  3. Productie: 1,1 miljard (17,4%)
  4. Overheden: 952 miljoen (14,3%)
  5. Service: 730 miljoen (13,8%)

De grootste stijging was zichtbaar in maart 2020, toen de Wereld Gezondheids Dienst (WHO) het virus tot een pandemie verklaarde. Toen zagen de onderzoekers een vervijfvoudiging van het aantal ransomware aanvallen over encrypted verkeer. Cybercriminelen gebruikten de angst voor het virus als middel.

Aanpak van ransomware

Voor een succesvolle aanpak van ransomware is het noodzaak om op meerdere zaken te focussen. Hierbij kan je denken aan:

  • Educatie
  • E-mail security
  • End-point protection
  • Patchbeleid
  • Netwerksegmentatie
  • SOC/monitoring
  • Backups
  • Incident Response

In dit artikel zal ik verder focussen op hoe je met behulp van een SOC de aanval kan inzetten tegen ransomware.

Security Operations Centre SOC engineers

De aanval inzetten tegen ransomware met een SOC

Met de juiste security oplossingen kan je de meeste aanvallen van ransomware tijdig waarnemen en zo beperken/tegenhouden. Een van de middelen is een Next Generation Firewall (NGFW). Mijn collega Remco Hobo heeft een mooi overzicht gemaakt van de top 5 NGFW voor 2021. Maar vaak zijn firewalls en antivirus systemen onvoldoende om een ransomware attack tegen te houden. Daarom stappen steeds meer organisaties over op een Security Operations Center (SOC).

Een SOC is de fysieke locatie van een informatiebeveiligings team. Dit team is verantwoordelijk voor het monitoren en analyseren van de beveiliging van een organisatie op een continue basis. Ze zijn ook actief in het voorkomen, opsporen en reageren op cybersecurity incidenten. Het team dat je netwerk en systemen bewaakt doet dit met een Security Information & Event Management (SIEM) platform. Het biedt real-time analyse van beveiligingswaarschuwingen en verbetert de detectie van bedreigingen en de mogelijkheden om te reageren. Een SIEM helpt om inzicht te geven in de dagelijkse activiteiten binnen je netwerk en vormt de basis van een effectief security framework. Ook wordt in een SOC veel geautomatiseerd, zodat verbanden gelegd worden tussen incidenten en sneller de oorzaak van het probleem gevonden kan worden. Dit zorgt tegelijk voor kortere tijd om het incident op te lossen.

Wanneer een Chief Information Security Officer (CISO) aan de slag wil gaan met een SOC is het een uitdagende opgave om in één keer een volwaardig SOC op te zetten. Daarom raden wij aan om klein te beginnen en stapsgewijs door te groeien naar een compleet SOC. Daarnaast is het ook belangrijk om de samenwerking aan te gaan met de gehele organisatie. Informatieverwerking wordt namelijk door iedereen gedaan. Dit maakt de inrichting van een SOC uitdagende bezigheid.

Opzetten van een SOC

Voor adequate monitoring van informatiebeveiliging binnen jouw organisatie is meer nodig dan het monitoren van logbestanden van antivirus oplossingen of de firewall. Er moeten een aantal zaken ingericht en georganiseerd worden:

  • Informatiebeveiligingsbeleid - hierin staan de doelstellingen van informatiebeveiliging voor de organisatie en hoe informatiebeveiliging is georganiseerd.
  • Overzicht van het applicatielandschap - dit geeft zicht op welke informatie een organisatie in huis heeft en de wijze waarop deze informatie wordt verwerkt. Deze is ook nodig voor de risicoanalyse.
  • Resultaten van een recente risicoanalyse - hiermee wordt in kaart gebracht wat de gevolgen zijn voor de organisatie in het geval van problemen met beschikbaarheid, integriteit en vertrouwelijkheid van bepaalde informatie. Ook laat het zien welke bedreigingen bij de verwerking van informatie een onacceptabel risico vormen.
  • ICT-beheerorganisatie - een SOC zal aanvallen detecteren en netwerk zwakheden aan het licht brengen. Hier worden proposities voor opgesteld, zodat aanvallen afgewend kunnen worden afgewend of ter verbetering van de beveiliging. Deze worden doorgezet naar de ICT-beheerorganisatie. Hiervoor zijn goede afspraken en vastgelegde processen nodig tussen het SOC en de ICT-beheerorganisatie.
  • Eigenaarschap voor informatiesystemen - ieder informatiesysteem moet een manager hebben als systeemeigenaar. Dit is voor het geval er tactische beslissingen genomen moeten worden aan de hand van een waargenomen incident. 

Naast dat je al deze bovenstaande zaken in gang moet zetten is het ook belangrijk om de juiste mensen te vinden die aan de slag gaan met monitoring. Een SOC is nog vrij nieuw, dus het vinden van ervaren SOC-medewerkers kan lastig zijn. Ga daarom eerst op zoek naar medewerkers binnen jouw organisatie met de juiste motivatie en mentaliteit om hiermee aan de slag te gaan. Ook het is van belang om te investeren in hun opleiding. Dit moet een terugkerend item zijn, want cybercriminelen stoppen ook niet met ontwikkelen van hun aanvallen. Verder is het belangrijk dat de monitoring zo mogelijk 24x7 en voor alle dagen van de week wordt ingericht. De hackers werken ook buiten kantooruren (knipoog).

Een SOC zelf organiseren of uitbesteden?

Wanneer je als CISO aan de slag wilt gaan met een SOC om onder andere de dreiging van ransomware aanvallen te beperken, moet je goed nadenken of je deze zelf wilt opzetten of wilt uitbesteden. Het vanaf de grond opbouwen van een SOC kan een uitdagende klus zijn zoals je hierboven hebt gelezen. Je kan dit ook uitbesteden, dan kies je voor Managed Detection & Response of ook wel SOC as a Service (SOCaas) genoemd. Dan hoef je niet zelf aan de slag met de opbouw van een SOC, het kiezen van de juiste software, de mensen en alle processen die erbij komen kijken. 

Wanneer je jouw beveiliging uitbesteed zul je er niet de controle over verliezen. Je blijft als organisatie zelf eindverantwoordelijk. Een extern-SOC team brengt je op de hoogte wanneer er een dreiging of inbreuk op je netwerk is en geeft je hier feedback over op een prioritair niveau en kan helpen met het oplossen van de inbreuk.

Ontdek wat een managed SOC inhoudt, waarom het uitbesteden van jouw IT-security niet eng is en hoe je de juiste managed SOC kiest »

Kom in contact met Infradata

Wil je meer te weten komen over het tegengaan van ransomware aanvallen, de voordelen van een managed SOC of het SOC-team van Infradata? Neem dan contact met ons op of laat een bericht achter. We nemen snel contact met je op.

Bel direct Stuur een bericht

Sanne Schoonhoven - 6 januari 2021

Contact met onze security expert

Ontmoet Erik Biemans, product manager voor managed security services bij Infradata. Wil je met hem in gesprek over dit onderwerp, of heb je specifieke vragen over onze security dienstverlening? Bel ons dan of laat een bericht achter.

Managed Services

Verlaag je overhead en verbeter de efficiency door gebruik te maken van onze schaal, ervaring, expertise en hoge mate van standaardisatie. Ontdek onze Next-Generation beveiliging en infrastructuur als een service.

Lees meer

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.