De technologische mogelijkheden voor organisaties om zich te beschermen tegen ransomware-aanvallen zijn de afgelopen jaren aanzienlijk verbeterd en toegankelijker geworden. Met de opkomst van SOC/SIEM-diensten, goede offline back-upoplossingen en een focus op herstelprocedures bij versleutelde systemen is de drempel voor succesvolle aanvallen aanzienlijk verhoogd. Desondanks blijven media vol staan met berichten over geslaagde aanvallen, wat aangeeft dat de dreiging evolueert. Het is van cruciaal belang dat we ons aanpassen aan deze veranderingen om effectief te blijven verdedigen.
Ransomware als afpersing
Traditioneel is ransomware het versleutelen van al je data. Tegen betaling kan je de sleutel tot je data krijgen en kan je weer aan de slag. Met de juiste back-upstrategie en goed recovery proces is deze vorm van aanval momenteel goed te verdedigen. met slechts beperkte downtime als gevolg. Enige downtime is onoverkomelijk in deze situatie, maar de kans op verlies van grote hoeveelheden data is te marginaliseren.
Afpersing gebaseerd op gestolen data en technische beschikbaarheid
De vervolgstap is de combinatie van versleuteling en diefstal van data, met dreiging van publicatie. Het herstellen van versleutelde data is beheersbaar, maar het terughalen van gestolen data is vaak onmogelijk. In deze scenario's moeten we beseffen dat we te maken hebben met criminelen, waarbij betalen geen garantie biedt tegen publicatie van de gevoelige informatie. Het grote verschil ligt in het feit dat het middel van afpersing niet zozeer gericht is op het onbeschikbaar maken van de data, maar eerder op de dreiging om gegevens van derden te lekken, wat potentiële reputatieschade met zich meebrengt.
Verschuiving naar afpersing bebaseerd op data-exfiltratie en directere vormen
Hoewel de volgende stap in ransomware-aanvallen nog niet volledig duidelijk is, suggereren recente berichten dat afpersingsmethoden zich kunnen verplaatsen naar het lekken van data en andere vormen van schade aan de gehackte organisatie. Het feit dat een ransomware-partij bij de Amerikaanse SEC melding maakt van een beursgenoteerde partij die een hack niet bekend gemaakt heeft (terwijl ze dat wel verplicht zijn) kan een enorme impact hebben op de waarde van een bedrijf. Dan is het betalen van een paar miljoen nog een overweging als het alternatief een waardedaling van miljarden kan zijn.
Verdediging tegen Toekomstige Aanvallen
Hoe kunnen we ons verweren tegen deze evoluerende bedreigingen?
Preventie (Verdedigingslaag 1)
Preventie blijft essentieel. Het verhogen van de initiële toegangsdrempel verkleint de kans op toevallige aanvallen. Maatregelen zoals SafeLinks, SafeAttachments, ASR-configuraties, Multi Factor Authenticatie en Conditional Access verminderen de kans op een toevalstreffer voor de aanvaller.
Detectie (Verdedigingslaag 2)
Detectie wordt onmisbaar. Een SOC/SIEM-oplossing wordt cruciaal, gezien de frequentie en verfijning van aanvallen. Het gestructureerd monitoren van het gehele landschap en alle bewegingen van gebruikers, serviceaccounts, servers, services en hun onderlinge samenhang wordt een kernaspect van effectieve verdediging.
In een landschap waar aanvallers evolueren, is een holistische benadering van preventie en detectie de sleutel tot het waarborgen van de veiligheid van organisaties tegen ransomware in de toekomst.
Bron: NEH, Foto: NEH
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.