Door Anoniem: Veelal is informatiebeveiliging erop gericht om incidenten te voorkomen. Als dat je aanpak is, dan is volledige bescherming tegen ransomware inderdaad onmogelijk. Vroeg of laat ga je een keer gepakt worden. Goede informatiebeveiliging richt zich daarom niet alleen op het voorkomen van incidenten, maar ook op de gevolgen van incidenten.
Precies, maar omdat mogelijk niet alle lezers begrijpen wat je daarmee bedoelt, licht ik dat verder toe. De gangbare aanpak is inderdaad om van twee risicofactoren uit te gaan:
1) De
kans dat jouw organisatie "gepakt wordt" zo klein als mogelijk maken. D.w.z. met maatregelen die redelijkerwijs in verhouding staan tot de risico's die jouw organisatie loopt. Ethische organisaties houden daarbij ook rekening met de risico's die stakeholders (klanten, partners, leveranciers) lopen.
2) Mocht het toch gebeuren, redelijkerwijs voorzieningen treffen die de
impact (schade, niet alleen financieel) van een beveiligingsincident zo laag mogelijk maken. M.b.t. "redelijkerwijs" geldt ook hier een relatie met de risico's die jouw organisatie loopt, en ook hierbij houden erthische orgs rekening met risico's van derden als gevolg van zo'n incident.
M.b.t. punt 1: er is simpelweg nog
véél te véél "laaghangend fruit". Als je evenveel (of meer) "kroonjuwelen" in huis hebt met minder beveiliging dan jouw conculega's, pakken de meeste cybercriminelen
jou. Voor de meeste organisaties is deze kans het grootst.
Sommige organisaties zullen rekening moeten houden met
verschillige (niet-onverschillige) cybercriminelen die (evt. in opdracht) specifiek
jouw organisatie in hun vizier hebben. Dat kan de kans op een cyberincident enorm vergroten. In zo'n situatie zijn dus strengere (type duurder, irritant en/of efficiëntie-verlagend) maatregelen op z'n plaats. Met als doel het verlagen van de kans en/of de impact.
Door Anoniem: Ga er dus vanuit dat je vroeg of laat een keer gepakt wordt en vraag je vervolgens af: wat dan? Maak je organisatie dus ook weerbaar tegen dit soort incidenten. Als dat op goede wijze onderdeel is van je informatiebeveiliging, dan is bescherming tegen zoiets als ransomware prima mogelijk. Maar, je moet daar dus wel tijd en moeite in steken.
Eens, maar nog veel te veel mensen (ook veel te veel systeembeheerders, zoals hierboven "ZFS als filesystem met snapshot techniek') associeren ransomware met versleutelde servers en denken met offline backups alle potentiële probiemen op te kunnen lossen. "Onaantastbare" backups klinken leuk, maar:
• Soms hebben criminelen al maanden toegang tot netwerken van slachtoffers. Hoe oud is jouw laatste
betrouwbare backup, en hoe denk je dat (in een crisissituatie) vast te kunnen stellen?
• Hoe betrouwbaar is de firmware nog in systemen waar je backups op terugzet? Of firmware in jouw netwerkapparatuur?
• Je gaat met deze aanpak grotendeels voorbij aan de risico's voor- of concrete schade die- stakeholders oplopen door een cyberincident in jouw organisatie.
Voorkómen is beter dan genezen luidt het gezegde. Maar dat is m.i. te simpel. Je kunt inderdaad nauwelijks of niet voorkómen dat, bijvoorbeeld, een medewerker in phishing trapt en/of een (zwak) wachtwoord (her)gebruikt, en zelfs met 2FA neemt de kans hierop alleen maar toe (artikel van gisteren, eindigend met een advertentie, maar inhoudelijk correct:
https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html).
Je
moet er dus vanuit gaan dat accounts gecompromitteerd raken. Dus is het zaak om (a) de schade bij
kansrijke cyberincidenten zoveel mogelijk te beperken (in elk geval "lateral movement" zo moeilijk mogelijk te maken) en (b) zodanig grondig te monitoren dat zo'n breach, zo snel als mogelijk, wordt opgemerkt en je passende maatregelen kunt (laten) nemen.
(a) Cybercrinelen zullen in MS omgevingen, zo snel als mogelijk, domain admin willen worden. In non-MS-omgevingen gelden vergelijkbare risico's: privilege escalation naar admin/root-achtige rechten, toegang verkrijgen tot door beheerders gedeelde password managers etcetera. Wapen jouw organisatie hiertegen; assume breach.
(b) Je kunt veel doen, waaronder (en/en is beter maar duurder):
• Pro-actieve monitoring, o.a. anomaly-detection. Duur, arbeidsintensief (vaak, vooral in het begin, veel valspositieven).
• Honeypots opzetten (documentatie wel strikt geheimhouden): zwaalichten en sirenes zodra de val dichtklapt.
• Zorg dat, zo mogelijk alle, logs ook naar een veilige centrale plaats worden gestuurd (via veilige verbindingen). Die logs blijken, na een onverhoopt grootschalig incident, vaak onmisbaar om te achterhalen wanneer de aanval begon, waar mogelijk schade is opgetreden, en welke. Dit kan op zich passief.