Ransomware recovery: 'als een hersenoperatie op een patiënt die bij bewustzijn is'
Ransomware was het derde meest voorkomende en tweede meest schadelijke type malware in 2020
13 augustus 2021 -
Wereldwijd energie- en aluminiumconcern Norsk Hydro werd in 2019 getroffen door een ransomware-aanval. Remarc Bognar, Head of Network Architecture, deelt de belangrijkste lessen over het herstel van de organisatie en best practices voor de manier waarop de security kan worden versterkt.
Volgens het World Economic Forum 2020 Global Risk Report was ransomware het derde meest voorkomende en tweede meest schadelijke type malware in 2020. Met betalingen van gemiddeld $1,45 miljoen per incident is het duidelijk dat cybercriminelen steeds meer naar deze high-tech afpersingstechniek neigen. Naarmate de beloningen die voortkomen uit dit soort misdaad toenemen, nemen tegelijkertijd de risico’s toe voor de bedrijfsresultaten, reputatie, data-integriteit, klantvertrouwen en bedrijfscontinuïteit van organisaties.
Het is makkelijk om te zien waarom zoveel bedrijven toegeven aan de druk van ransomware-groepen. Een ransomware-aanval kan een schokkende ervaring zijn, omdat gebruikers worden buitengesloten van hun systemen. Zodoende kan de operationele capaciteit direct worden afgesneden. En gezien de vele externe dreigingen voor de bedrijfscontinuïteit die 2020 kenmerkten, is het niet gek dat bedrijven denken dat een ransomware-aanval de druppel is die de emmer doet overlopen.
Toen Norsk Hydro geconfronteerd werd met een ransomware-aanval in maart 2019, besloot het zelfs om niet te onderhandelen met de aanvallers. Daarentegen, de security- en infrastructure operations-teams sloten liever alle servers wereldwijd om verdere schade te beperken en dataverlies te voorkomen. Dit gaf hen de controle over de situatie en een manier om de aanvallers buiten te sluiten zodat zij het herstel van hun IT-infrastructuur konden opstarten op dag twee van de aanval."Alle servers helemaal opnieuw opstarten en een tiering-model introduceren, voelt als een hersenoperatie zonder de patiënt in slaap te brengen," zegt Bognar. "Je vergeet alles over ITIL en veranderprocessen wat je kent. Het enige dat telt is snel en efficiënt reageren op de dreiging."
Terugkijkend op het proces van drie maanden dat nodig was om applicaties en data vanaf een backup te herstellen, merkt Bognar op: "Het was een vermoeiend proces en ik wens het niemand toe. Ik kan alleen maar aanraden om te focussen op preventie."
Een vals gevoel van veiligheid
Het enorme risico op ransomware-aanvallen in 2020 laat zien dat er een misvatting bestaat over het risico om getroffen te worden, en dat bedrijven zich nog steeds niet genoeg richten op preventie. Ransomware wordt steeds gevaarlijker door nieuwe methodes als double extortion en de combinatie met DDoS-aanvallen om het makkelijk te maken om langetermijnschade toe te brengen aan de reputatie van een organisatie. Daarom is het essentieel dat bedrijven het risico op ransomware beter begrijpen en de juiste voorzorgsmaatregelen nemen om dit te voorkomen.
Als Bognar terugkijkt naar de security van Norsk Hydro van voor de aanval, concludeert hij het volgende: "Wanneer je geraakt wordt door een cyberaanval, moet je de security-tools van jouw organisatie kritisch herevalueren. Gebruik je de juiste security-tools en scant dat systeem werkelijk alles dat door het netwerk komt? Het is essentieel dat de beschikbare tools een initiële infectie kunnen voorkomen."
Cruciaal voor de huidige security bij Norsk Hydro is SSL-inspectie. Aangezien malware-actoren vaker versleuteld verkeer gebruiken om hun aanvallen te verbergen, is SSL-scanning enorm belangrijk om deze initiële activiteiten te detecteren en blokkeren, voordat zij de kans krijgen om systemen te infiltreren.
Daarnaast geloven netwerkexperts in een meerlaagse aanpak ten opzichte van security: "Hoe meer beveiligingsnetten je op elkaar legt, hoe kleiner de gaten zijn en hoe lastiger het is voor kwaadwillenden om hier doorheen te komen." Bognar implementeerde het Zero Trust-concept als onderdeel van dat beveiligingsnet. Deze technologie maakt het voor IT-teams mogelijk om het aanvalsoppervlak te verkleinen door applicaties onzichtbaar te maken en zo laterale bewegingen van aanvallers te voorkomen. Als kwaadwillenden geen kijkje kunnen nemen in de netwerkinfrastructuur, wordt het aanvalsoppervlak aanzienlijk kleiner. Hoe meer hindernissen een aanvaller moet nemen om toegang te krijgen tot de infrastructuur van een organisatie, hoe minder interesse ze krijgen omdat het simpelweg te veel werk is om een gat te ontdekken om die infrastructuur te exploiteren.
