Malware is een steeds beter georganiseerde misdaad. Zo is ransomware bijvoorbeeld een echt verdienmodel geworden. MaaS (Malware-as-a-Service) bestaat echt! Organisaties die achter deze aanvallen zitten, hebben vaak zelfs een helpdesk of livechat om slachtoffers te woord te staan. Andersom is het ‘aan de andere kant’, bij ons als organisaties, compleet ingeburgerd. We incasseren het maar. Zo betalen we losgeld en hopen dan dat zo’n aanval of infectie klaar is.
“Geen goed idee”, volgens Richard Plug, Business Information Security Officer (BISO) bij OGD. “Voorkomen is écht beter dan genezen. Er zijn zeker manieren om het risico als organisatie te verkleinen.” In deze blog lees je wat je tegen malware-infecties, zoals ransomware, kunt doen.
Kijktip: cyberfraude in 2021: bangmakerij of reële bedreiging?
1.Wat is eigenlijk het verschil tussen malware en ransomware?
“Malware staat voor malicious software. Het infecteert computers en brengt op meerdere manieren schade toe aan jouw werkplek. Ransomware is een categorie binnen malware. Ransomware gijzelt een systeem of een complete organisatie. Meestal vragen criminelen geld in de vorm van een bitcoin.
Ransomware is een eigen leven gaan leiden. Veel organisaties denken: ‘laten we maar geld betalen, en onze bestanden ontvangen’. Maar vergeet niet dat zo’n aanval verder gaat dan ‘slechts’ losgeld betalen.
De ‘nasleep’ van zo’n aanval is prijziger dan dat je denkt. Je kunt je eigen omgeving namelijk niet meer vertrouwen. Daarom moet je alsnog je complete omgeving scannen en back-ups terugzetten van voor de uitbraak. Een prijzig kostenplaatje voor je organisatie.”
2. Hoe groot is het gevaar van malware voor de gemiddelde organisatie?
“Het gevaar van malware is lastig te bepalen per organisatie. Of je nu groot bent of klein, je kunt altijd doelwit zijn:
- Kleine organisaties hebben meestal minder geld en minder middelen om maatregelen te treffen tegen ransomware. Tegelijkertijd zijn kleinere organisaties een minder interessant doelwit voor criminelen. Ze vallen immers minder op voor hen.
- Grotere organisaties daarentegen hebben meer middelen en professionelere tools beschikbaar. Wél moeten ze deze (complexere) omgeving in de gaten houden. En daarnaast zijn ze kwetsbaarder voor een gerichte aanval.
De grootte van de organisatie en de security-tools en middelen houden elkaar dus vaak in balans. Écht veilig ben je dus nooit. De kans om doelwit te worden van een malware-aanval is dan ook reëel. Maar zeker niet iets om gelijk van in paniek te raken.
Het moet je alleen wél aan het denken zetten om iets met die bescherming tegen ransomware- en malwareaanvallen te doen. Of je nu een grote of een kleine organisatie bent: tref maatregelen.”
Leestip: whitepaper 'De belangrijkste ict-trends voor 2022'
3. Welke maatregelen kunnen organisaties nemen om de kans op malware-infecties te verkleinen?
“Er is helaas geen ‘gouden methode’ om malware te voorkomen. Kies altijd voor een gelaagde verdediging. Hieronder geef ik een aantal voorbeelden hoe je op hoog niveau je organisatie beschermt, maar ook op kleinere niveaus:
1. firewall
2. anti-spam filter en anti-phishingtool
3. antivirussoftware
4. medewerkers trainen
5. rechten beperken
6. multifactorauthenticatie
7. gescheiden back-ups
Maak het zo moeilijk mogelijk voor cybercriminelen. Des te onaantrekkelijker is het dan voor hen om jouw organisatie als doelwit te kiezen.
Een inbreker kiest ook minder snel voor jouw huis wanneer jij dubbele sloten, camera’s rondom je huis, een waakhond of anti-inbraakfolie hebt. De kans is dan alleen maar groter dat zij gepakt worden of ontmoedigd raken om jouw huis binnen te dringen. Dat geldt ook voor ransomware-criminelen.
Ook voor malware-criminelen is de ROI (Return on Investment) van belang bij gerichte aanvallen. Een dure antiphishing-software is hierin een belangrijke factor, maar zeker niet de enige die helpt om criminelen op afstand te houden. Het moet een van de vele beschermingsmiddelen zijn.
Denk bijvoorbeeld aan een goede monitoring van je omgeving of het in de gaten houden van alle endpoints. Op deze manier verklein je de kans op succes van de crimineel:
- Hoe meer laagjes je toevoegt, hoe groter de kans is dat er bij een van de lagen een alarm afgaat.
- Hoe sneller je de crimineel detecteert, hoe meer tijd je hebt om te reageren.
4. En wat moet je doen als je toch getroffen bent?
“Als je tooling hebt om meldingen te krijgen van incidenten, kun je het risico inperken. Denk aan de volgende vijf stappen:
1. Voorbereiding: zorg dat je een plan hebt klaarliggen op het moment dat er écht een groot incident gebeurt.
2. Een vaste plaats voor de incidenten: vaak is de helpdesk dé plaats waar incidenten naartoe gaan. Zorg in ieder geval dat de helpdesk beschikt over een kennisdeskdatabase bijvoorbeeld.
3. Impact zo klein mogelijk houden: sluit apparaten af van de omgeving en het netwerk. Probeer zoveel mogelijk logging te bewaren. Dat helpt je wanneer je achteraf uitzoekt hoe iets mis is gegaan.
4. Opruimactie: op het moment dat je er zeker van bent dat er geen criminelen meer actief zijn, start je met het opruimen. Let op: doe dit alleen als je écht zeker weet dat de criminelen er niet meer zijn. Anders is het dweilen met de kraan open. En daarnaast gooi je dan belangrijke bewijsstukken weg en je krijgt geen controle over het incident.
5. Lessons learnt: maak een post-incident report. Bespreek wat er is gebeurd en welke lessen je meeneemt. Want ook als je zo’n aanval succesvol afslaat, kunnen criminelen de volgende keer andere trucks toepassen. Ze zijn immers in je omgeving geweest, en weten hoe het eraan toegaat.”
5. Heb je nog een paar manieren voor organisaties om hun security beter op orde te hebben?
“Het belangrijkste is hier écht: betrek de hele organisatie bij het securityproces. Je kunt een dure monitoringtool hebben waarvan niemand in jouw organisatie afweet, en die niemand echt bekijkt. Dan heeft het weinig nut. Dat is eigenlijk schijnveiligheid. Maak van security een organisatieding:
- Betrek de directie erbij: welke data en organisatieonderdelen vinden zij belangrijk om te beschermen?
- Bekijk de informatiebeveiliging op alle niveaus: iedereen krijgt op een bepaalde manier te maken met security. Verzamel input vanuit alle afdelingen. Waar krijgen zij vaak mee te maken? Waar lopen zij tegenaan op het gebied van security? Zo zorg je ervoor dat mensen echt bewust zijn.
- Neem security op in alle processen: hoe veilig is jouw organisatie? En waar liggen de verbeterpunten?
- Onderzoek waar het incident naartoe gaat: wie in de organisatie pakt incident management op?
- Houd bij wat de securitytrends zijn: zorg dat iemand dit monitort.
- Rapporteer maandelijks: als iedereen in het securityproces een rol speelt, vallen fouten sneller op. Je ontdekt ze al eerder in het proces.
- Zorg voor een allesomvattende aanpak, Managed Detection en Response (MDR): ga het gesprek aan met een betrouwbare ict-partij die direct ingrijpt als er écht een malware-infectie is. OGD biedt bijvoorbeeld ook MDR-dienstverlening. Dan heb je altijd een noodplan achter de hand.”
Malware voorkomen: start met een veilige basis
Het belangrijkste is om in je organisatie bezig te zijn met security. Je hoeft heus niet in blinde paniek allerlei dure antimalware-softwarepakketten aan te schaffen. Het is vooral belangrijk dat je van security een thema maakt in je organisatie. Zorg dat alle lagen en niveaus bewust zijn van security en de maatregelen die erbij horen. Verder is de rol van directie cruciaal in het securityproces. Zodra je die gelaagde verdediging hebt, maak je het cybercriminelen lastig. Ze kiezen dan sneller voor een makkelijk doelwit.
Meer weten over het omgaan met securitydreigingen? Bekijk dan zeker de on-demand webinar van Wim Setz, waarin hij uitlegt hoe je het en cybercrimineel zo moeilijk mogelijk maakt.
Delen
Cybersecurity: hoe je een datalek voorkomt
Veilig werken met Microsoft 365 | 3 belangrijkste vragen beantwoord door een securityspecialist
