Prevent, Contain, Recover:A Ransomware Readiness Guide for Supply Chains

Ransomware heeft voor velen van ons in de cyberbeveiligingsindustrie de hoogste prioriteit, aangezien we een toenemend aantal aanvallen hebben gezien die van invloed zijn op ziekenhuisnetwerken, lokale overheden en de bredere toeleveringsketen. Een ransomware-aanval op een bedrijf leidt doorgaans tot verlies van toegang tot gegevens en systemen voor een bepaalde periode en heeft financiële gevolgen door verloren inkomsten en geld dat wordt besteed aan herstelinspanningen. Wanneer een ransomware-aanval is gericht op een bedrijf dat deel uitmaakt van de toeleveringsketen, kan dit een veel grotere impact hebben, aangezien slechts één serviceprovider een direct effect kan hebben op honderden of duizenden bedrijven.

Inzicht in de gereedheid van uw organisatie voor de dreiging van ransomware is absoluut noodzakelijk, en weten hoe de leveranciers in uw toeleveringsketen een rol spelen bij uw paraatheid is een cruciaal onderdeel van uw algehele strategie.

Het kan overweldigend zijn om ervoor te zorgen dat al je verdedigingen zijn gedekt en dat je er alles aan hebt gedaan om een ​​ransomware-aanval te voorkomen of de impact ervan te verminderen. Een sterke strategie is verreikend en gelaagd - en omvat architectuur, eindpunten, gebruikers en nog veel meer.

Dus waar moet je beginnen? Een gestructureerde, logische aanpak kan helpen om orde te scheppen in de paraatheid van uw organisatie voor ransomware. Laten we, om dit te helpen, kijken naar drie hoofdcategorieën:preventie, inperking en herstel.

Preventie

Ons primaire doel is om ransomware uit onze omgeving te houden en te voorkomen dat deze er vanaf het begin in komt. Vanuit deze defensieve houding moeten we naar uw infrastructuur kijken, van de perimetercontroles tot aan de eindgebruikers. Hoewel we dit onderwerp uitgebreid kunnen bespreken, zullen we onze aandacht richten op de hiaten waar ransomware het vaakst wordt geïntroduceerd.

• Remote desktop protocol (RDP). Hoewel het geen nieuwe technologie of nieuwe aanvalsvector is, is RDP een regelmatig doelwit geweest vanwege kwetsbaarheden, verkeerde configuratie of gevoeligheid voor brute force-aanvallen. Met de recente stijging van het aantal werknemers op afstand en de overeenkomstige stijging van het RDP-gebruik, hebben aanvallers een velddag met de nieuwe doelen. Preventieactiviteiten hier omvatten het beperken van het aantal open poorten, sterke authenticatiecontroles (inclusief multifactorauthenticatie) en een solide programma voor kwetsbaarheidsbeheer.
• Phishing. Phishing-e-mails kunnen bijzonder gevaarlijk zijn omdat ze veel van uw beveiligingscontroles kunnen omzeilen, waardoor schadelijke inhoud rechtstreeks kan worden afgeleverd bij wat meestal uw zwakste beveiligingsschakel is:de eindgebruiker. Phishing-e-mails proberen doorgaans gebruikersreferenties te verkrijgen of bevatten schadelijke bijlagen of links, waardoor aanvallers uiteindelijk een direct pad naar uw omgeving krijgen. Preventieactiviteiten hier omvatten het gebruik van een e-mailbeveiligingsoplossing, beveiligings- en bewustwordingstraining voor eindgebruikers en eindpuntdetectie- en responsoplossingen.

Uiteindelijk zijn de aanbevolen preventietechnieken niet nieuw. Het zijn dezelfde kernprincipes die de informatiebeveiligingsgemeenschap al een tijdje bespreekt:het beperken van wat toegankelijk is via internet, het scannen van kwetsbaarheden, patchen en sterke authenticatiecontroles.

Insluiting

Dus ondanks uw inspanningen, komt ransomware in uw omgeving terecht. Hoe kun je de verspreiding stoppen? Denk aan een brand in een gebouw:De inperkingsstrategie gaat vóór de daadwerkelijke brand door het gebruik van firewalls, vlamvertragende materialen, etc. Hetzelfde geldt voor aanvallen zoals ransomware. Hier zijn twee belangrijke inperkingsstrategieën:

• Bevoorrecht accountgebruik. Aanvallers richten zich graag op geprivilegieerde accounts omdat ze hoge niveaus van toegang tot systemen en gegevens bieden, evenals de nodige machtigingen om kwaadaardige code uit te voeren. Hergebruik van wachtwoorden, wachtwoorden van serviceaccounts die in leesbare tekst zijn opgeslagen, gemakkelijk te raden wachtwoorden, enz. zijn allemaal veelvoorkomende problemen die bijdragen aan het compromitteren van accounts.

Een holistische benadering van geprivilegieerd accountbeheer is hier de sleutel. Dit houdt in dat u begrijpt welke geprivilegieerde accounts u heeft en waartoe zij toegang hebben; hoe ze worden gebruikt (bijv. domeinbeheerder versus serviceaccount); en hoe die accounts worden geopend en beheerd (bijvoorbeeld het gebruik van een bevoorrechte oplossing voor accountbeheer).

• Netwerksegmentatie. Platte netwerken zijn een droomscenario voor een aanvaller. Zodra de inloggegevens zijn verkregen, kunnen ze zich vrij bewegen over het hele netwerk van een organisatie en hebben ze onbeperkte toegang tot systemen en gegevens. U moet op zijn minst segmentatie gebruiken om zijdelingse beweging zoveel mogelijk te beperken, zodat een aanvaller het veel moeilijker heeft om uw netwerk te doorkruisen en toegang te krijgen tot aanvullende systemen en gegevens.

Herstel

Afgezien van een plan voor reactie op incidenten, is het meest cruciale plan om te helpen bij uw herstelinspanningen een zakelijk veerkrachtplan. Hoe zal het bedrijf blijven functioneren? Een sterk veerkrachtplan helpt de functionaliteit van uw kernbedrijfssystemen te herstellen.

Veelvoorkomende aanvalsvectoren voor organisaties zijn externe leveranciers in de toeleveringsketen. Dus hoe kunnen we de risico's van onze leveranciers identificeren en verminderen? Beantwoord eerst deze kritische vragen:

• Wie zijn uw leveranciers?
• Welke service biedt elke leverancier aan uw organisatie?

Het is geen eenvoudige taak om te bepalen wie uw leveranciers zijn. Is het mogelijk dat u leveranciers heeft die toegang hebben tot uw netwerk of gegevens en dat u er niets van af weet? Absoluut. De realiteit is dat de mogelijkheid bestaat om rechtstreeks naar een cloudgebaseerde oplossing te gaan en met niets meer dan een creditcard en een paar muisklikken heb je nu een leverancier met toegang tot je gegevens. Als u niet weet wie ze zijn, is het onmogelijk om hun risico voor uw organisatie in te schatten. Wat betreft wat ze doen, de leveranciers in uw toeleveringsketen kunnen allerlei soorten diensten uitvoeren. Sommige vormen inherent een hoger risico voor uw bedrijf op basis van de gegevens of interne systemen waartoe ze toegang hebben.

Het beantwoorden van deze vragen is een goed startpunt om adequate beoordelingsactiviteiten uit te voeren tegen die leveranciers. Het doel is om voldoende zekerheid te krijgen dat de leveranciers over de juiste controles beschikken om uw systemen of gegevens te beschermen op basis van de diensten die zij aan u leveren. Er zijn veel beoordelingsstrategieën om te gebruiken, waaronder de beoordeling van certificeringen zoals SOC of ISO, beoordelingsvragenlijsten zoals de SIG, penetratietestresultaten, enz. Ongeacht hoe u het benadert, het valideren van uw leveranciers die deze controles hebben ingevoerd, kan het risico op uw organisatie wordt getroffen in het geval van een aanval.

Naarmate systemen meer verbonden en complexer worden, kunnen aanvallers nog steeds een weg door uw verdediging vinden. Maar voorbereid zijn op een ransomware-aanval kan de impact en uitval voor uw organisatie aanzienlijk verminderen. Met een diepgaande verdedigingsstrategie, samen met passende inperkings- en veerkrachtplannen, kan de cyberkracht van uw organisatie alleen maar toenemen.

Gary Brickhouse is Chief Information Security Officer van GuidePoint Security.

Ransomware heeft voor velen van ons in de cyberbeveiligingsindustrie de hoogste prioriteit, aangezien we een toenemend aantal aanvallen hebben gezien die van invloed zijn op ziekenhuisnetwerken, lokale overheden en de bredere toeleveringsketen. Een ransomware-aanval op een bedrijf leidt doorgaans tot verlies van toegang tot gegevens en systemen voor een bepaalde periode en heeft financiële gevolgen door verloren inkomsten en geld dat wordt besteed aan herstelinspanningen. Wanneer een ransomware-aanval is gericht op een bedrijf dat deel uitmaakt van de toeleveringsketen, kan dit een veel grotere impact hebben, aangezien slechts één serviceprovider een direct effect kan hebben op honderden of duizenden bedrijven.

Inzicht in de gereedheid van uw organisatie voor de dreiging van ransomware is absoluut noodzakelijk, en weten hoe de leveranciers in uw toeleveringsketen een rol spelen bij uw paraatheid is een cruciaal onderdeel van uw algehele strategie.

Het kan overweldigend zijn om ervoor te zorgen dat al je verdedigingen zijn gedekt en dat je er alles aan hebt gedaan om een ​​ransomware-aanval te voorkomen of de impact ervan te verminderen. Een sterke strategie is verreikend en gelaagd - en omvat architectuur, eindpunten, gebruikers en nog veel meer.

Dus waar moet je beginnen? Een gestructureerde, logische aanpak kan helpen om orde te scheppen in de paraatheid van uw organisatie voor ransomware. Laten we, om dit te helpen, kijken naar drie hoofdcategorieën:preventie, inperking en herstel.

Preventie

Ons primaire doel is om ransomware uit onze omgeving te houden en te voorkomen dat deze er vanaf het begin in komt. Vanuit deze defensieve houding moeten we naar uw infrastructuur kijken, van de perimetercontroles tot aan de eindgebruikers. Hoewel we dit onderwerp uitgebreid kunnen bespreken, zullen we onze aandacht richten op de hiaten waar ransomware het vaakst wordt geïntroduceerd.

• Remote desktop protocol (RDP). Hoewel het geen nieuwe technologie of nieuwe aanvalsvector is, is RDP een regelmatig doelwit geweest vanwege kwetsbaarheden, verkeerde configuratie of gevoeligheid voor brute force-aanvallen. Met de recente stijging van het aantal werknemers op afstand en de overeenkomstige stijging van het RDP-gebruik, hebben aanvallers een velddag met de nieuwe doelen. Preventieactiviteiten hier omvatten het beperken van het aantal open poorten, sterke authenticatiecontroles (inclusief multifactorauthenticatie) en een solide programma voor kwetsbaarheidsbeheer.
• Phishing. Phishing-e-mails kunnen bijzonder gevaarlijk zijn omdat ze veel van uw beveiligingscontroles kunnen omzeilen, waardoor schadelijke inhoud rechtstreeks kan worden afgeleverd bij wat meestal uw zwakste beveiligingsschakel is:de eindgebruiker. Phishing-e-mails proberen doorgaans gebruikersreferenties te verkrijgen of bevatten schadelijke bijlagen of links, waardoor aanvallers uiteindelijk een direct pad naar uw omgeving krijgen. Preventieactiviteiten hier omvatten het gebruik van een e-mailbeveiligingsoplossing, beveiligings- en bewustwordingstraining voor eindgebruikers en eindpuntdetectie- en responsoplossingen.

Uiteindelijk zijn de aanbevolen preventietechnieken niet nieuw. Het zijn dezelfde kernprincipes die de informatiebeveiligingsgemeenschap al een tijdje bespreekt:het beperken van wat toegankelijk is via internet, het scannen van kwetsbaarheden, patchen en sterke authenticatiecontroles.

Insluiting

Dus ondanks uw inspanningen, komt ransomware in uw omgeving terecht. Hoe kun je de verspreiding stoppen? Denk aan een brand in een gebouw:De inperkingsstrategie gaat vóór de daadwerkelijke brand door het gebruik van firewalls, vlamvertragende materialen, etc. Hetzelfde geldt voor aanvallen zoals ransomware. Hier zijn twee belangrijke inperkingsstrategieën:

• Bevoorrecht accountgebruik. Aanvallers richten zich graag op geprivilegieerde accounts omdat ze hoge niveaus van toegang tot systemen en gegevens bieden, evenals de nodige machtigingen om kwaadaardige code uit te voeren. Hergebruik van wachtwoorden, wachtwoorden van serviceaccounts die in leesbare tekst zijn opgeslagen, gemakkelijk te raden wachtwoorden, enz. zijn allemaal veelvoorkomende problemen die bijdragen aan het compromitteren van accounts.

Een holistische benadering van geprivilegieerd accountbeheer is hier de sleutel. Dit houdt in dat u begrijpt welke geprivilegieerde accounts u heeft en waartoe zij toegang hebben; hoe ze worden gebruikt (bijv. domeinbeheerder versus serviceaccount); en hoe die accounts worden geopend en beheerd (bijvoorbeeld het gebruik van een bevoorrechte oplossing voor accountbeheer).

• Netwerksegmentatie. Platte netwerken zijn een droomscenario voor een aanvaller. Zodra de inloggegevens zijn verkregen, kunnen ze zich vrij bewegen over het hele netwerk van een organisatie en hebben ze onbeperkte toegang tot systemen en gegevens. U moet op zijn minst segmentatie gebruiken om zijdelingse beweging zoveel mogelijk te beperken, zodat een aanvaller het veel moeilijker heeft om uw netwerk te doorkruisen en toegang te krijgen tot aanvullende systemen en gegevens.

Herstel

Afgezien van een plan voor reactie op incidenten, is het meest cruciale plan om te helpen bij uw herstelinspanningen een zakelijk veerkrachtplan. Hoe zal het bedrijf blijven functioneren? Een sterk veerkrachtplan helpt de functionaliteit van uw kernbedrijfssystemen te herstellen.

Veelvoorkomende aanvalsvectoren voor organisaties zijn externe leveranciers in de toeleveringsketen. Dus hoe kunnen we de risico's van onze leveranciers identificeren en verminderen? Beantwoord eerst deze kritische vragen:

• Wie zijn uw leveranciers?
• Welke service biedt elke leverancier aan uw organisatie?

Het is geen eenvoudige taak om te bepalen wie uw leveranciers zijn. Is het mogelijk dat u leveranciers heeft die toegang hebben tot uw netwerk of gegevens en dat u er niets van af weet? Absoluut. De realiteit is dat de mogelijkheid bestaat om rechtstreeks naar een cloudgebaseerde oplossing te gaan en met niets meer dan een creditcard en een paar muisklikken heb je nu een leverancier met toegang tot je gegevens. Als u niet weet wie ze zijn, is het onmogelijk om hun risico voor uw organisatie in te schatten. Wat betreft wat ze doen, de leveranciers in uw toeleveringsketen kunnen allerlei soorten diensten uitvoeren. Sommige vormen inherent een hoger risico voor uw bedrijf op basis van de gegevens of interne systemen waartoe ze toegang hebben.

Het beantwoorden van deze vragen is een goed startpunt om adequate beoordelingsactiviteiten uit te voeren tegen die leveranciers. Het doel is om voldoende zekerheid te krijgen dat de leveranciers over de juiste controles beschikken om uw systemen of gegevens te beschermen op basis van de diensten die zij aan u leveren. Er zijn veel beoordelingsstrategieën om te gebruiken, waaronder de beoordeling van certificeringen zoals SOC of ISO, beoordelingsvragenlijsten zoals de SIG, penetratietestresultaten, enz. Ongeacht hoe u het benadert, het valideren van uw leveranciers die deze controles hebben ingevoerd, kan het risico op uw organisatie wordt getroffen in het geval van een aanval.

Naarmate systemen meer verbonden en complexer worden, kunnen aanvallers nog steeds een weg door uw verdediging vinden. Maar voorbereid zijn op een ransomware-aanval kan de impact en uitval voor uw organisatie aanzienlijk verminderen. Met een diepgaande verdedigingsstrategie, samen met passende inperkings- en veerkrachtplannen, kan de cyberkracht van uw organisatie alleen maar toenemen.

Gary Brickhouse is Chief Information Security Officer van GuidePoint Security.