Ransomware er konstant i overskrifterne på grund af den choktaktik, der kendetegner denne type cyberangreb. Angreb som Colonial Pipeline-ransomware-infektionen resulterede i virkelige konsekvenser og påvirkede adgangen til brændstof for 50 millioner mennesker i USA.
Andre, som f.eks. ransomware-angrebet på Acer, har så store krav om løsepenge, 50 millioner dollars i Acers tilfælde, at verden sidder og lytter.
Ransomware er dog ikke kun et problem for en højt profileret virksomhed. En rapport fra 2022 fra Cyberedge Group viste, at 71 % af virksomhederne blev ramt af ransomware i 2021.
Ransomware indbringer de cyberkriminelle bander bag denne grimme malware en formue. Chainanalysis anslår, at ransomware-bander tjente omkring 692 millioner dollars i kryptovaluta i 2020.
Store udbetalinger fra cyberkriminalitet, såsom ransomware, vil sandsynligvis føre til yderligere angreb i horisonten. Så hvordan kan den gennemsnitlige virksomhed forebygge ransomware-angreb?
De fem bedste måder at forebygge ransomware-angreb på
Colonial Pipeline-ransomwareangrebet startede med en kompromitteret adgangskode, der blev lagt ud på et mørkt websted. Adgangskoden var højst sandsynligt på det mørke net, fordi den blev stjålet under et phishing-angreb. Hacking af en medarbejderkonto er døren ind til et operativsystem, og phishing-angreb er en meget effektiv måde at få adgang til loginoplysninger på ved hjælp af ondsindede links eller vedhæftede filer.
I Verizon Data Breach Investigation Report (DBIR) fra 2021 angives det, at 61 % af bruddene skyldes kompromitterede legitimationsoplysninger. Samme rapport forbinder en tredjedel af disse brud med phishing. En hacker behøver ikke at kompromittere en netværksadministrators konto for at få privilegeret adgang. Hvis hackeren har en medarbejders legitimationsoplysninger, kan han opbygge adgangsprivilegier, når han først er inde i et netværk.
Hackere gør dette ved hjælp af en teknik, der er kendt som "lateral movement"; hackeren bruger sårbarheder i anden software, såsom Kerberos-protokollen og Active Directory, til at eskalere sine privilegier, indtil han har nøglerne til slottet og kan installere ransomware (og stjæle data) efter forgodtbefindende.
Det er i den kæde af begivenheder, der fører til en ransomware-infektion, at bedste praksis kommer ind i billedet. Hvis du kan opbygge forebyggende lag på tværs af angrebskæden, kan du stoppe ransomware-hackerne i deres forehavende.
Her er fem af de bedste måder at forhindre ransomware-angreb på:
Bedste praksis 1: Simulerede phishing-øvelser
Denne bedste praksis er dit grundlæggende lag, som kan stoppe ransomware, før det bliver til en hændelse. Phishing udvikler stadig mere sofistikerede taktikker, og spear-phishing er endnu mere sofistikeret.
Mange ransomware-angreb er f.eks. rettet mod en bestemt type bruger eller en bestemt medarbejderrolle. Angriberne vil derefter bruge det sprog, der typisk bruges i e-mailudvekslinger med den pågældende person, for at manipulere deres adfærd. Simulerede phishing-øvelser bør afspejle dette sofistikerede niveau og indeholde rollebaserede skabeloner til at skabe falske spam-e-mails.
Bedste praksis 2: Holistisk uddannelse i sikkerhedsbevidsthed
Phishing og social engineering giver adgang til et netværk ved at stille en mekanisme til rådighed til at stjæle loginoplysninger. Træning i sikkerhedsbevidsthed er et andet grundlæggende lag i forebyggelsen af ransomware, som giver medarbejderne en følelse af vigtigheden af god sikkerhedsadfærd.
Sikkerhedshygiejne, som f.eks. god oprettelse af adgangskoder og ikke at dele for mange oplysninger på sociale medier, er med til at udvikle et proaktivt lag omkring en organisation. Med rollebaseret simuleret phishing er Security Awareness Training den mest effektive ransomware-beskyttelse til at hjælpe med at skabe en sikkerhedskultur.
Bedste praksis 3: Nul tillid og mindst mulig privilegiering
Privilegerede brugere kan være et meget effektivt mål for ransomware-angribere. Som sådan tiltrækker de cyberkriminelle som bier til honning. Så meget, at to tredjedele af virksomhederne ser privilegerede brugere som deres største insidertrussel. Derfor skal privilegerede brugere ses som en gruppe og trænes på passende vis i de typer phishing og social engineering, som de er mest udsat for.
Desuden skal en organisation fastlægge en strategi for håndtering af disse privilegerede brugere og kontoadgang. Princippet om "mindste privilegier" bør danne rammen for denne strategi. Dette passer ind i en sikkerhedsmodel med nul tillid, hvor man aldrig stoler på og altid verificerer adgangsforsøg for at kontrollere adgangen på et granulært niveau.
Zero-trust-sikkerhed arbejder sammen med aktiverende teknologier som Identity and Access Management (IAM) og regler, der udløser disse foranstaltninger, for at implementere robuste kontroller og foranstaltninger, f.eks. ved at kræve yderligere autentificering for at få adgang til følsomme ressourcer.
Bedste praksis 4: Sørg for at inddrage fjernarbejdere i din strategi til forebyggelse af ransomware
Covid-19-pandemien normaliserede den hybride arbejdsmodel, hvor vi nogle gange arbejder hjemmefra. Fjernarbejde ændrer sikkerhedsdynamikken og giver potentielt de cyberkriminelle et forspring. Specifikke tilgange og foranstaltninger gør det imidlertid muligt for hackere at afpresse hjemmearbejdere.
En af disse er at bruge et sikkert VPN (Virtual Private Network). En VPN udvider sikkerheden i et netværksperimeter til at omfatte hjemmekontoret. En sikker VPN krypterer data, der sendes via potentielt usikre Wi-Fi-forbindelser for at forhindre, at oplysninger som f.eks. personlige data eller loginoplysninger bliver opsnappet af en hacker. En VPN kan også bruges til at sikre, at adgangen til virksomhedens apps er sikret.
Ud over en sikker VPN bør hjemmekontorer også vurderes for potentielle sikkerhedshuller, herunder usikre hjemmeprintere. Desuden bør hjemmearbejderne få en udvidet uddannelse i sikkerhedsbevidsthed, der afspejler deres arbejdsmiljø.
Bedste praksis 5: Sikr dit netværk til en sikkerhedsstandard og udfør regelmæssige vurderinger
Flere sikkerhedsrammer og standarder giver råd om at håndhæve robust sikkerhed og beskytte dine slutpunkter.
National Institute for Standards and Technology (NIST) har offentliggjort en profil for Cyber Security Framework Profile for Ransomware Risk Management. Den er i øjeblikket i udkast, men den er en god kilde til råd om forebyggelse af ransomware-angreb. Dokumentet er baseret på de fem Cyber security Framework Functions (også fra NIST):
- Identificer
- Beskyt
- Registrer
- Svar
- Genoprette
Rammerne omfatter vores fem bedste praksis til at afhjælpe risikoen for ransomware.
ISO27001 er en international sikkerhedsstandard, som er retningsgivende for udviklingen af et ISMS (informationssikkerhedsstyringssystem). ISO27001 anvender en holistisk tilgang til sikkerhed, der inddrager mennesker, processer og teknologi; denne ramme dækker udnyttelser på tværs af hele trusselsbilledet og omfatter social engineering og tekniske udnyttelser.
Rammer og standarder danner grundlaget for at sikre, at der anvendes bedste sikkerhedspraksis. De indeholder også retningslinjer for vurdering af disse foranstaltninger, som omfatter medarbejdernes sikkerhedsbevidsthed og sikkerhedshygiejne.
Ransomware er en alvorlig trussel mod alle virksomheder. Det er dog muligt at begrænse ransomware ved at bruge vores fem bedste praksis og være systematisk i forhold til at lukke døren for denne mest bekymrende cybertrussel.
