‘Investeren in anti-ransomwaretechnologie is niet genoeg’
De bescherming tegen ransomware schiet vaak tekort
12 juli 2021 -
Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) windt er geen doekjes om: ransomware is inmiddels zó gevaarlijk dat de nationale veiligheid in het geding is. Tegelijkertijd denkt slechts de helft van alle organisaties een aanval met gijzelsoftware het hoofd te kunnen bieden, zo blijkt uit onderzoek. Volgens
Nick Deen, marketingmanager bij beveiligingsbedrijf Mimecast, is er dan ook veel werk aan de winkel. "Organisaties maken zich zorgen over hun weerbaarheid tegen ransomware, en die zorgen lijken terecht."
Onderzoekers van de NCTV luiden de noodklok in het Cybersecuritybeeld Nederland 2021. Volgens hen vormen ransomware-aanvallen momenteel een directe bedreiging voor allerlei overheidsdiensten, en kunnen ze belangrijke vitale processen platleggen. Aanvallen met gijzelsoftware zijn bovendien allesbehalve zeldzaam. Volgens onderzoek van Osterman Research kreeg 85 procent van de ondervraagde organisaties de afgelopen twaalf maanden een aanval te verduren. Bijna een derde kreeg zelfs vier of meer aanvallen voor de kiezen. Een groot deel daarvan betrof een aanval met ransomware.
Niet voor niets maken veel organisaties zich zorgen. Over cybercriminaliteit in het algemeen, en ransomware in het bijzonder. Volgens de onderzoekers liggen leidinggevenden het vaakst wakker van onderstaande scenario's:
- Pogingen tot phishing die hun weg vinden naar eindgebruikers (65 procent).
- Medewerkers die phishing- en social engineering-aanvallen niet opmerken voordat ze op een link of bijlage klikken (64 procent).
- De schending van bedrijfsgegevens door een ransomware-aanval (61 procent).
- Ransomware-aanvallen die met succes endpoints infecteren (59 procent).
- Het onvermogen om te voorkomen dat ‘zerodays’ een bedreiging vormen voor systemen en toepassingen (56 procent).
Terechte zorgen
Volgens Deen zijn de zorgen terecht. "De aanvallen worden steeds geavanceerder. Waar cybercriminelen voorheen data versleutelden voor losgeld, zie je tegenwoordig steeds vaker dat ze de gegevens daadwerkelijk ontfutselen en vervolgens dreigen deze op het dark web te veilen. Zo’n datalek is nog ernstiger; gegevens zijn dan niet alleen ontoegankelijk, maar komen ook in handen van derden. Die hebben daar veelal geen goede bedoelingen mee."
De onderzoekers bogen zich ook over de verschillende soorten phishing- en ransomware-incidenten en het aantal bedrijven dat hiermee te maken heeft gehad. Phishing is nog altijd de meest geliefde aanvalsmethode. "Die techniek komt in allerlei verschillende varianten. Het vaakst breken hackers in op een e-mailaccount (53 procent). Ook het verspreiden van malware via phishing is populair (49 procent). Daarnaast maken cybercriminelen graag misbruik van traag patch- en updatebeleid."
Verdediging
Het aantal verdedigingsmiddelen dat organisaties inzetten groeit gestaag. Vrijwel allemaal maken ze gebruik van antivirussoftware op endpoints. Ook awarenesstrainingen (85 procent) en on-premises back-up (80 procent) zijn populair.
Het onderzoek laat daarnaast een duidelijke verschuiving zien naar meer geavanceerde verdedigingsmiddelen. Zo gebruikt bijna de helft back-up in de cloud, en heeft 25 procent plannen daartoe. Daarnaast groeit de interesse voor AI als securitymiddel. Bijna een derde gebruikt AI-tools in de strijd tegen ransomware, en maar liefst 90 procent wil daarmee starten of het huidige gebruik ervan intensiveren.
E-mailbeveiliging
"Opvallend is dat organisaties drie specifieke anti-ransomwaretechnieken als favoriet noemen: multifactorauthenticatie (MFA), snelle patching en bewustwordingstrainingen. E-mailbeveiling is nog altijd een onderschat of zelfs vergeten middel tegen ransomware. Dat is niet terecht. Veel aanvallen beginnen via dit medium, bijvoorbeeld met een phishingmail waarin gebruikers worden verleid om een bijlage te openen. Die bijlage is dan in werkelijkheid een ‘dropper’, een stukje software dat de daadwerkelijke ransomware binnenhaalt en zo eventueel aanwezige antivirusoplossingen om de tuin leidt.
Een Secure E-Mail Gateway (SEG) is een effectieve oplossing om dergelijke aanvallen te stoppen. Een SEG is een soort tussenstation dat alle in- en uitgaande mail onderschept, controleert, en vervolgens alleen schone e-mails doorstuurt naar de inbox van de ontvanger. Toch is simpelweg het inzetten van securityvoorzieningen niet voldoende. Een goede verdediging tegen ransomware betekent dat je als organisatie bent voorbereid. Dat is een zaak van technologie, maar ook van mensen en processen," licht Deen toe. Daar is nog genoeg ruimte voor verbetering, zo tonen ook deze cijfers uit het rapport aan:
- Een derde geeft aan dat ze eindgebruikers onvoldoende kunnen beschermen tegen ransomware.
- Bijna 40 procent van de organisaties geeft aan dat hun back-ups kwetsbaar zijn.
- Slechts ongeveer 45 procent zegt snel te kunnen herstellen van een ransomware-aanval.
- Ongeveer hetzelfde percentage is van mening dat zij hun partners en toeleveringsketens kunnen beschermen tegen ransomware.
Het onderzoek toont ook aan dat veel organisaties kwetsbaar zijn, ondanks hun securitymiddelen. De bescherming tegen ransomware schiet vaak op de volgende punten tekort:
- Authenticatie: De meeste organisaties mogen dan gebruikmaken van MFA, de tools die zie hiervoor inzetten zijn relatief zwak. Denk aan het gebruik van sms- of e-mailauthenticatie, middelen die kwetsbaar zijn voor hackers. "Biometrische apps, authenticatie-apps en securitytokens zijn veiligere middelen, maar worden nog weinig ingezet," aldus Deen. - Patching: Bijna 45 procent doet er dagen of zelfs langer over om gevonden kwetsbaarheden te dichten. Dat terwijl cybercriminelen vaak veel sneller toeslaan.
- Multichannel-bescherming: Slechts ongeveer een derde van de respondenten vertrouwt erop dat werknemers phishing herkennen als die komt via andere kanalen dan e-mail. Denk aan phishing via nieuwsfeeds in sociale media, browserpop-ups, zoekresultaten, malafide apps en samenwerkingstools.
"Het is belangrijk dat medewerkers op de hoogte zijn van de risico’s en verschillende aanvalstechnieken herkennen. Ook de minder voor de hand liggende. Awarenesstraining kan op dit gebied een groot verschil maken. Het is bovendien cruciaal dat bedrijven daar geen one-off van maken, maar dit op een structurele manier embedden in de organisatie," adviseert Deen.
- Veerkracht: 55 procent van de respondenten maakt zich grote zorgen dat een aanval niet kan worden voorkomen. Daarnaast is 48 procent bezorgd over de gevolgen van een aanval, zoals reputatieschade en het onvermogen om bedrijfsgegevens te herstellen. "Veel bedrijven blijven zich richten op preventie, maar verwaarlozen hun herstellend vermogen," merkt Deen op.
Meer budget
Organisaties budgetteren nu meer om hun verdediging te verbeteren. Van 2020 tot 2021 zijn de beveiligingsbudgetten per werknemer met twintig procent gestegen bij bedrijven met minder dan 1.000 werknemers (tot bijna 400 dollar) en met 30 procent bij bedrijven met meer dan 1.000 werknemers (tot ongeveer 275 dollar).
Die extra uitgaven gaan waarschijnlijk naar het gebruik van cloudbeveiligingsdiensten, training in beveiligingsbewustzijn en verbeterde beveiligingsoplossingen, zoals snellere detectie (inclusief meer AI) en snelle patching.
Kop in het zand
Dat is goed nieuws, maar toch blijft een zorgelijk deel de kop in het zand steken. "Een derde van de organisaties heeft de afgelopen drie jaar niets gedaan aan de versterking van hun digitale weerbaarheid. Dat terwijl cybercriminelen zich continu ontwikkelen en aanvallen in hevigheid toenemen. Een uitgekiende mix van effectieve technologie, bewuste medewerkers en gedegen processen voor de bestrijding van ransomware is dan ook geen overbodige luxe. Het is te hopen dat deze organisaties dat op tijd inzien."