Få styr på beredskabet: Sådan skal du reagere hvis organisationen bliver ramt af ransomware

Alt for mange virksomheder har stadig ikke en plan for, hvordan de skal reagere, hvis organisationen rammes af et hackerangreb. Tiden der går, fra du opdager et angreb, til du reagerer, er altafgørende for skadernes omfang. Få defineret en beredskabsplan, så virksomheden kan reagere hurtigt.

Få styr på beredskabet: Sådan skal du reagere hvis organisationen bliver ramt af ransomware

Ifølge en ny rapport fra it-sikkerhedsfirmaet Bitdefender, der har undersøgt virksomheder i blandt andre Danmark, Sverige og Tyskland, har mere end halvdelen af de adspurgte virksomheder ikke en strategi for, hvordan de skal reagere hvis organisationen rammes af et ransomwareangreb.

I disse ransomwaretider er det en smule foruroligende. Dog udtrykker 47% af de adspurgte virksomheder, at de er i gang med at udvikle en strategi. Det er i udgangspunktet godt. Efter WannaCry og NotPetya har mange fået øjnene op for, at beredskab er en nødvendighed. Men hvad er det du skal være opmærksom på, når du udvikler din beredskabsplan? I denne artikel får du Dubex’ bud på hvad en beredskabsplan bør indeholde, og hvilke overvejelser du skal gøre dig i de enkelte faser.

Derfor er en beredskabsplan nødvendig

”Hvis din organisation rammes af et ransomwareangreb, er det altafgørende, at du ved, hvordan du skal reagere. Med det rette beredskab kan du mindske skaderne og sørge for at angrebet ikke udvikler sig,” fortæller Kim Elgaard, sikkerhedsrådgiver i Dubex.

Til Dubex Security & Risk Management Update 2017 i juni holdt Kim Elgaard et indlæg, hvor han fortalte om netop beredskabet, og om hvilke elementer du bør have med i din beredskabsplan. Ifølge Kim ser beredskabsprocessen således ud:

  1. Preparation
  2. Detection
  3. Contaiment
  4. Eradication
  5. Recovery
  6. Improvement

Preparation

Første step er forberedelsen. Det er i denne fase, at beredskabsplanen udarbejdes. Det første organisationen bør gøre, er at sikre sig, at man i det hele taget har de rette kompetencer og teknologier, til at opdage og reagere på et ransomwareangreb hvis det rammer.

To nøglebegreber er log management og backup. Med en log management løsning kan organisationen opdage, hvis der forekommer aktivitet i systemerne, som man ikke ville forvente. Derudover kan logopsamling i mange tilfælde lette det efterfølgende efterforskningsarbejde af angrebet, da man ved hjælp af logfilerne kan spore hvor angrebet ramte og hvordan det udviklede sig.

Detection

Næste step i beredskabsprocessen er detection; at være i stand til at opdage et angreb når det rammer organisationen. Faktum er, at vi ikke kan beskytte os mod alle trusler. I en verden af 0-dagstrusler og almindelige brugerfejl må vi indse, at det teknologiske værn ikke kan holde alle farer ude. Hvis hackerne vil ind, så kommer de ind. Derfor er vi nødt til at vide os sikre på, at den dag de kommer ind, er vi i stand til at opdage det hurtigt, så vi kan reagere hurtigt.

Hassan Kallas, Team Manager i Dubex Security Analytics Center, Dubex’ analysecenter der arbejdet dedikeret med logopsamling og overvågning, taler om ”Time to detect & time to respond” som altafgørende for skadernes omfang ved et ransomwareangreb. Læs mere om begrebet og om hvordan du får mest udbytte af din log management løsning.

Containment

Når eller hvis din organisation rammes af et angreb, bliver den vigtigste opgave at få stoppet angrebet og forhindre at det spreder sig internt i organisationen. Det gælder om at minimere skaderne.

Her skal du igen have fat i din logopsamling og finde ud af hvor angrebet ramte i første omgang og hvordan det eventuelt har spredt sig derfra.

Ved hjælp af en række teknologier kan du forhindre, at malwaren spreder sig i de interne systemer. Det er blandt andet væsentligt at have styr på sin patching, så systemerne ikke har sårbarheder. Hvis din organisation har systemer, der af forskellige årsager ikke kan patches, anbefales det, at man beskytter systemerne ved hjælp af andre metoder, for eksempel ved brug af en sandbox-løsning, indtil systemet kan patches. Derudover bør man altid have styr på alle endpoints og indgange ind i organisationen og sikre sig, at man ikke har forældede brugere og konti, som kan være en nem adgang ind i virksomhedens systemer.

Derudover fortalte Kim Elgaard deltagerne til Dubex Security & Risk Management Update om vigtigheden i at indsamle bevismateriale allerede i dette tidlige stadie:

”Husk at indsamle bevismateriale i denne proces, så man efterfølgende kan se, hvordan malwaren ramte organisationen og spredte sig. Denne type data er vigtig, når man efterfølgende skal rette op på fejlene og forhindre, at et lignende hack sker i fremtiden”.

Eradication

Når bevismaterialet er indsamlet skal malwaren fjernes fra alle systemerne. Sørg for at alle tråde i alle systemer fjernes fuldstændig, så angrebet ikke pludselig udvikler sig igen.

Recovery

Når virksomheden efterfølgende skal finde tilbage til status quo inden ransomwareangrebet ramte, er backup nøglen.

Kim Elgaard taler om 3-2-1 reglen for backup: 3 kopier af data på 2 forskellige lokationer og 1 kopi der er off-site. Så kan man næsten være sikker på, at virksomheden kan finde tilbage til mindst én backup der ikke er inficeret.

Improvement

Vi skal lære af vores fejl, så vi ikke falder for det samme angreb flere gange.

”Det er dumt at lave den samme fejl to gange. Det er vi nødt til at sørge for ikke sker. Det kræver at vi uddanner vores brugere og lader dem lære af fejlene. Hvis ikke med Awareness-træning, så bare ved almindelig oplysning og information og deling af erfaringer,”

Sådan lød opfordringen fra Kim til deltagerne til konferencen i Horsens og fortsatte:

”Og så skal vi opdatere vores playbook (beredskabsplanen red.) når vi har lært noget nyt”.

Test at det virker!

Når beredskabsplanen er defineret, skal du teste at det virker. Der er ikke meget ved at have en beredskabsplan og en masse backup, hvis det i sidste ende viser sig, at det ikke virker. Derfor bør man implementere løbende test og træning af beredskabet som en del af sin beredskabsplan. På den måde sikrer organisationen også, at beredskabsplanen holdes up-to-date over for nye trusler og tendenser.

Sådan kommer du i gang

Kim Elgaard rundede oplægget af med at give deltagerne et par råd til, hvordan de bedst kommer i gang , når de skal have styr på beredskabet.

  1. Evaluér nuværende beredskabsplan
  2. Identificér vigtigste systemer og aktiver
  3. Sæt beredskabsteamet og træn

Først skal man evaluere sin nuværende beredskabsplan: Har organisationen overhovedet en, og er den udførlig nok? Næste skridt bliver at definere eller revidere planen. Det kræver at man har styr på virksomhedens vigtigste systemer og aktiver.

”Du skal identificere organisationens assets; kronjuvelerne. Der er ingen grund til at lave en responsplan, hvis man ikke ved hvad ens vigtigste systemer er” mener Kim Elgaard.

Find ud af hvordan Lundbeck har identificeret deres kronjuveler og nu ved præcis hvilke systemer, de skal beskytte, og hvor de skal sætte ind. Du kan bruge det som inspiration til at definere din organisations kronjuveler.

Når man har styr på kronjuvelerne skal man sætte sit beredskabsteam. Beredskabsteamet har ansvaret for at udvikle, uddanne og træne. De skal sikre sig, at beredskabsplanen er udførlig og opdateret til at reagere på de seneste tendenser. Dernæst skal de sørge for at planen jævnligt revideres, så den følger med udviklingen. Angrebstyper og metoder ændrer sig hele tiden, så det er vigtigt at beredskabet er up-to-date. Og vigtigst af alt skal de teste at det virker.

Vil du vide mere?

Få adgang til Kim Elgaards præsentation fra Dubex Security & Risk Management Update og brug den som vejledning i dit arbejde med beredskabet.

Kontakt Dubex her eller på telefon 32 83 04 30 hvis du vil høre mere om vores arbejde med beredskab. Du kan også læse om vores eget beredskabsteam, Dubex Incident Response Team (DIRT), som rykker ud når din organisation er ramt af et angreb. DIRT hjælper dig med at fjerne malwaren og rette op på skaderne.