Generel vejledning om ransomware

Mange virksomheder, organisationer og privatpersoner oplever udfordringer med ransomware, hvor it-kriminelle krypterer filer og kræver en løsesum for at frigive dem. De it-kriminelle udnytter mangler i den basale it-sikkerhed – og man kan ikke stole på, at filerne dekrypteres, selvom man betaler.

Generel vejledning om ransomware

Hos Dubex hjælper vi ofte kunder med at begrænse skaderne, rydde op og genetablere driften efter et ransomware-angreb. På baggrund af dette har vi tidligere listet en række anbefalinger , der hjælper dig med at sikre din organisations data. I lyset af det globale ransomware-angreb, WannaCry, har vi opdateret vores generelle vejledning. Hvert punkt er suppleret med konkrete løsninger, hvor vi hos Dubex har de nødvendige kompetencer til at hjælpe.

Husk at fuldstændig sikkerhed ikke er muligt. Trusselsbilledet udvikler sig hastigt og organisationens behov ændrer sig fra dag til dag. Selvom vores anbefalinger er baseret på best practice indenfor it-sikkerhed, giver de ingen garanti for, at du ikke bliver ramt af ransomware. Du reducerer dog risikoen markant og er godt stillet i forhold til at opdage trusler tidligt - og kan dermed begrænse omkostningerne ved et potentielt angreb.

Hurtig og løbende opdatering og sårbarhedsscanning af systemer

De kriminelle afdækker og udnytter sårbarheder i systemer til at få adgang til en computer eller et netværk. Derfor er det vigtigt, at man løbende opdaterer systemerne, også kaldet patch management. Desværre oplever vi, at rigtig mange ikke har styr på procedurerne for patch management og derfor efterlader deres virksomhed sårbar overfor angreb.

Der findes i dag værktøjer fra eksempelvis Qualys, der kan hjælpe med at afdække både interne og eksterne sårbarheder i dit netværk og dine applikationer. Derudover kan du købe værktøjer, der hjælper med at skabe overblik over manglende opdateringer, f.eks. Flexera (tidl. Secunia) CSI eller Trend Micros Virtual Patching.

Få styr på medarbejdernes adgange

En af de største udfordringer for stort set alle organisationer er, at finde ud af hvem der har hvilke netværksdrev og med hvilke rettigheder. Derfor bør der jævnligt gennemføres audits af, og strammes op på, hvem der har rettigheder til hvad.

Derudover er det vigtigt, at få styr på de privilegerede brugere, der har udvidede rettigheder, eksempelvis lokaladministratorer. Fordi de har udvidet adgang til systemer og data, udgør de en ekstra stor trussel. Her tilbyder CyberArk eksempelvis en løsning til at administrere og kontrollere privilegerede brugere.

I forhold til ransomware er det desuden vigtigt, at man begrænser ntfs-rettigheder på mapper, så ransomwaren ikke kan tilgå alt. Endelig bør man sikre, at netværket er opdelt i logiske segmenter, således at forretningskritiske systemer ikke påvirkes af et angreb på en brugers pc.

Sørg for at medarbejderne ved hvad de skal holde øje med

Hver enkelt medarbejder skal vide, at de har en betydning for virksomhedens sikkerhed. I 9 ud af 10 tilfælde er medarbejderne nemlig involveret i et sikkerhedsbrud. Oftest bliver de snydt af kriminelle, der lokker dem til at klikke på links og vedhæftede filer i eksempelvis e-mails. Derfor er det vigtigt, at medarbejderne kender truslerne og ved hvilke faresignaler der er – både på kontoret og privat.

Derudover er det selvfølgelig vigtigt, at de kender organisationens sikkerhedsregler og ved hvor de skal henvende sig, hvis de oplever noget mistænkeligt eller er i tvivl om hvad de må og skal. Samtidig er det vigtigt, at it-afdelingen er rustet til at håndtere henvendelser fra medarbejderne og ikke får dem til at føle sig som dumme brugere.

Vi anbefaler, at man gennemfører et awareness-forløb , der sikrer at alle medarbejdere, fra produktionsmedarbejderen til den administrerende direktør, er bevidste om truslerne og deres rolle i forhold til den digitale sikkerhed. Flere af vores kunder har i forbindelse med deres awareness-forløb valgt at gennemføre en phishing-test for at afdække medarbejdernes reaktioner under kontrollerede forhold.

Scan indhold i e-mails

Virksomheden kan reducere risikoen for at medarbejderne bliver præsenteret for skadelige links ved at scanne webtrafikken og teste indholdet i e-mails, før det når frem til modtageren. Her har sandboxing vist sig at være yderst effektivt i forhold til at blokere ransomware.

Udfordringen med ransomware og andre typer malware er, at det typisk er camoufleret i almindelige dokumenter som word- og pdf-filer. Hidtil har vi typisk blokeret for eksekverbare filer, men med sandboxing har vi mulighed for at teste indholdet inden det kommer frem til modtageren. Hvis skadelig og mistænkelig adfærd opdages, kan de mistænkelige filer sættes i karantæne og dermed forhindres det, at vores systemer kompromitteres af ukendt malware.

Hos Dubex anbefaler vi blandt andet Trend Micros Deep Discovery-løsning, der effektivt sporer og blokerer skadeligt indhold.

Husk backup

En korrekt procedure for backup er den eneste måde at have 100 % sikkerhed for data, hvis det værst tænkelige skulle ske. Husk at backuppen skal testes løbende, at den skal være offline, så den ikke også kan blive ramt – og husk en god retention politik så man kan komme tilbage.

Derudover anbefaler vi, at du opsætter shadow copy på filservere. Denne bliver ikke slettet, når det er klienten, som bliver ramt. Filserver shadow copy kan desuden bruges i forbindelse med restore.

I tilfælde af at organisationen bliver ramt

Bliver din virksomhed ramt af ransomware, anbefaler vi, at du gemmer en kopi af de krypterede filer, da der i flere tilfælde er kommet et dekrypteringsværktøj. Gem også en kopi af harddisken fra en ramt maskine, da der nogle gange ligger nøglefiler, som skal bruges af dekrypteringsværktøjer senere.

Løbende overvågning

Tid er en altafgørende faktor i tilfælde af en kompromittering – og især når det gælder kryptering af forretningskritiske data. Loghåndtering og -overvågning er i dag en nødvendighed for at bevare overblikket over trafikken på netværket – både her og nu, men også historisk, i tilfælde af en kompromittering.

I Dubex’ Security Analytics Center (SAC)  overvåger og analyserer vores erfarne specialister din infrastruktur med henblik på at identificere unormale hændelser, fejl, angrebsmønstre og alarmer. Du bliver først inddraget, når der opstår hændelser, som du skal reagere på.

Specialister med de rette tekniske kompetencer

Det er vigtigt, at alle nødvendige medarbejdere inddrages og at de rette tekniske kompetencer er til rådighed. Dubex Incident Response Team har hjulpet en lang række kunder med at identificere og inddæmme ransomware-angreb. Vi har en fuld proces for, hvordan der skal reageres og har udviklet en række værktøjer, der hurtigt og effektivt kan identificere angrebet og sætte inficerede klienter i karantæne

Kontakt os her eller på tlf. 3283 0430, hvis du vil vide mere om hvordan du reducerer risikoen for ransomware-angreb og sikrer et effektivt beredskab hvis uheldet er ude.