#1 - Pas applicatie-allowlisting toe
Dagelijks verschijnen er honderdduizenden nieuwe malwarevarianten. Veel daarvan worden onderschept door virusscanners, maar sommige glippen erdoorheen. Applicatie-allowlisting biedt dan uitkomst.
Bij allowlisting mogen alleen vooraf goedgekeurde applicaties draaien. Dat is effectiever dan blocklisting, waarbij je probeert alle kwaadaardige software te blokkeren. Deze aanpak sluit goed aan bij het zero trust-principe, waarbij je niets en niemand standaard vertrouwt. Allowlisting voorkomt niet alles, zoals aanvallen via insiders of achterdeurtjes, maar het verkleint de kans dat malware vanaf het internet wordt uitgevoerd aanzienlijk. Het kost tijd en moeite om dit goed in te richten, maar die investering loont.
#2 - Optimaliseer multifactorauthenticatie en gebruik context
Veel ransomware-actoren gebruiken phishing om binnen te komen. Traditionele multifactorauthenticatie (MFA) biedt hiertegen onvoldoende bescherming.
Gebruik daarom phishing-resistente MFA en stel aanvullende voorwaarden voor toegang, zoals: alleen toegang vanaf apparaten die door de organisatie worden beheerd. Zo voorkom je dat aanvallers met gestolen inloggegevens alsnog toegang krijgen tot systemen.
#3 - Prioriteer patchen van systemen die ontsloten zijn aan internet
Geef binnen het patchmanagementproces prioriteit aan kwetsbaarheden die zowel qua kans als impact als ‘hoog’ zijn ingeschaald. Streef ernaar om deze binnen 48 uur te patchen.
Veel ransomware-incidenten beginnen doordat aanvallers misbruik maken van kwetsbaarheden in systemen die direct vanaf het internet bereikbaar zijn. Door snel te patchen verklein je de kans op succesvolle aanvallen aanzienlijk.
#4 - Doe de systeembeheer achterdeurtjes dicht!
Zorg ervoor dat afstandwerkoplossingen die door systeembeheer gebruikt worden, zoals RDP en VNC, niet direct vanaf het internet bereikbaar zijn. Deze mogen alleen benaderbaar zijn via een beveiligde VPN of gateway-oplossing.
#5 - Scan de buitenkant van jouw IT-infrastructuur
Scan regelmatig jouw aan het internet ontsloten systemen op afwijkingen en kwetsbaarheden. Z-CERT doet dit ook als onderdeel van de standaard dienstverlening. Zie EASM voor meer informatie.
In de praktijk zijn bijvoorbeeld firewalls soms verkeerd geconfigureerd of staat tegen het beleid in een afstandswerkoplossing open, waar medewerkers op kunnen inloggen zonder MFA.
#6 - Beveilig jouw applicaties en systemen
Controleer of de beveiligingsopties in software optimaal zijn benut. Schakel niet-gebruikte functionaliteiten met beveiligingsrisico’s uit. Voor veel oplossingen zijn ‘baselines’ beschikbaar waarin alle configuratieopties overzichtelijk zijn weergegeven, zodat je er geen vergeet!
#7 - Pas het least privilege-principe toe
Beperk gebruikersrechten tot wat nodig is, en alleen zolang dat nodig is. Bij ransomware-incidenten blijkt dat aanvallers vaak misbruik maken van te ruime rechten of systeembeheerders die inloggen op verkeerde plekken.
Een aantal maatregelen die daarop inspelen:
- Gebruik aparte beheermachines voor taken met verhoogde rechten. Voer deze taken nooit uit vanaf een standaard werkplek.
- Ken geen lokale beheerdersrechten toe aan gebruikers. Deze rechten maken het mogelijk voor aanvallers om sessies over te nemen en wachtwoorden te stelen.
- Gebruik beheeraccounts nooit op gewone werkplekken. Zo voorkom je dat deze beheeraccounts worden overgenomen wanneer een werkplek geïnfecteerd raakt.
#8 - Maak regelmatig back-ups van belangrijke data en zorg voor offline back-ups
Test het herstelproces regelmatig.
Pas de 3-2-1-regel toe:
- 3 kopieën van je data
- 2 verschillende opslagmedia
- 1 kopie offline
Systemen waarop back-ups worden bewaard, mogen niet toegankelijk zijn met accounts die ook op andere systemen worden gebruikt. Let op: de klassieke 3-2-1-regel spreekt van een offsite kopie (op een andere locatie), maar in het geval van ransomware is een offline kopie belangrijk omdat criminelen proberen zoveel mogelijk back-ups te verwijderen.
#9 - Beperk bewegingsruimte in het netwerk
Ransomware-actoren zijn net sprinkhanen: ze springen van de ene naar de andere computer. Beperk deze bewegingsvrijheid door netwerksegmentatie. Zet systemen die niet geüpdatet kunnen worden in een apart segment achter een interne firewall.
#10 - Houd verdachte activiteiten in de gaten
Technische maatregelen helpen om aanvallen te voorkomen, maar het is minstens zo belangrijk om afwijkend gedrag snel te herkennen.
Let op signalen zoals:
- Aanmeldpogingen op ongebruikelijke tijden
- Gebruik van software die normaal niet voorkomt in de omgeving
- Aanwezigheid van malware
Zorg dat deze signalen worden gemonitord en opgevolgd. Vroege herkenning kan een aanval stoppen voordat er schade ontstaat. Neem contact op bij verdachte activiteiten, mogelijk speelt hetzelfde bij een andere organisatie. Z-CERT helpt hierbij, want samen sta je sterker dan alleen.