Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

‼️ Zorgsector, dit zijn dé 10 tips tegen ransomware!

Na het vele dataleknieuws is het een goed moment om de 10 tips van Z-CERT tegen ransomware er nog eens bij te pakken. Normaal alleen beschikbaar voor Z-CERT-deelnemers, nu ook voor de hele sector. Elke dag telt: deze maatregelen verkleinen direct je risico op een incident.

#1 - Pas applicatie-allowlisting toe
Dagelijks verschijnen er honderdduizenden nieuwe malwarevarianten. Veel daarvan worden onderschept door virusscanners, maar sommige glippen erdoorheen. Applicatie-allowlisting biedt dan uitkomst.

Bij allowlisting mogen alleen vooraf goedgekeurde applicaties draaien. Dat is effectiever dan blocklisting, waarbij je probeert alle kwaadaardige software te blokkeren. Deze aanpak sluit goed aan bij het zero trust-principe, waarbij je niets en niemand standaard vertrouwt. Allowlisting voorkomt niet alles, zoals aanvallen via insiders of achterdeurtjes, maar het verkleint de kans dat malware vanaf het internet wordt uitgevoerd aanzienlijk. Het kost tijd en moeite om dit goed in te richten, maar die investering loont.

#2 - Optimaliseer multifactorauthenticatie en gebruik context

Veel ransomware-actoren gebruiken phishing om binnen te komen. Traditionele multifactorauthenticatie (MFA) biedt hiertegen onvoldoende bescherming.

Gebruik daarom phishing-resistente MFA en stel aanvullende voorwaarden voor toegang, zoals: alleen toegang vanaf apparaten die door de organisatie worden beheerd. Zo voorkom je dat aanvallers met gestolen inloggegevens alsnog toegang krijgen tot systemen.

#3 - Prioriteer patchen van systemen die ontsloten zijn aan internet

Geef binnen het patchmanagementproces prioriteit aan kwetsbaarheden die zowel qua kans als impact als ‘hoog’ zijn ingeschaald. Streef ernaar om deze binnen 48 uur te patchen.

Veel ransomware-incidenten beginnen doordat aanvallers misbruik maken van kwetsbaarheden in systemen die direct vanaf het internet bereikbaar zijn. Door snel te patchen verklein je de kans op succesvolle aanvallen aanzienlijk.

#4 - Doe de systeembeheer achterdeurtjes dicht!

Zorg ervoor dat afstandwerkoplossingen die door systeembeheer gebruikt worden, zoals RDP en VNC, niet direct vanaf het internet bereikbaar zijn. Deze mogen alleen benaderbaar zijn via een beveiligde VPN of gateway-oplossing.

#5 - Scan de buitenkant van jouw IT-infrastructuur

Scan regelmatig jouw aan het internet ontsloten systemen op afwijkingen en kwetsbaarheden. Z-CERT doet dit ook als onderdeel van de standaard dienstverlening. Zie EASM voor meer informatie.

In de praktijk zijn bijvoorbeeld firewalls soms verkeerd geconfigureerd of staat tegen het beleid in een afstandswerkoplossing open, waar medewerkers op kunnen inloggen zonder MFA.

#6 - Beveilig jouw applicaties en systemen
Controleer of de beveiligingsopties in software optimaal zijn benut. Schakel niet-gebruikte functionaliteiten met beveiligingsrisico’s uit. Voor veel oplossingen zijn ‘baselines’ beschikbaar waarin alle configuratieopties overzichtelijk zijn weergegeven, zodat je er geen vergeet!

#7 - Pas het least privilege-principe toe

Beperk gebruikersrechten tot wat nodig is, en alleen zolang dat nodig is. Bij ransomware-incidenten blijkt dat aanvallers vaak misbruik maken van te ruime rechten of systeembeheerders die inloggen op verkeerde plekken.

Een aantal maatregelen die daarop inspelen:

  • Gebruik aparte beheermachines voor taken met verhoogde rechten. Voer deze taken nooit uit vanaf een standaard werkplek.
  • Ken geen lokale beheerdersrechten toe aan gebruikers. Deze rechten maken het mogelijk voor aanvallers om sessies over te nemen en wachtwoorden te stelen.
  • Gebruik beheeraccounts nooit op gewone werkplekken. Zo voorkom je dat deze beheeraccounts worden overgenomen wanneer een werkplek geïnfecteerd raakt.

#8 - Maak regelmatig back-ups van belangrijke data en zorg voor offline back-ups
Test het herstelproces regelmatig.

Pas de 3-2-1-regel toe:

  • 3 kopieën van je data
  • 2 verschillende opslagmedia
  • 1 kopie offline

Systemen waarop back-ups worden bewaard, mogen niet toegankelijk zijn met accounts die ook op andere systemen worden gebruikt. Let op: de klassieke 3-2-1-regel spreekt van een offsite kopie (op een andere locatie), maar in het geval van ransomware is een offline kopie belangrijk omdat criminelen proberen zoveel mogelijk back-ups te verwijderen.

#9 - Beperk bewegingsruimte in het netwerk

Ransomware-actoren zijn net sprinkhanen: ze springen van de ene naar de andere computer. Beperk deze bewegingsvrijheid door netwerksegmentatie. Zet systemen die niet geüpdatet kunnen worden in een apart segment achter een interne firewall.

#10 - Houd verdachte activiteiten in de gaten

Technische maatregelen helpen om aanvallen te voorkomen, maar het is minstens zo belangrijk om afwijkend gedrag snel te herkennen.

Let op signalen zoals:

  • Aanmeldpogingen op ongebruikelijke tijden
  • Gebruik van software die normaal niet voorkomt in de omgeving
  • Aanwezigheid van malware

Zorg dat deze signalen worden gemonitord en opgevolgd. Vroege herkenning kan een aanval stoppen voordat er schade ontstaat. Neem contact op bij verdachte activiteiten, mogelijk speelt hetzelfde bij een andere organisatie. Z-CERT helpt hierbij, want samen sta je sterker dan alleen.

Wie is Z-CERT

Z-CERT is hét expertisecentrum voor cybersecurity in de Nederlandse zorgsector. Als onafhankelijke stichting zonder winstoogmerk ondersteunt Z-CERT sinds 2017 zorginstellingen bij het voorkomen en afhandelen van digitale incidenten. Met diepgaande kennis van medische hard- en software helpt Z-CERT organisaties weerbaar te maken tegen cyberdreigingen zoals ransomware, phishing en datalekken. Dit doen wij onder andere door het delen van actuele dreigingsinformatie, het monitoren van netwerken en het bieden van directe ondersteuning bij incidenten.