Wat herinner jij je nog uit 1989? Wellicht de val van de Berlijnse muur, de eerste Nintendo Gameboy of de première van de Simpsons? Vast niet dat in dat jaar het eerste Trojaanse paard op een diskette naar onderzoeksinstellingen over de hele wereld werd gestuurd. Sindsdien zijn softwareaanvallen voor veel organisaties helaas realiteit geworden. Malafide software, malware, heeft in bijna 35 jaar voor miljarden aan schade aangericht aan particuliere gebruikers, organisaties en overheden.
Eén vorm van malware zorgt over het algemeen echter direct voor de hoogste vorm van paraatheid: ransomware. Veel organisaties die getroffen worden door ransomware, worden geconfronteerd met een groot digitaal verlies. Daarnaast hebben zij te maken met naam- en reputatieschade. In een aantal gevallen betekent het zelfs een faillissement. In deze blog geven wij handvatten om je tegen deze dreiging te beschermen.
Hoe werkt ransomware?
In wezen is de manier waarop ransomware een organisatie binnendringt vergelijkbaar met dat van andere malware. De aanvallers krijgen bijvoorbeeld toegang tot computers en servers via een zwak punt in het netwerk. Een andere manier is via gelekte of gekochte gebruikersgegevens. Zodra de ransomware zich in het netwerk heeft genesteld en wordt geactiveerd, begint een race tegen de klok. De getroffenen hebben de taak om onder grote tijdsdruk de schade zo veel mogelijk te beperken. Ze moeten duidelijk krijgen hoe de aanvallers zijn binnen gekomen en welke data of systemen zijn geraakt. Ze moeten vaststellen of er data is gecompromitteerd of gestolen en vervolgens moeten ze onder hoogspanning de afweging maken of er losgeld betaald gaat worden.
Ransomware-aanvallen worden daardoor als een grote digitale ramp beschouwd. Vaak is de schade onomkeerbaar. Data is onbruikbaar en het herbouwen van de infrastructuur kost veel tijd en capaciteit. Volgens het CBS werden alleen al in 2021 in Nederland ruim tweeduizend bedrijven slachtoffer van een aanval met ransomware. In een aantal gevallen waren de losgeldbetalingen meer dan de helft van de jaaromzet van het bedrijf. Effectieve bescherming tegen ransomware is dus essentieel voor elke organisatie. Tegelijkertijd is dit een grote uitdaging voor de IT-afdeling.
Wat maakt de verdediging tegen ransomware moeilijk?
Een belangrijke factor die de verdediging tegen ransomware zo moeilijk maakt, is de manier waarop deze malware toegang krijgt tot het systeem. Wij zien vaak dat de malware zich verschuilt achter relatief onschuldige namen of in e-mailbijlagen. Cybercriminelen worden bovendien steeds bedrevener in hun vak. Naast valse e-mails zijn er tegenwoordig tal van manieren waarop ransomware zijn weg naar het eigen netwerk kan vinden. Op het eerste gezicht lijken innovatieve technologieën zoals Near Field Communication (NFC) en IoT een grote stap voorwaarts, maar ze vertegenwoordigen ook een nieuw toegangspunt voor malware. Hoe blijf je je als IT-afdeling dan in controle?
Tot nu toe verliep de strijd tegen cybercriminaliteit volgens een vrij consistent patroon: aanvallers creëren nieuwe malware en zetten die in. Securityteams merken de verdachte activiteit op en isoleren de bestanden in kwestie. Vervolgens wordt er een oplossing bedacht om te zorgen dat de malware geen kans krijgt binnen de organisatie. Het resultaat is dan meestal een nieuwe regel of nieuw beleid dat in de firewall is ingebouwd.
Maar wat als AI-ondersteunde systemen deze aanvallen van tevoren zouden kunnen detecteren? Wat als geautomatiseerde anti-ransomwaretools malware in een vroeg stadium zouden kunnen ontmaskeren en effectief kunnen bestrijden? Zelfs voordat ze schade kunnen aanrichten?
NDR ontmaskert kwaadaardige ransomware-aanvallen vroegtijdig
Dit is de benadering van Network Detection and Response (NDR) technologie. NDR is een cyberbeveiligingsoplossing die geautomatiseerd zoekt naar ongeautoriseerde of verdachte netwerktoegang. Om dit te bereiken maakt NDR gebruik van machine learning. Daarbij observeert het de activiteiten en controleert of deze overeenkomen met het gebruikelijke gedragspatroon van het netwerk.
Mens en technologie
De voordelen voor netwerkbeheerders liggen voor de hand. Hoe minder tijd er geïnvesteerd hoeft te worden in het actief zoeken naar datalekken of configuratiefouten, hoe beter. Bovendien, als de schade eenmaal is aangericht, is het repareren ervan kostbaar. Niet alleen in tijd en geld, maar ook in capaciteit. Daarnaast heeft een mogelijk cyberincident ook een grote impact op de security-analisten. Zij staan onder grote druk om op zo’n moment honderden, zo niet duizenden, meldingen af te handelen. Het gros van deze meldingen blijkt niet relevant waardoor het risico bestaat dat de relevante meldingen worden gemist. Een wekenlange periode met veel stress en een hoge werkdruk. Mensen die last krijgen van uitputtingsverschijnselen; het staat bijna garant voor een burn-out. Om cybersecurity-experts en beheerders te ontlasten, zou op AI gebaseerde NDR-software deze taken in de toekomst moeten overnemen. Immers voorkomen, tijdig een aantal herkennen en deze stoppen, is beter dan genezen.
Met de juiste configuratie kan NDR effectieve bescherming tegen ransomware bieden. Vaak wordt de ongeoorloofde toegang tot het netwerk onmiddellijk bij het binnentreden herkend. Hiervoor maakt de software gebruik van de kunstmatige intelligentie om gedragspatronen van aanvallers te herkennen: Als een activiteit verdacht lijkt, volgt de NDR-software de volgende stappen nauwgezet. Zodra potentieel kwaadaardig gedrag wordt gedetecteerd, slaat de software alarm. Dat kan zijn door de gebruiker op de hoogte te stellen. Een andere optie is door de dubieuze activiteiten geautomatiseerd te isoleren.
NDR biedt een innovatieve en effectieve oplossing voor het detecteren en bestrijden van digitale dreigingen in een vroeg stadium. Het beschermt organisaties effectief tegen frauduleuze activiteiten en waarschuwt gebruikers preventief voor verdachte toegang. Zo zijn de gegevens beschermd – en maken digitale afpersers geen schijn van kans!
