Hur stoppar man ransomware-attacker?

Ska du betala lösen under ransomware-attacker?

Några av de högst värderade företagen idag är de som samlar in, analyserar och säljer data. Men inte bara dem. Varje företag bearbetar och lagrar kritisk data. Data är den nya oljan. Det är mycket, mycket värdefullt för företag. Cyberkriminella är väl medvetna om detta; det är därför de försöker få tillgång till informationen. Den vanligaste och mest lönsamma metoden som används för att få tag på dina data är ransomware-attacken. Conscias expert Jakob Premrn går här igenom de vanligaste varianterna och tar ställning till frågan – hur stoppar man ransomware-attacker?

Varför då? Att attackera är – ur ett investeringsperspektiv – ganska enkelt, och att försvara är väldigt svårt. För ett tag sedan läste jag en intervju med en ung cyberkriminell som sa att han tjänar mer än 300 000 dollar per år bara genom att använda välkända sårbarheter, verktyg och attackmetoder som finns på internet.

Å andra sidan borde du göra mycket för att försvara dig mot den här typen av försök. Du bör upprätthålla en god patchningshygien, använda verktyg för detektering och incidenthantering, processer och alla lösningar, samtidigt som du har bästa praxis på plats. Det kan vara överväldigande. Och det är därför många organisationer inte lyckas, medan cyberkriminella framgångsrikt samlar in sina lösen.

3 varianter av ransomware-attacker

Vad är en ransomware-attack? Ransomware är en cyberattack där en cyberkriminell utpressar offret för att få lösen. Den kan delas in i tre typer:

Kryptera:

Den första versionen av ransomware-attacker var den där cyberbrottslingar skulle kryptera offrets data och pressa offret i utbyte mot dekrypteringsnyckeln. Cyberkriminella kom dock snabbt på att företag som investerar i säkerhet har backuper. När data krypterades raderade företaget det, återställde alla servrar och återställde data från säkerhetskopior. I grund och botten skrattade de åt it-brottslingar. Men inte länge.
Kryptera och exfiltrera:

I den andra versionen av ransomware-attacker krypterar cyberkriminella inte bara data utan de exfiltrerar den också. De pressar offer inte bara genom att neka dem tillgång till uppgifterna, utan också genom att hota dem. Om lösen inte betalas kommer offrets uppgifter att publiceras. För att upptäcka en sådan attack måste de implementerade säkerhetslösningarna vara mycket mer sofistikerade. Detta kräver också goda kunskaper om dataflöden inom en organisation.
Stjäl och publicera:

På senare tid har den tredje versionen av ransomware-attacker dykt upp, där cyberkriminella inte längre krypterar data; de stjäl bara det och hotar att publicera det. Detta gör det lättare för cyberbrottslingar att förbli oupptäckta. När offret får lösenbrevet får de vanligtvis en kort tid att avgöra om uppgifterna faktiskt stulits.

För att göra det måste en detaljerad analys av dataförlusten utföras, och därför måste särskilda säkerhetsverktyg finnas på plats innan händelsen inträffar. Genom att övervaka dessa säkerhetsverktyg kan IT-tekniker förstå om cyberbrottslingar bluffar eller om de verkligen har stulit data från offret. Baserat på denna information kan offren bestämma om de ska betala eller inte. Förändringen i taktiken beror troligen på att fler och fler företag fokuserar på eller börjar med klientsäkerhet (Endpoint security), vilket är enklare och billigare att implementera och kräver mindre underhåll än applikationssäkerhet, inte minst när den erbjuds som tjänst.

Med hjälp av EDR -verktyg (endpoint detection response) är det mycket enkelt att upptäcka när någon krypterar stora mängder filer; å andra sidan är det mycket svårare att upptäcka dataexfiltrering. För att upptäcka det behövs säkerhetsverktyg som övervakar trafikmönstren och utför användar- och enhetsbeteendeanalys (UEBA), vilket innebär att verktygen lär sig hur varje användare beter sig och hur deras normala arbetsoperationer ser ut. Sådana verktyg är mycket dyrare, och de kräver också mycket underhåll. Som statistiken visar är det främsta problemet inom cybersäkerhet bristen på säkerhetsexperter; det är förklaringen till varför inte alla företag har implementerat så sofistikerade verktyg.

Hur stoppar man ransomware-attacker?

De flesta organisationer tar säkerhetskopior korrekt och regelbundet. Genom att göra det stoppar man ransomware-attacker av den första varianten.

Hur stoppar man ransomware-attacker av den andra och tredje varianten? Det är knepigare. Visst, nästan alla organisationer har någon form av säkerhetsverktyg och processer implementerade, men vanligtvis finns det utrymme för förbättringar.

Min första rekommendation är därför att analysera befintliga säkerhetsverktyg och processer. En kort studie med stöd av exempelvis CIS Controls (se webinar) kommer att avslöja dina sårbarheter och visa utrymme för förbättringar. Eftersom det kan finnas ganska många förbättringar att genomföra måste prioriteringar sättas och schemaläggas i en treårsplan för cybersäkerhetsutveckling. Därefter måste de implementeras och cykeln måste upprepas årligen.

Cybersäkerhet är dock väldigt dynamiskt. Du måste hela tiden lära dig att hålla koll på de senaste hoten och lösningarna. Detta är mycket svårt, särskilt eftersom det är mycket svårt att rekrytera cybersäkerhetsproffs på marknaden. Min sista rekommendation är därför att lägga ut cybersäkerhetsuppdraget på Managed Security Service Providers (MSSP).

Det är det snabbaste och mest kostnadseffektiva sättet att öka din cyberförsvarskapacitet. Genom att göra det behöver du inte lägga din värdefulla tid och era pengar på att utbilda säkerhetspersonal. De behöver bara be om experthjälp när de behöver den. Samma som servicehem, de anställer inte heller läkare, men de ringer en vid behov.

Conscia som MSSP med Security Operations Center (SOC)

På Conscia (NIL är en del av Conscia Group) strävar vi efter att förbättra våra kunders säkerhet genom att arbeta sida vid sida med dem och anpassa oss efter deras behov och krav. Vi har mer än 25 säkerhetsexperter som inte bara förbättrar sina kunskaper genom att arbeta med olika projekt i Europa, USA och Mellanöstern, utan också tar och behåller ett antal prestigefyllda certifikationer (GCIH, GMON, GRID, GCFA, OSCP, CISSP, …) .

Conscia erbjuder en rad säkerhetstjänster, vi erbjuder också ett 24/7 Security Operations Center (SOC) som ytterligare kan förbättra upptäcktsfunktionerna i kundmiljön, och där tjänsterna kan anpassas efter era resurser och behov (se webinar). Om du är intresserad av vårt arbete och de möjligheter vi erbjuder, är du mer än välkommen att kontakta oss för en genomgång.

Knacka på vår dörr – innan hackarna knackar på din!

Knack knack

Hur stoppar man ransomware-attacker?

NYHETSBREV

Kostnadsfria guider (pdf)

Whitepaper: Ryska hackare med statligt stöd

Whitepaper: Den mänskliga faktorn i din cybersäkerhet

Whitepaper: Cyberhoten från Ukrainakriget – vad du behöver veta

Vad är AIOps? En guide till AI för IT-avdelningen

TLS: Så skyddar du dig när Internet blir mörkt

Relevanta webinarer

Inspelat webinar: Zero Trust säkerhetswebinar med Cisco 27/3 – Nolltillit du KAN lita på

Inspelat webinar: Skydda och förbättra interaktion mellan IoT, OT och IT

Inspelat webinar: Skydda dina hybrida medarbetare med Palo Alto Prisma Access

Områden

Kategorier

Ska du betala lösen under ransomware-attacker?

3 varianter av ransomware-attacker

Kryptera:

Kryptera och exfiltrera:

Stjäl och publicera:

Hur stoppar man ransomware-attacker?

Conscia som MSSP med Security Operations Center (SOC)

Knacka på vår dörr – innan hackarna knackar på din!

Relevant innehåll

Cisco ASA och FTD under attack

AI:s roll i att både förvärra och bekämpa cyberbrott

Deepfakes ställer krav på din vaksamhet

Inspelat webinar: Framtidens cybersäkerhet – SSE och SASE

Kontakta oss!