Insight

Hvordan forsvarer du dig effektivt mod ransomware?

Er det nok at have en god antivirus og en effektiv firewall, eller skal der mere til?

Eftersom de fleste virksomheder har et antimalwaresystem og en firewall, må svaret være, at disse to mitigeringsmekanismer i sig selv ikke er nok til at afværge et ransomwareangreb, men hvad skal der så til?


Et malwareangreb og de tilhørende taktikker og teknikker følger normalt de koncepter, der er beskrevet i MITRE ATT&CK. Her er det vigtigt at lægge mærke til, at forskellige hackergrupper bruger forskellige teknikker og forskelligt software. Vi har for nylig i et webinar (Hvordan trykprøver du organisationens it-sikkerhed?) gjort rede for smertepyramiden og brugen af MITRE ATT&CK. Det er klart, at skal du kunne forsvare dig effektivt mod ransomware, så skal der gøres en række forskellige tiltag.


Rækkefølgen af taktikker i et ransomwareangreb er som oftest: 

  1. PRE-ATT&CK (TAA0042&43) – rekognoscering, hvor ofre udses og undersøges, som forløber til at spearphishingangreb.
  2. Initial Access (TA0001) – Her er der oftest tale om phishing (T1566), hvor ofret afgiver sine adgangsrettigheder eller klikker på et link. Dette udfører ondsindet kode eller henter et dokument, som indeholder en macro, som ved aktivering henter og udfører ondsindet kode. 
  3. Execution (TA0002) af kode, fx gennem Command and Scripting (T1059), sørger for at udføre den ondsindede kode.
  4. Herefter følger Persistence (TA0003) og Privilege Escalation (TA0004), hvor der etableres en permanent tilstedeværelse af malwaren og en efterfølgende ”opgradering af rettigheder”, typisk på klienten. Dette er en af årsagerne til, at det it-sikkerhedsmæssigt udgør en meget stor risiko, når brugerne har lokale admin-rettigheder.
  5. Målet er at sprede sig horisontalt til andre klienter (og servere) via Lateral Movement (TA0009) og nå AD med Domain Admin-rettigheder, hvorfra slaget egentlig er tabt, dahackeren ”kan alt” på dette tidspunkt. Bemærk, at der i denne periode, som betegnes Dwell Time (på dansk ”mulvarpetid”), kan gå måneder, hvor angriberen uopdaget har adgang til alle ressourcer i hele netværket. Dette er beskrevet i flere detaljer i Verizon DBIR 2021.
  6. Herefter følger typisk datatyveri i form af Exfiltration (TA0010) og endelig kryptering af systemer, data, klienter og servere kaldet Data Encrypted for Impact (T1486) i taktikken Impact (TA0040).

 

Det er vigtigt at have en effektiv kill chain, som kan afbryde så mange af disse teknikker som muligt. Dette skal afprøves, så du kan vurdere, hvor effektivt dit antimalwareforsvar egentligt er. Som hovedregel er følgende tiltag meget vigtige:

  1. En rigtigt god cyberhygiejne (CIS 1-6). Beskrivelse af, hvordan du opnår dette, finder du i artiklen ”CIS-kontrollerne og malware” i dette nyhedsbrev. De vigtigste tiltag er 802.1x, Application whitelisting, rettidig sårbarhedsmitigering, kontrol med admin-rettigheder (især, men ikke begrænset til, lokale admin-rettigheder på klienterne) og sikker opsætning af systemer via CIS Benchmarks).
  2. Da mere end 95% af al malwareaktivitet stammer fra e-mail- eller browseraktivitet, er det vigtigt, at du begrænser spam og sørger for at sikre browsere (CIS Benchmarks) og styring af browseropsætning og DNS-/URL-filtrering (CIS 7).
  3. Antimalware (CIS 8) samlet i ét centralt system på alle servere og klienter. Systemet skal være opdateret og fortrinsvist baseret på adfærdsundersøgelser, da signaturer ikke rigtigt er effektive. Nogle antimalwaresystemer er meget afhængige af en internetforbindelse for at være effektive (fx Microsoft Defender ATP), mens andre klarer sig både med og uden internetforbindelse som fx Sophos Intercept X Endpoint og CrowdStrike Falcon Endpoint protection Pro
  4. En effektiv L7-firewall (CIS 12) og HIPS, som kan forhindre C2-kommunikation – gerne mellem alle zoner i netværket med forskellig ”trust”.
  5. En backup (CIS 10), hvor både backup og restore er testet regelmæssigt (ikke ad hoc, når der er brug for det) med en offline kopi, som ikke kan aktiveres eller åbnes automatisk eller kan nås med OS-kald (ikke sårbar over for ransomware).
  6. Et segmenteret netværk baseret på data og evt. på systemer (brug CIA-modellen og CIS 13+14). Dette vil forhindre en kompromitteret del af netværket i at sprede sig til hele netværket. 
  7. Effektiv Incident Response (CIS 19) og SOC (CIS 20), som kan træde til for at begrænse konsekvenserne af et angreb. Her kan du få hjælp ved at lægge disse services i hænderne på Deloitte. Kontakt Christian Schmidt, hvis du gerne vil vide mere.

Ovenstående skal gerne være implementeret på en klient, som for at nå internettet skal have følgende:

  • Det bedst mulige antimalwaresystem
  • Lokal firewall
  • Opsætning af OS og applikationer efter CIS’ benchmarks (sikker opsætning)
  • E-mail gateway med sandbox
  • Web gateway med sandboxIntrusion
  • Prevention System (IPS)
  • Firewall med L7.

Du kan bruge vores Cybersnack, som udleveres på vores webinar den 22. april. Tilmeld dig her.

Fandt du dette nyttigt?