WannaCry of WannaLearn

WannaCry of WannaLearn?

De rust keert langzaam weer terug na de uitbraak van de WannaCry ransomware. Maar dat betekent niet dat we weer achterover gaan leunen. Wat heeft deze vorm van ransomware ons gebracht? Is WannaCry de wake-up call die we nodig hebben en welke wijze lessen voor de toekomst halen we eruit?

Wat deze variant anders maakt dan de andere cryptoware is dat deze in staat is om zichzelf verder te verspreiden via andere kwetsbare Windows-systemen in het eigen netwerk en daarbuiten. Deze zogenoemde zelfreplicerende Ransomworm werd in januari van dit jaar al aangekondigd door verschillende experts en blijkt helaas nu al waarheid geworden.

Wat heeft de WannaCry-aanval ons geleerd?

Grote, verouderde bedrijfsnetwerken liepen het meeste risico. Waaronder bijvoorbeeld het hele Britse zorgsysteem inclusief ziekenhuizen dat nog op Windows XP draait. Grote bedrijven zijn langzaam met het updaten van hun systemen. We kunnen concluderen dat:

  • veel netwerken nog steeds kwetsbaar zijn;
  • het patchen van systemen en applicaties minder frequent gebeurt;
  • we nog steeds teveel vertrouwen op signature based technieken voor bescherming;
  • Security Awareness echt nog tekort schiet.

Beknibbel niet op beveiliging

De uitbraak maakt gebruik van een exploit om zichzelf binnen het eigen netwerk en daarbuiten te verspreiden. Dit zorgde voor de enorme snelheid waarmee WannaCry de wereld over ging. Wat kunnen we doen om dit te voorkomen?

  • Zorg voor procedures die bepalen hoe snel patches met een rating van High en Critical uitgerold moeten worden.
  • Gebruik een patch oplossing om Windows en 3rd party updates uit te rollen.
  • In geval van incompatibiliteit issues die patch uitrol beperken, onderzoek mogelijkheden voor VDI of netwerk/internet beperking van applicatieserver

Netwerk-infrastructuur

  • Beperk toegang tot Netbios/SMB poorten op netwerken waar mogelijk.
  • Onderzoek mogelijkheden om netwerkcommunicatie richting het internet te beperken tot alleen de bedrijfsnoodzakelijke communicatie.
  • Verhoog de netwerksegmentatie binnen de gehele infrastructuur.
  • Maak gebruik van private VLAN’s, waarmee onderlinge communicatie tussen clients beperkt wordt.
  • Configureer client Firewalls om onderlinge communicatie zoveel mogelijk te beperken.
  • Maak gebruik van netwerkinspectie om aanvallen te detecteren en te blokkeren.
  • Beperk internettoegang tot alleen die systemen die het ook daadwerkelijk nodig hebben.

Extra bescherming van Fileservers

Maak waar mogelijk gebruik van de ingebouwde feature van Microsoft Windows Server File System Resource Manager (FSRM) om file server/shares te beschermen. Door gebruik te maken van File Groups is het mogelijk om bestandsnaampatronen (*.wincry, tor.exe, tasksche.exe, *.pky) te configureren die bewaakt worden. Zo voorkom je dat deze extensies weggeschreven worden op de fileshares.

Client bescherming

Next Generation Endpoint protection oplossingen die niet vertrouwen op signature based technieken en gebruik maken van machine learning detecteren en stoppen dit soort aanvallen.

Paraat, maar voor hoelang?

Door deze aanval zijn we in ieder geval weer met beide benen op de grond gezet en zijn we even in een verhoogde staat van paraatheid. Is deze aanval de wake-up call die ons gaat veranderen? Waarschijnlijk niet. Als we het vergelijken met malware-aanvallen uit het verleden en voorbeelden uit de wereld om ons heen, zal de verhoogde paraatheid langzaam afzakken en zullen we weer terugkomen in ons oude dagelijkse ritme.

Gezien de beperkte schade die de aanval in Nederland heeft aangebracht, kan het gevoel ontstaan dat de dreiging eigenlijk wel meevalt.

Toekomstmuziek

Is het een wijze les voor de toekomst? Dat zou het zeker moeten zijn. Zeker omdat het slechts een aantal eenvoudige stappen kost om massale verspreiding te voorkomen en de veiligheid van de infrastructuur te verhogen. Niet alleen de eerste verdedigingslinie (techniek) en onze laatste verdedigingslinie (gebruikers) kunnen wat meer aandacht gebruiken om onze infrastructuur veiliger te maken. Ook de onderdelen daaromheen zoals: configuratie, procedures, policies en bewustwording kunnen wat meer aandacht gebruiken.

Uw organisatie beschermen tegen ransomware?

De oplossingen van Nutshell IT dragen bij aan een optimale beveiliging van uw organisatie. Samen met u kunnen wij een optimaal beveiligingsplan vaststellen om ransomware als WannaCry buiten de deur te houden. Meer weten? Neem contact met ons op!

 

phishing-mails

Zijn uw medewerkers vatbaar voor phishing-emails? Kom erachter met de Phishing Security Test.

Lees meer »