Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
Kampen mod ransomware er en realitet.
I de seneste få år er denne form for angreb blevet en reel trussel for rigtig mange virksomheder. Vi har set omfattende angreb, som har gjort multinationale organisationer og endda regeringer sårbare og uden mulighed for at opretholde kritiske funktioner i organisationen.
I 2017 lammede ransomware-angrebet WannaCry hospitalers it-afdelinger på tværs af Europa med over 200.000 påvirkede computere og viste, hvor ødelæggende ransomware kan være.
Selv om WannaCry og Petya stadig er de mest kendte ransomware-angreb, er denne type cyberangreb i vækst, ifølge Europols 2019-rapport om vurdering af online-truslen fra organiseret kriminalitet (IOCTA).
Organisationer er nødt til at anerkende denne trussel og gå i gang med at forberede sig, forsvare sig og være klar til at genetablere virksomhedens data.
Et stærkt forsvar i flere lag og en strategi til at imødegå ransomware-angreb består af tre nøgleelementer: Uddannelse, implementering og genoprettelse. Det er desuden vigtigt at have en ultra-modstandsdygtig tilgang til backup, sporing og genoprettelse af data, så virksomheden fortsat kan fungere i tilfælde af et angreb.
Internetforbundne RDP-servere hører fortiden til
Der er to vigtige grupper, der bør uddannes: it-medarbejdere og brugere i organisationen. Begge grupper er vigtige, da begge kan være sårbare for trusler mod virksomheden.
Virksomheder bliver primært ramt af ransomware via Remote Desktop Protocol (RDP) eller via andre fjernadgange, phishing og software opdateringer.
I de fleste tilfælde har de cyberkriminelle desværre alt for let adgang til virksomhedens vigtige data. Derfor er det vigtigt at kende de tre vigtigste sårbarheder, når det gælder om at finde ud af, hvor man skal investere mest for at være modstandsdygtig, set fra et sikkerhedsperspektiv.
De fleste it-administratorer bruger RDP i deres daglige arbejde, og mange RDP-servere er direkte forbundet til internettet. Realiteten er, at internetforbundne RDP-servere er et fænomen, der bør stoppes. It-administratorer kan være nok så kreative og forsøge at sikre dem med særlige IP-adresser, omdirigering af RDP-porte, indviklede passwords og meget mere.
Men data lyver ikke, og data viser, at over halvdelen af ransomware-angreb sker via RDP. Derfor harmonerer internet-forbundne RDP-servere på ingen måde med en fremsynet strategi om større modstandsdygtighed over for ransomware.
En anden ofte anvendt metode til at få adgang er via phishing-mails. Vi har alle set e-mails, der bare ser forkerte ud. Det rigtige er at slette dem, men det er ikke alle brugere, der forstår at håndtere situationen korrekt.
Der findes værktøjer som Gophish og KnowBe4, der kan hjælpe med at vurdere risikoen for et succesfuldt phishing-angreb. Kombineret med undervisning, der hjælper medarbejdere med at identificere phishing-mails, kan disse værktøjer være en del af en effektiv første forsvarslinje.
Den tredje metode er risikoen for, at nogen udnytter sårbarheder.
Et opdateret system er fast arbejde for it-afdelingen, og lige nu er det vigtigere end nogensinde før. Selv om det ikke er en glamourøs opgave, kan det hurtigt vise sig at være en god investering, hvis et ransomware-angreb forsøger at udnytte en kendt sårbarhed, der tidligere er blevet udbedret med en opdatering.
Sørg for, at kritiske it-systemer som operativsystemer, applikationer, databaser og enhedssoftware altid er opdateret. Flere typer af ransomware, inklusive WannaCry og Petya, har været baseret på kendte sårbarheder, som var blevet udbedret.
Hvad er 3-2-1?
Organisationer, som bruger best practice for at forhindre ransomware-angreb, er også i farezonen. Selv om oplysning af medarbejderne er skridt i den rigtige retning, så bør organisationerne forberede sig på et worst-case scenarie. Det vigtigste punkt for it-afdelingen og virksomhedsledere er at have en ultramodstandsdygtig backup-løsning.
I mine øjne er 3-2-1-reglen den bedste strategi til sikring af data. 3-2-1-reglen anbefaler, at der skal være mindst tre kopier af vigtige data på mindst to forskellige medier, hvor mindst én af disse bliver opbevaret off-site. Det bedste ved den regel er, at der ikke er nogen specifikke krav til en bestemt type hardware, og reglen er alsidig nok til at håndtere stort set alle scenarier ved nedbrud.
Den “ene” kopi i 3-2-1-strategien skal være ultramodstandsdygtig. Her mener vi en ”air-gapped”, offline og uforanderlig sikkerhedskopi. Der findes forskellige typer af medier, som kan bruges til at opbevare denne type data på en meget sikker måde.
Det kan blandt andet være båndmedier, uforanderlige sikkerhedskopier i S3 eller S3 kompatible lagermedier, ”air-gapped” og offline medier eller en software-as-a-service-løsning i form af backup og Disaster Recovery (DR).
Regel nummer 1: Betal aldrig løsepenge
Selv om der er måder at uddanne og beskytte sig på, er organisationer også nødt til at være forberedt på at handle, hvis truslerne bliver til virkelighed. Hvis det sker, er min holdning ganske enkelt, at virksomheder skal lade være med at betale løsepenge.
Den eneste løsning er at genetablere data. Samtidig er organisationerne nødt til at planlægge et modsvar i tilfælde af et angreb. Det første skridt er at kontakte supporten, der kan guide organisationen igennem processen med at genetablere data i forbindelse med ransomware-angreb.
Sørg altid for at beskytte jeres backup, for den er essentiel, når det gælder om at genoptage forretningen.
Når katastrofen rammer, bliver kommunikationen en af de første udfordringer. Forbered derfor, hvordan I kan kommunikere uden om de vante kanaler. Forbered lister til gruppe-SMS, telefonnumre og andre måder at kommunikere på, som kan fungere i større teams.
Der skal også stå kontaktoplysninger på sikkerhedseksperter, jeres respons-team og eksperter inden for identitetsstyring – interne eller eksterne.
Inden en eventuel hændelse opstår, er det vigtigt at få afklaret, hvem der har autoritet til at tage beslutninger, og hvem der bestemmer, hvornår det er tid til at iværksætte en genoprettelse eller udskiftning af data.
Når beslutningen om genoprettelse er truffet, er organisationen nødt til at implementere flere sikkerhedstjek, inden systemet går online igen. Det er også vigtigt at klarlægge, om det er den bedste beslutning at genskabe hele den virtuelle maskine (VM), eller om det giver mere mening at genskabe systemet på fil-niveau.
Samtidig er det nødvendigt at sikre sig, at hele genetableringsprocessen er fuldkommen sikret og løbende understøttes af anti-virus og anti-malware-skanninger på tværs af alle systemer, og at alle brugere ændrer deres passwords efter en genetablering.
Selv om truslen om ransomware er reel, kan organisationer med den rigtige forberedelse øge deres modstandsdygtighed imod denne type hændelser og minimere risikoen for tab af data, finansielle tab og sikre sig imod skader på virksomhedens omdømme.
Her er en sikkerhedsløsning i flere lag afgørende. Uddan it-afdelinger og medarbejdere, så de kan minimere risikoen og maksimere forebyggelse.
Vær klar til at begrænse skaden på jeres datasystemer med komplet backup og mulighed for Disaster Recovery (DR), hvis de andre forsvarslinjer i virksomheden fejler.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.