Ransomwarebeveiliging in Azure

Ransomware en afpersing zijn een hoge winst, lage kosten, die een afnemende impact heeft op gerichte organisaties, nationale/regionale veiligheid, economische beveiliging en volksgezondheid en veiligheid. Wat begon als eenvoudig, single-PC ransomware groeide met verschillende afpersingstechnieken gericht op alle soorten bedrijfsnetwerken en cloudplatforms.

Om ervoor te zorgen dat klanten die op Azure worden uitgevoerd, worden beschermd tegen ransomware-aanvallen, investeert Microsoft sterk in de beveiliging van onze cloudplatforms en biedt beveiligingsmaatregelen die u nodig hebt om uw Azure-cloudworkloads te beschermen

Door systeemeigen ransomwarebeveiliging van Azure te gebruiken en de aanbevolen procedures te implementeren die in dit artikel worden aanbevolen, neemt u maatregelen waarmee uw organisatie potentiële ransomware-aanvallen op uw Azure-assets kunt voorkomen, beveiligen en detecteren.

In dit artikel worden de belangrijkste systeemeigen mogelijkheden en verdediging van Azure beschreven voor ransomware-aanvallen en richtlijnen over hoe u deze proactief kunt gebruiken om uw assets te beschermen in de Azure-cloud.

Een groeiende bedreiging

Ransomware-aanvallen zijn een van de grootste beveiligingsuitdagingen waarmee bedrijven vandaag de dag te maken hebben. Wanneer dit lukt, kunnen ransomware-aanvallen een IT-infrastructuur voor de bedrijfskern uitschakelen en vernietiging veroorzaken die gevolgen kunnen hebben voor de fysieke, economische beveiliging of veiligheid van een bedrijf. Ransomware-aanvallen zijn gericht op bedrijven van alle soorten. Dit vereist dat alle bedrijven preventieve maatregelen nemen om bescherming te waarborgen.

Recente trends over het aantal aanvallen zijn alarmerend. Hoewel 2020 geen goed jaar was voor ransomware-aanvallen op bedrijven, begon 2021 op een slecht traject. Op 7 mei werd de koloniale pijplijn (Koloniale) aanval afgesloten diensten zoals pijplijntransport van diesel, benzine en jet brandstof tijdelijk gestopt. Koloniaal sluit het kritieke brandstofnetwerk dat de populeuze oostelijke staten levert.

In het verleden werden cyberaanvallen gezien als een geavanceerde reeks acties die gericht zijn op bepaalde branches, waardoor de resterende industrieën geloofden dat ze buiten het bereik van cybercriminaliteit lagen en zonder context waarover ze zich zouden moeten voorbereiden. Ransomware vertegenwoordigt een belangrijke verschuiving in dit bedreigingslandschap, en het wordt gemaakt cyberaanvallen een echt en alomtegenwoordig gevaar voor iedereen. Versleutelde en verloren bestanden en bedreigende losgeldnota's zijn nu de top-of-mind angst geworden voor de meeste leidinggevenden.

Het economische model van ransomware maakt gebruik van de misperceptie dat een ransomware-aanval alleen een malware-incident is. Terwijl in werkelijkheid ransomware een inbreuk is waarbij mensen kwaadwillende mensen een netwerk aanvallen.

Voor veel organisaties wegen de kosten om helemaal opnieuw op te bouwen nadat een ransomware-incident veel opweegt tegen het oorspronkelijke losgeld. Met een beperkt begrip van het bedreigingslandschap en hoe ransomware werkt, lijkt het betalen van het losgeld de betere zakelijke beslissing om terug te keren naar activiteiten. De echte schade wordt echter vaak gedaan wanneer de cybercriminelen bestanden voor vrijgave of verkoop exfiltreert, terwijl ze achterdeurtjes in het netwerk verlaten voor toekomstige criminele activiteiten– en deze risico's blijven bestaan, ongeacht of het losgeld wordt betaald.

Wat is ransomware?

Ransomware is een soort malware die een computer infecteert en de toegang van een gebruiker tot het geïnfecteerde systeem of specifieke bestanden beperkt om ze voor geld af tepersen. Nadat het doelsysteem is gecompromitteerd, wordt meestal de meeste interactie vergrendeld en wordt er een waarschuwing op het scherm weergegeven, waarin wordt aangegeven dat het systeem is vergrendeld of dat al hun bestanden zijn versleuteld. Vervolgens wordt een aanzienlijk losgeld betaald voordat het systeem wordt vrijgegeven of bestanden ontsleuteld.

Ransomware zal doorgaans misbruik maken van de zwakke punten of beveiligingsproblemen in de IT-systemen of infrastructuren van uw organisatie om te slagen. De aanvallen zijn zo duidelijk dat er niet veel onderzoek wordt gedaan om te bevestigen dat uw bedrijf is aangevallen of dat een incident moet worden gedeclareerd. De uitzondering zou een spam-e-mail zijn die losgeld eist in ruil voor zogenaamd in gevaar brengende materialen. In dit geval moeten deze soorten incidenten worden behandeld als spam, tenzij het e-mailbericht zeer specifieke informatie bevat.

Elk bedrijf of elke organisatie die een IT-systeem beheert met daarin gegevens, kan worden aangevallen. Hoewel individuen kunnen worden gericht op een ransomware-aanval, zijn de meeste aanvallen gericht op bedrijven. Hoewel de koloniale ransomware-aanval van mei 2021 aanzienlijke publieke aandacht trok, toont ons detectie- en responsteam (DART) van het ransomwarebetrokkenheidsgegevens aan dat de energiesector een van de meest gerichte sectoren vertegenwoordigt, samen met de financiële, gezondheidszorg en entertainmentsectoren. En ondanks voortdurende beloftes om ziekenhuizen of zorgbedrijven tijdens een pandemie niet aan te vallen, blijft gezondheidszorg het nummer één doelwit van door mensen geëxploiteerde ransomware.

De doelgroep van uw assets

Bij het aanvallen van cloudinfrastructuur vallen kwaadwillende personen vaak meerdere resources aan om toegang te krijgen tot klantgegevens of bedrijfsgeheimen. In het cloudmodel 'kill chain' wordt uitgelegd hoe aanvallers proberen toegang te krijgen tot al uw resources die in de openbare cloud worden uitgevoerd via een vierstapsproces: blootstelling, toegang, laterale verplaatsing en acties.

1. Blootstelling is waar aanvallers naar mogelijkheden zoeken om toegang te krijgen tot uw infrastructuur. Aanvallers weten bijvoorbeeld dat klantgerichte toepassingen open moeten zijn voor legitieme gebruikers om ze te kunnen openen. Deze toepassingen worden blootgesteld aan internet en zijn daarom vatbaar voor aanvallen.
2. Aanvallers proberen misbruik te maken van een blootstelling om toegang te krijgen tot uw openbare cloudinfrastructuur. Dit kan worden gedaan via gecompromitteerde gebruikersreferenties, gecompromitteerde exemplaren of onjuist geconfigureerde resources.
3. Tijdens de laterale verplaatsingsfase ontdekken aanvallers tot welke resources ze toegang hebben en wat het bereik van die toegang is. Geslaagde aanvallen op exemplaren geven aanvallers toegang tot databases en andere gevoelige informatie. De aanvaller zoekt vervolgens naar andere referenties. Onze Microsoft Defender voor Cloud gegevens laten zien dat zonder een beveiligingshulpprogramma om u snel op de hoogte te stellen van de aanval, organisaties gemiddeld 101 dagen nodig hebben om een inbreuk te detecteren. Ondertussen, in slechts 24-48 uur na een inbreuk, heeft de aanvaller meestal volledige controle over het netwerk.
4. De acties die een aanvaller na zijwaartse verplaatsing neemt, zijn grotendeels afhankelijk van de resources die ze tijdens de laterale verplaatsingsfase toegang hebben kunnen krijgen. Aanvallers kunnen acties ondernemen die gegevensexfiltratie, gegevensverlies of andere aanvallen veroorzaken. Voor ondernemingen bereikt de gemiddelde financiële impact van gegevensverlies nu $ 1,23 miljoen.

Waarom aanvallen slagen

Er zijn verschillende redenen waarom ransomware-aanvallen slagen. Bedrijven die kwetsbaar zijn, vallen vaak slachtoffer van ransomware-aanvallen. Hier volgen enkele van de kritieke succesfactoren van de aanval:

• De kwetsbaarheid voor aanvallen wordt verhoogd naarmate meer bedrijven meer services bieden via digitale kanalen
• Er is een aanzienlijk gemak van het verkrijgen van off-the-shelf malware, Ransomware-as-a-Service (RaaS)
• De optie om cryptovaluta te gebruiken voor chantagebetalingen opent nieuwe mogelijkheden voor misbruik
• Uitbreiding van computers en hun gebruik op verschillende werkplekken (lokale schooldistricten, politieafdelingen, politieteams, enz.) elk een potentieel toegangspunt voor malware, wat resulteert in mogelijke kwetsbaarheid voor aanvallen
• Prevalentie van oude, verouderde en verouderde infrastructuursystemen en software
• Slechte regime's voor patchbeheer
• Verouderde of oude besturingssystemen die zich dicht bij of buiten datums voor einde van ondersteuning bevinden
• Gebrek aan resources om de IT-footprint te moderniseren
• Kennisachterstand
• Gebrek aan geschoold personeel en sleutelpersoneel overdependheid
• Slechte beveiligingsarchitectuur

Aanvallers gebruiken verschillende technieken, zoals RDP-aanvallen (Remote Desktop Protocol) om beveiligingsproblemen te misbruiken.

Moet je betalen?

Er zijn verschillende meningen over wat de beste optie is bij het confronteren van deze vexing-vraag. Het Federal Bureau of Investigation (FBI) adviseert slachtoffers geen losgeld te betalen, maar in plaats daarvan voorzichtig te zijn en proactieve maatregelen te nemen om hun gegevens vóór een aanval te beveiligen. Ze beweren dat betalen niet garandeert dat vergrendelde systemen en versleutelde gegevens opnieuw worden vrijgegeven. De FBI zegt dat een andere reden om niet te betalen is dat betalingen aan cybercriminelen hen stimuleren om organisaties aan te vallen

Toch kiezen sommige slachtoffers ervoor om het losgeld te betalen, hoewel systeem- en gegevenstoegang niet gegarandeerd is na het betalen van het losgeld. Door te betalen nemen dergelijke organisaties het berekende risico om te betalen in de hoop hun systeem en gegevens terug te krijgen en snel normale activiteiten te hervatten. Een deel van de berekening is vermindering van de onderpandskosten, zoals verlies van productiviteit, verminderde omzet in de loop van de tijd, blootstelling van gevoelige gegevens en potentiële reputatieschade.

De beste manier om te voorkomen dat losgeld wordt betaald, is niet om slachtoffer te worden door preventieve maatregelen te implementeren en toolverzadiging te hebben om uw organisatie te beschermen tegen elke stap die aanvaller geheel of incrementeel in uw systeem neemt. Bovendien zorgen de mogelijkheid om beïnvloede activa te herstellen op een tijdige manier voor herstel van bedrijfsactiviteiten. Azure Cloud heeft een robuuste set hulpprogramma's die u helemaal helpen.

Wat zijn de typische kosten voor een bedrijf?

De impact van een ransomware-aanval op elke organisatie is moeilijk om nauwkeurig te kwantificeren. Afhankelijk van het bereik en het type is de impact echter multidimensionaal en wordt deze breed uitgedrukt in:

• Verlies van gegevenstoegang
• Onderbreking van bedrijfsactiviteiten
• Financieel verlies
• Diefstal van intellectueel eigendom
• Gecompromitteerd klantvertrouwen en een beschadigde reputatie

Koloniale Pijplijn betaalde ongeveer $ 4,4 miljoen losgeld om hun gegevens vrij te laten komen. Dit omvat niet de kosten van downtime, verloren productief, verloren verkoop en de kosten voor het herstellen van services. Een grotere impact is het "knock-on-effect" van het beïnvloeden van grote aantallen bedrijven en organisaties van allerlei soorten, waaronder steden en steden in hun lokale gebieden. De financiële impact neemt ook toe. Volgens Microsoft zullen de wereldwijde kosten die verband houden met ransomware-herstel meer dan $ 20 miljard in 2021 bedragen.

Volgende stappen

Zie het witboek: Azure Defenses for ransomware attack whitepaper.

Andere artikelen in deze reeks:

• Voorbereiden op een ransomware-aanval
• Ransomware-aanvallen detecteren en erop reageren
• Azure-functies en -resources die u helpen bij het beveiligen, detecteren en reageren