Ransomware tegengaan met FortiGate

Ransomware tegengaan met FortiGate

DearBytesBlogRansomware tegengaan met FortiGate

dinsdag 15 december 2015

Wees voorbereid op ransomware met FortiGate en verlaag het risico voor de organisatie.

Veel organisaties zijn de laatste jaren overgestapt van eenvoudige stateful firewalls naar meer geavanceerde firewalls. Deze UTM- of Next Generation firewalls bieden een scala aan beveiligingsmaatregelen. Maar wanneer ik bij klanten over de vloer kom, blijkt dat zij vaak terughoudend zijn bij het inzetten van deze maatregelen.

Deze terughoudendheid heeft vaak te maken met de verschillende petten die de gemiddelde systeembeheerder op heeft. De combinatie van beperkte tijd voor kennisopbouw en angst voor het veroorzaken van verstoringen, weerhoudt veel systeembeheerders van het doorvoeren van verbeteringen. Komt u dit bekend voor? DearBytes kan het beheer van uw firewall uit handen nemen. Vanuit ons SOC bieden wij o.a. de dienst Managed Firewall aan.

Doet u zelf het beheer van uw FortiGate, maar heeft u toch al eens te maken gehad met ransomware? Dan weet u dat de gevolgen hiervan zéér ingrijpend kunnen zijn. Kijk daarom eens kritisch naar de configuratie van beveiligingsmaatregelen op uw FortiGates.

Welke maatregelen biedt FortiGate tegen ransomware?

  1. Webfiltering
  2. Antivirus
  3. IPS (Intrusion Prevention System)
  4. Application Control
  5. DLP (Data Leak Prevention)
  6. SSL-inspectie
  7. Gebruikersauthenticatie

1. Webfiltering

Fortinet’s eigen researchafdeling FortiGuard verzamelt continue Threat Intelligence en gebruikt deze informatie om malafide websites te identificeren. Maak hier gebruik van door een webfilterprofiel in te stellen waarin websites met een securityrisico worden geblokkeerd voor browseverkeer. Blokkeer minimaal:

  • Alle categorieën onder Security Risk
  • Proxy Avoidance (onder Potentially Liable
Webfiltering

Proxy Avoidance is te vinden onder Potentially Liable

 2. Antivirus

De voortdurend muterende virussen (zogenaamde polymorphic code) maakt antivirus minder efficiënt. Toch raad ik aan om antivirus te blijven gebruiken. Maak dan wel gebruik van Proxy als Inspection Mode om polymorphic viruses te kunnen detecteren.

De combinatie met een Sandbox-oplossing zal de detectieratio van ransomware en andere malware verder verhogen. FortiSandbox Cloud is gratis te gebruiken op Fortigates met een geldig supportcontract en heeft een limiet van 10 bestanden per dag. Is dit niet toereikend, dan is een abonnement op FortiSandbox Cloud mogelijk. Zijn er bezwaren tegen het sturen van data naar “de Cloud”?  Er is ook een FortiSandbox appliance beschikbaar.

Tip: Stuur alleen verdachte bestanden naar FortiSandbox Cloud:

FortiSandbox Cloud

Verdachte bestanden naar FortiSandbox Cloud sturen

 3. IPS

Onlangs kwam er een rapport uit van de Cyber Threat Alliance (waar o.a. Fortinet en Intel Security deel van uitmaken) waarin de Angler Exploit kit als nr 1 genoemd wordt voor drive-by-aanvallen om ransomware te verspreiden. Het komt dan ook regelmatig voor dat ik de Angler Exploit kit bij klanten geblokkeerd zie worden door de IPS engine van de FortiGate. Heeft de client een verouderde versie van Flash en vindt er geen inspectie plaats? Dan is de kans op een besmetting zeer groot.

Met de hoge IPS-throughputcapaciteit zie ik geen reden om IPS niet te gebruiken op een FortiGate.

4. Application Control

Veel ransomware-varianten maken gebruik van Tor of gecompromitteerde WordPress websites om te communiceren met Command and Control (C&C) servers. Door met Application Control de categorieën Botnet en Proxy te blokkeren kan een infectie snel worden gedetecteerd of zelfs worden voorkomen.

5. DLP

De naam Data Leak Prevention doet wellicht niet vermoeden dat dit ingezet kan worden voor het blokkeren van risicovolle bestandstypen/-extensies. Mijn collega Rik van Duijn heeft in zijn blog Ransomware detecties en tips een lijst met risicovolle bestandsextensies samengesteld. Daarnaast kan de FortiGate op basis van bestandstype (executables, archives, etc) bestanden blokkeren waarvan de extensie ontbreekt of vervalst is.

Afhankelijk van hoe ver u in het blokkeren van bestanden durft te gaan, zou de extensie .zip aan het lijstje toegevoegd kunnen worden.

DLP Sensor

Bestandsextensies blokkeren met een DLP Sensor

DLP whitelisting

Wanneer bepaalde bestandstypen/-extensies worden geblokkeerd, zal dit ook legitiem verkeer zoals Windows Update raken. Gebruik het Static URL Filter om uitzonderingen (Exempt) te maken voor vertrouwde domeinen zoals *.microsoft.com en *.windowsupdate.net.

Scanuitzonderingen maken

Scanuitzonderingen maken

Let op: virusscanning wordt voor deze URL’s uitgeschakeld door de actie Exempt .

Mocht het blokkeren op basis van bestandstypen/-extensies niet binnen uw bedrijf passen, kijk dan eens naar FortiSandbox.

6. SSL-inspectie

Steeds vaker maken aanvallers gebruik van encryptie om detectie te voorkomen. Maak daarom gebruik van SSL-inspectie om versleuteld verkeer te kunnen inspecteren.

7. Gebruikersauthenticatie

Tenslotte raad ik iedereen aan om gebruikersauthenticatie te gebruiken. Het gebruik van DHCP voor het uitdelen van IP-adressen maakt het lastig om de gebruiker(s) te achterhalen waar de ransomware-besmetting vandaan komt.

Met Fortinet Single Sign-On zijn gebruikersnamen zichtbaar in logging én kunnen (AD-gebruikersgroepen) in firewall policies gebruikt worden. Handig om het downloaden van risicovolle bestandstypen voor bepaalde gebruikersgroepen te blokkeren met een DLP Sensor!