Terug naar de basis

Terug naar de basis

Allereerst stel ik mij graag voor aan de mensen die mij nog niet kennen. Mijn naam is Nick Onken. Ik ben vijf jaar werkzaam bij DearBytes en heb tot verschillende teams behoord. Op dit moment bekleed ik twee functies. Ik ben Product Manager voor alle netwerk security-oplossingen van DearBytes, en verder ben ik IT Security Advisor.

Dankzij mijn functie als Security Advisor kom ik veel in contact met klanten. Ik zie dat verschillende soorten organisaties verschillende ambities en uitdagingen hebben. De ene organisatie moet zich vooral laten leiden door compliance en eisen van leveranciers, terwijl een andere bijvoorbeeld vooral kijkt naar processen en de wens of eis om continuïteit te garanderen.

Interessant is dat ik juist door die diversiteit aan gesprekken, organisaties, sectoren, uitdagingen en ambities ook trends kan ontdekken. En er zijn zaken waar werkelijk elke organisatie mee te maken heeft, ongeacht type organisatie of het doel van de beveiliging.

In deze aflevering van dit blog ga ik het hebben over ransomware, vanuit een pragmatische benadering. In bijna alle gesprekken die ik erover voer, valt wel iets interessants te ontdekken…

Wat te doen

Veel klanten zijn min of meer op de hoogte van alle moderne technieken maar zien soms door de bomen het bos niet meer. En dan is de klant ineens slachtoffer van ransomware. Wat moet er gebeuren? Risicoanalyses? Absoluut belangrijk, dit adviseren wij altijd. Maar daar is geen tijd voor als u een snel antwoord of oplossing wilt voor de toekomst. Moderne technieken aanschaffen?

Er is al zeer veel informatie verschenen over wat men zelf kan doen tegen ransomware: back-ups (en deze vooral ook testen), het blokkeren van executables uit %Temp%, het vergroten van bewustzijn, et cetera. Dergelijke oplossingen zult u vaak te horen hebben gekregen vanuit allerlei kanalen.

Opmerkelijk

Bij getroffen organisaties stel ik standaard enkele vragen, om te beginnen: weet u wat het ‘entry-point’ is geweest? Waarbij het antwoord steevast “e-mail” is. En daar begint het interessant te worden. Want hebben we het dan over zakelijke e-mail of over persoonlijke e-mail vanuit bijvoorbeeld Hotmail of Gmail? Dat antwoord kunnen organisaties niet altijd geven.

Waarom vraag ik dit? Vaak wijst men e-mail als oorzaak aan, en terecht, maar de verkeersstroom kan wel verschillend zijn. Privé-mail van Hotmail of Gmail is namelijk afkomstig uit webverkeer en niet uit e-mailverkeer. En zo blijkt dat veel organisaties eigenlijk weinig tot niets doen aan controle op het webverkeer. Dat is opmerkelijk. Je zou verwachten dat er standaardmaatregelen worden genomen. Elke organisatie werkt immers met het internet, in welke sector dan ook, en ongeacht de eventuele leidende rol van compliance of wetgeving.

back-to-basics-krijt-bordRealiseert u zich trouwens dat er een positief aspect zit aan ransomware? U weet namelijk gelijk dat u getroffen bent. U moeten beseffen dat er ook malware actief is die zich niet direct openbaart. En dat de kans zeer reëel is dat dergelijke malware wordt opgepikt door een applicatie op het internet, door webmail, door toevallig een geïnfecteerde website te bezoeken of via SSL-verkeer.

En dat bedoel ik met terug naar de basis. Bekijk of u de basale technieken voor controle van het webverkeer actief en juist ingericht hebt. Dit zijn technieken die elke organisatie zou moeten gebruiken. Nieuwe technieken zoals bijvoorbeeld sandboxen zijn absoluut waardevol, maar renderen vaak beter als de basis goed staat, omdat ze vaak samenwerken met die basis. Op die manier creëert u diepte in uw beveiliging, bouwt u een samenspel van beveiligingslagen.

Dit betekent niet dat u zich nooit meer zorgen hoeft te maken over malware, maar in zeer veel gevallen kan malware wel degelijk proactief worden voorkomen door het e-mailverkeer én het webverkeer (inclusief SSL) te controleren, en dan met name ingepakte bijlagen. Deze basistechnieken zou elke organisatie tegenwoordig in gebruik moeten hebben. Ze dragen absoluut bij aan uw strijd tegen ransomware en tegen malware in het algemeen.

Tot slot

Het is dus essentieel om te weten wat het ‘entry-point’ is geweest, maar bij malware spelen nog meer factoren een rol. Ook zijn er nog meer noodzakelijke basistechnieken behalve controle op e-mail en webverkeer. Wilt u meer weten? Neem contact met ons op, wij vertellen het u graag.