Wat te doen tegen ransomware

Transcriptie

1

2 Wat te doen tegen ransomware DATA Dennis Switzer Senior Consultant PwC Edgar Versteeg Commercieel Product Manager KPN Security Services

3 Ransomware Trends en ontwikkelingen BC/DR Malware die systemen en data gijzelt door middel van encryptie 1989: AIDS Trojan 2012: Reveton Scareware Politievirus 2014: Cryptowall Tor Bitcoin 2016: Locky - RaaS /dag KeRanger - Mac 2006: GPCoder 2013: Cryptolocke r Zeus Botnet $3 miljoen 2015: Angler Exploit Kit $30 miljoen

4 Hoe werkt het? Van infectie tot supportdesk Computer geïnfecteerd Malware informeert C&C Encryptie gestart Malware verwijdert zichzelf Ransom note Phishing Centraal Lokale Sporen Betaling Besmette beheer bestanden uitwissen (Bitcoin, website Niet te Netwerk Encryptie- Giftcards) Adds traceren shares sleutels Servicedesk Kwetsbare TOR netwerk Geen garanties software

5 Wat is de impact? Niet alleen de ransom Cybercriminelen Business Operations RaaS Internationaal Netwerk Targeted Attacks Tijd = geld Omzetverlies Georganiseerde Misdaad 1.000, , ,- Management commitment Meldplicht Datalekken & GDPR Uitval Herstelwerkzaamheden Mogelijke Boete Imagoschade Verlies van IP/PII Financiële schade Wetgeving

6 Wat kan je er tegen doen? De Mens Blijft De Zwakste Schakel User Awareness 1. Klik niet op links in s 2. Open geen (onbekende) bijlagen in s 3. Activeer geen macro s in (onbekende) Office documenten 4. Gebruik geen gevonden USB sticks Reken niet op de gebruiker 1. Niet iedereen is security minded 2. Een ongeluk zit in een klein hoekje

7 Wat kan je er tegen doen? Neem technische maatregelen (1) Segmentatie Rechten Patching BYOD Segmenteer het network Voorkom grootschalige verspreiding Beperk gebruikersrechten Minimaliseer de impact Houdt software, firmware en OS up-to-date Verklein het aanvalsoppervlak Inspecteer of blokkeer onbekende devices

8 Wat kan je er tegen doen? Neem technische maatregelen (2) 1. Endpoint Houd Anti Malware up-to-date Blokkeer Macro s Blokkeer verdacht gedrag met HIPS Geen executables vanuit de Temp folder Blokkeer onbekende applicaties met Whitelisting 2. Netwerk Blokkeer schadelijk gedrag Blokkeer TOR verkeer Pas Sandboxing toe Monitor met behulp van Threat Intel 3. & Web Blokkeer advertenties Blokkeer dubbele extensies (.pdf.exe) Filter attachments Filter HTTPS verkeer

9 Wat kan je er tegen doen? Houdt rekening met een uitbraak 1. Back up Back up Back up 1. Dagelijk, naast bestanden ook databases en volledige systemen 2.Offline & werkend (controleer dagelijks en test periodiek de restore) 2.Creëer een ransomware incident response plan 1. Isoleer besmette systemen 2.Identificeer de schade 3.Schakel (forensische) hulp in 4.Start de recovery procedure

10 Samenvattend Een stappenplan Wees voorbereid Awareness Maak bestuurders en gebruikers bewust van de risico s. Neem Maatregelen Beleid Creëer een Incident Response plan. Preventie Implementeer adequate security maatregelen en houd software en systemen up-todate Back-up Maak regelmatig een back-up van waardevolle data en bewaar deze (ook) offline Controleer Test Voer periodieke tests uit van het bewustzijn, de technische maatregelen en de back-up Hulp Schakel indien nodig externe hulp in voor mitigatie en analyse Procedure Start de IR procedure Reageer

11 Bedankt voor uw aandacht Meer weten? Dennis Switzer - PwC Edgar Versteeg - KPN E: [email protected] L: linkedin.com/in/dennis-switzer E: [email protected] L: linkedin.com/in/edgar.versteeg W:

12 Het security portfolio van KPN Identity & Privacy Managed PKI Secure Access & Strong Authentication Secure Communications Anti-DDoS NL Mobile Device Management Cyber Security Security & Compliance Monitoring Vulnerability Management Business Continuity Disaster Recovery Services DR Testing eid Mobile Guard PenTesting DRaaS (VM Continuity) Secure Identity Secure Information Exchange Incident Response & Forensics Back-up Online XL eherkenning Secure File Transfer Threat Intelligence Tape Back-Up (MTS) Cloud Identity Secure Network, WLAN, Internet, Communication Werkplek en Telefonie Uitwijk