SANS Institute, gespecialiseerd in cybersecuritytrainingen en -certificeringen, heeft de resultaten van het SANS 2021-rapport over ransomwaredetectie en Incident Response bekend gemaakt. In het onderzoek worden de verschillen tussen ransomware en andere cyberaanvallen belicht en hoe deze te bestrijden.
Deze verschillen leiden tot diverse manieren om ransomware-aanvallers in een zo vroeg mogelijke fase van de aanval op te sporen én ervoor te zorgen dat het voor hen praktisch onmogelijk wordt om de fase van data-encryptie en systeemvergrendeling te bereiken. IT-securityteams die dit soort signalen herkennen, kunnen hun netwerken optimaal beveiligen en kwaadaardige activiteiten gemakkelijker detecteren.
Ransomware-groepen volgen doorgaans hetzelfde patroon:
- ze zoeken naar systemen met kritieke paden en compromitteren de systemen om access points op te zetten (meestal oplossingen op basis van ‘remote access’)
- daarna wordt een e-mailphishing-campagne opgezet
- als laatste stap worden bekende kwetsbaarheden geëxploiteerd
Matt Bromiley, SANS-instructeur en auteur van het rapport: “Wanneer een organisatie een ransomware-incident ontdekt, is het van het grootste belang dat ze snel handelt en de dreiging meteen wordt aangepakt. Zodra ransomware zich aandient, tikt de klok. Organisaties zouden daarom een plan van aanpak rondom Response van zes stappen moeten hebben om er in een noodsituatie op terug te kunnen vallen.”
Zes belangrijkste stappen
Volgens Bromiley zijn dit de belangrijkste stappen voor het Incident Response-plan:
- Het voorbereiden van het Incident Response-plan
- Het identificeren van de dreiging
- Het begrijpen van de besmetting
- Het herstellen van de systemen
- Het herstellen van verloren data en systemen
- Het trekken van conclusies en deze omzetten in het rampenplan
