De wereldwijde Ransomware aanval was afgelopen vrijdag
vol in het nieuws. Deze aanval geeft wederom het belang van goede
beveiligingsmaatregelen aan.
Het positieve nieuws voor onze klanten, welke gebruik
maken van onze anti-ransomware software, is dat zij geen risico hebben gelopen.
Deze module blokkeert standaard deze aanval. Dit in tegenstelling tot
traditionele virus-scanners, welke afhankelijk zijn van een update van hun
signature database, waardoor het systeem enkele uren tot dagen kwetsbaar kan
zijn.
In dit artikel beschrijven we waarom traditionele antivirus
software niet altijd bescherming biedt en welke oplossingen Systemec biedt voor
deze alsmaar groeiende aanvallen.
Wat is Ransomware?
Ransomware is gijzelsoftware, welke de data op een PC of
server versleuteld, waardoor je als gebruiker geen toegang meer hebt tot deze
data. De hacker biedt je vervolgens de sleutel tot je eigen data aan tegen
betaling (Bitcoins), al is er geen garantie dat die sleutel ook daadwerkelijk
verstrekt wordt of werkt.
Deze ransomware komt vaak binnen via een download of
e-mail van een bron die er voor de gebruiker vertrouwd uitziet, maar in
werkelijkheid dus malafide is.
Waarom Sophos Intercept X ?
Traditionele virus-scanners bieden in bijna alle gevallen
geen directe bescherming tegen Ransomware. Ongetwijfeld waren veel systemen,
welke vrijdag wereldwijd problemen hadden, voorzien van een up-to-date
virusscanner en toch zijn ze slachtoffer geworden.
De Sophos Intercept X module biedt juist wel deze
bescherming tegen Ransomware en is niet afhankelijk van zogenaamde
signature-updates. De "WannaCry” ransomware aanval werd dus standaard al
geblokkeerd op systemen, welke voorzien zijn van Intercept X.
Mocht u nog gebruik maken van een traditionele virusscanner
dan kunnen wij u aanvullend voorzien van deze Intercept X module. Deze kan gewoon
gebruikt worden naast virus-scanners van andere merken. Het is overigens niet
zo dat traditionele virus-scanners overbodig zijn, een gelaagde beveiliging met
meerdere componenten verdient de voorkeur. Zo bestaat de Sophos Endpoint en Server protection ook uit meerdere modules, waaronder een virusscanner.
De componenten van Sophos Intercept X
Intercept X kan als losse module afgenomen worden voor
endpoints of in een bundel voor de Endpoint of Server beveiliging.
Intercept X is gebaseerd op de volgende 4 componenten:
1) CryptoGuard module
De CryptoGuard module is een soort korte termijn kopie
van uw data. In het geval van een ransomware detectie; Dan wordt de data welke
versleuteld is, voordat de detectie het proces heeft geblokkeerd, automatisch
hersteld uit deze back-up.
Stel u bewerkt een Excel document, er wordt dan
automatisch door CryptoGuard een kopie tijdelijk bewaard. Op het moment dat u
het Excel document opslaat controleert CryptoGuard of het opgeslagen document
gewoon leesbaar is of getroffen is door een cryptolocker. Is het opgeslagen
document veilig, dan wordt het tijdelijke kopie automatisch verwijderd.
In het geval CryptoGuard detecteert dat het document door
ransomware is geïnfecteerd, wordt automatisch het verantwoordelijke systeemproces
gedetecteerd en beëindigd, zodat de aanval direct stopgezet wordt zonder meer
documenten te kunnen besmetten. Daarnaast wordt het tijdelijke back-up bestand
teruggezet. Dit alles binnen enkele seconden, zonder dat er dataverlies
optreedt.
2) Anti Exploit module
De grote diversiteit aan ransomware en malware kan worden
teruggebracht tot ca. 25 exploits, welke hackers gebruiken om hun aanval op te
zetten. Het aantal exploits is vrij stabiel en groeit slechts met 1-2 per jaar.
Op het moment er een proces gebruik maakt van zo’n
Exploit dan wordt dit direct herkend en geblokkeerd, voordat het proces enige
schade heeft kunnen berokkenen.
3) Sophos Clean module
Sophos Clean is een signature-less scanner met
gedragsanalyse en heeft een uitermate hoge detectie ratio van zero-day exploits
en malware.
Wanneer de CryptoGuard of Anti Exploit module alarm slaat,
dan wordt Sophos Clean gebruikt voor het "opschonen” en scant deze de computer
op de resterende bedreigingen.
4) Sophos Root Cause Analysis module
De RCA module biedt een gedetailleerd inzicht wat de
oorzaak van de binnengekomen besmetting is en welke software componenten deze
malware heeft gebruikt. Deze RCA wordt zeer overzichtelijk in een stroomschema
weergegeven.
Intercept X wordt overigens nog verder geperfectioneerd,
zo wordt deze later in 2017 ook uitgebreid met een machine learning en een
Credential Theft Portection (Mimikatz) module. Daarnaast is het een leuk weetje
dat Intercept-X ontwikkelt wordt vanuit de Sophos vestiging in Hengelo, waarbij
de technisch verantwoordelijke Mark Loman is. Meer info
Gelaagde beveiliging
Het buitenhouden van ransomware en malware is niet simpel een kwestie van het implementeren van 1 component. Om de beveiliging zo optimaal mogelijk te houden dient de gehele keten beveiligd te worden. Het begint met een goede firewall en eindigt via bescherming op de endpoints bij een bedachtzame gebruiker. Onderstaand nog enkele belangrijke handvaten voor een succesvolle gelaagde beveiliging.
Sophos XG Firewall inclusief SandStorm module
De beveiliging begint bij een firewall tussen uw netwerk
en het internet. Systemec biedt hiervoor Sophos XG firewalls. Een belangrijke
optionele module van de Sophos XG firewall is de Sandstorm module.
Sophos Sandstorm blokkeert ransomware door al bij
binnenkomst deze bestanden (zoals executables, PDF’s en Microsoft Office
documenten) te onderzoeken, voordat ze doorgegeven worden aan de gebruiker
(endpoint of server). Dit vindt plaats in een beveiligde cloud-sandbox waar het
gedrag van deze bestanden automatisch geanalyseerd wordt. Wordt het bestand
veilig bevonden dan wordt het bestand beschikbaar gesteld aan de gebruiker.
Voor meer info zie https://www.sophos.com/en-us/lp/sandstorm.aspx
Regelmatig patchen
Het regelmatig, zo snel mogelijk nadat de leverancier
deze beschikbaar stelt, blijft essentieel.
De "WannaCry” Ransomware maakt bijv. gebruik van een
beveiligingslek in Microsoft Windows, waar reeds in maart een patch beschikbaar
voor was gesteld.
Gebruikers trainen
Naast allerlei technische maatregelen is het ook zaak dat
de gebruikers regelmatig geïnformeerd worden. Zo is het ook mogelijk om
gebruikers laagdrempelige webinars te laten volgen en vervolgens ook periodiek
te testen via geautomatiseerde simulaties (bijv. via e-mail).
Wilt u een demonstratie?
Systemec kan een demo verzorgen van deze anti-ransomware
module, waarbij we ook een Ransomware aanval kunnen simuleren op een systeem
met een traditionele virusscanner en een systeem, waarbij ook Intercept-X
actief is.
Een proeflicentie is uiteraard ook beschikbaar.
Gratis bescherming voor uw privé notebook/PC tegen
Ransomware
Sophos biedt voor thuisgebruik een gratis versie van hun
anti-malware software. Deze gratis software scoort ook in de diverse
testmagazines hoog.
Vanaf nu is er ook, nu nog in Bèta, een versie
beschikbaar waarbij ook extra modules zijn toegevoegd zoals anti-ransomware
(Intercept X), Webcam beveiliging, Safe browsing, Parental Web filtering en
ongewenste App detectie.
Hiervan
gebruik maken is eenvoudig, gratis aanmelden bij Sophos en installeer
vervolgens de software op je endpoint: https://home.sophos.com/register/beta
Met 1 account kunnen 10 apparaten worden voorzien van
deze beveiliging. Ideaal dus om ook het gehele gezin te voorzien van
beveiliging.
Let wel dat deze software alleen voor privé gebruik is toegestaan!
Vragen?
Wij horen graag van u, bel uw contactpersoon binnen Systemec of neem contact op via info@systemec.nl
De wereldwijde Ransomware aanval was afgelopen vrijdag vol in het nieuws. Deze aanval geeft wederom het belang van goede beveiligingsmaatregelen aan.