maandag 15 mei 2017 | Systemec Updates

Bescherming tegen Ransomware

Internet innovatie sinds 1997

De wereldwijde Ransomware aanval was afgelopen vrijdag vol in het nieuws. Deze aanval geeft wederom het belang van goede beveiligingsmaatregelen aan.

Het positieve nieuws voor onze klanten, welke gebruik maken van onze anti-ransomware software, is dat zij geen risico hebben gelopen. Deze module blokkeert standaard deze aanval. Dit in tegenstelling tot traditionele virus-scanners, welke afhankelijk zijn van een update van hun signature database, waardoor het systeem enkele uren tot dagen kwetsbaar kan zijn.

In dit artikel beschrijven we waarom traditionele antivirus software niet altijd bescherming biedt en welke oplossingen Systemec biedt voor deze alsmaar groeiende aanvallen.

Wat is Ransomware?

Ransomware is gijzelsoftware, welke de data op een PC of server versleuteld, waardoor je als gebruiker geen toegang meer hebt tot deze data. De hacker biedt je vervolgens de sleutel tot je eigen data aan tegen betaling (Bitcoins), al is er geen garantie dat die sleutel ook daadwerkelijk verstrekt wordt of werkt.

Deze ransomware komt vaak binnen via een download of e-mail van een bron die er voor de gebruiker vertrouwd uitziet, maar in werkelijkheid dus malafide is.

Waarom Sophos Intercept X ?

Traditionele virus-scanners bieden in bijna alle gevallen geen directe bescherming tegen Ransomware. Ongetwijfeld waren veel systemen, welke vrijdag wereldwijd problemen hadden, voorzien van een up-to-date virusscanner en toch zijn ze slachtoffer geworden.

De Sophos Intercept X module biedt juist wel deze bescherming tegen Ransomware en is niet afhankelijk van zogenaamde signature-updates. De "WannaCry” ransomware aanval werd dus standaard al geblokkeerd op systemen, welke voorzien zijn van Intercept X.

Mocht u nog gebruik maken van een traditionele virusscanner dan kunnen wij u aanvullend voorzien van deze Intercept X module. Deze kan gewoon gebruikt worden naast virus-scanners van andere merken. Het is overigens niet zo dat traditionele virus-scanners overbodig zijn, een gelaagde beveiliging met meerdere componenten verdient de voorkeur. Zo bestaat de Sophos Endpoint en Server protection ook uit meerdere modules, waaronder een virusscanner.

De componenten van Sophos Intercept X

Intercept X kan als losse module afgenomen worden voor endpoints of in een bundel voor de Endpoint of Server beveiliging.
Intercept X is gebaseerd op de volgende 4 componenten:

1) CryptoGuard module

De CryptoGuard module is een soort korte termijn kopie van uw data. In het geval van een ransomware detectie; Dan wordt de data welke versleuteld is, voordat de detectie het proces heeft geblokkeerd, automatisch hersteld uit deze back-up.

Stel u bewerkt een Excel document, er wordt dan automatisch door CryptoGuard een kopie tijdelijk bewaard. Op het moment dat u het Excel document opslaat controleert CryptoGuard of het opgeslagen document gewoon leesbaar is of getroffen is door een cryptolocker. Is het opgeslagen document veilig, dan wordt het tijdelijke kopie automatisch verwijderd.

In het geval CryptoGuard detecteert dat het document door ransomware is geïnfecteerd, wordt automatisch het verantwoordelijke systeemproces gedetecteerd en beëindigd, zodat de aanval direct stopgezet wordt zonder meer documenten te kunnen besmetten. Daarnaast wordt het tijdelijke back-up bestand teruggezet. Dit alles binnen enkele seconden, zonder dat er dataverlies optreedt.

2) Anti Exploit module

De grote diversiteit aan ransomware en malware kan worden teruggebracht tot ca. 25 exploits, welke hackers gebruiken om hun aanval op te zetten. Het aantal exploits is vrij stabiel en groeit slechts met 1-2 per jaar.

Op het moment er een proces gebruik maakt van zo’n Exploit dan wordt dit direct herkend en geblokkeerd, voordat het proces enige schade heeft kunnen berokkenen.

3) Sophos Clean module

Sophos Clean is een signature-less scanner met gedragsanalyse en heeft een uitermate hoge detectie ratio van zero-day exploits en malware.
Wanneer de CryptoGuard of Anti Exploit module alarm slaat, dan wordt Sophos Clean gebruikt voor het "opschonen” en scant deze de computer op de resterende bedreigingen.

4) Sophos Root Cause Analysis module

De RCA module biedt een gedetailleerd inzicht wat de oorzaak van de binnengekomen besmetting is en welke software componenten deze malware heeft gebruikt. Deze RCA wordt zeer overzichtelijk in een stroomschema weergegeven.

Intercept X wordt overigens nog verder geperfectioneerd, zo wordt deze later in 2017 ook uitgebreid met een machine learning en een Credential Theft Portection (Mimikatz) module. Daarnaast is het een leuk weetje dat Intercept-X ontwikkelt wordt vanuit de Sophos vestiging in Hengelo, waarbij de technisch verantwoordelijke Mark Loman is. Meer info

Gelaagde beveiliging

Het buitenhouden van ransomware en malware is niet simpel een kwestie van het implementeren van 1 component. Om de beveiliging zo optimaal mogelijk te houden dient de gehele keten beveiligd te worden. Het begint met een goede firewall en eindigt via bescherming op de endpoints bij een bedachtzame gebruiker. Onderstaand nog enkele belangrijke handvaten voor een succesvolle gelaagde beveiliging.

Sophos XG Firewall inclusief SandStorm module

De beveiliging begint bij een firewall tussen uw netwerk en het internet. Systemec biedt hiervoor Sophos XG firewalls. Een belangrijke optionele module van de Sophos XG firewall is de Sandstorm module.

Sophos Sandstorm blokkeert ransomware door al bij binnenkomst deze bestanden (zoals executables, PDF’s en Microsoft Office documenten) te onderzoeken, voordat ze doorgegeven worden aan de gebruiker (endpoint of server). Dit vindt plaats in een beveiligde cloud-sandbox waar het gedrag van deze bestanden automatisch geanalyseerd wordt. Wordt het bestand veilig bevonden dan wordt het bestand beschikbaar gesteld aan de gebruiker.

Voor meer info zie https://www.sophos.com/en-us/lp/sandstorm.aspx

Regelmatig patchen

Het regelmatig, zo snel mogelijk nadat de leverancier deze beschikbaar stelt, blijft essentieel.
De "WannaCry” Ransomware maakt bijv. gebruik van een beveiligingslek in Microsoft Windows, waar reeds in maart een patch beschikbaar voor was gesteld.

Gebruikers trainen

Naast allerlei technische maatregelen is het ook zaak dat de gebruikers regelmatig geïnformeerd worden. Zo is het ook mogelijk om gebruikers laagdrempelige webinars te laten volgen en vervolgens ook periodiek te testen via geautomatiseerde simulaties (bijv. via e-mail).

Wilt u een demonstratie?

Systemec kan een demo verzorgen van deze anti-ransomware module, waarbij we ook een Ransomware aanval kunnen simuleren op een systeem met een traditionele virusscanner en een systeem, waarbij ook Intercept-X actief is.
Een proeflicentie is uiteraard ook beschikbaar.

Gratis bescherming voor uw privé notebook/PC tegen Ransomware

Sophos biedt voor thuisgebruik een gratis versie van hun anti-malware software. Deze gratis software scoort ook in de diverse testmagazines hoog.

Vanaf nu is er ook, nu nog in Bèta, een versie beschikbaar waarbij ook extra modules zijn toegevoegd zoals anti-ransomware (Intercept X), Webcam beveiliging, Safe browsing, Parental Web filtering en ongewenste App detectie.

Hiervan gebruik maken is eenvoudig, gratis aanmelden bij Sophos en installeer vervolgens de software op je endpoint: https://home.sophos.com/register/beta
Met 1 account kunnen 10 apparaten worden voorzien van deze beveiliging. Ideaal dus om ook het gehele gezin te voorzien van beveiliging.

Let wel dat deze software alleen voor privé gebruik is toegestaan!