NetApp-oplossingen tegen ransomware

Paul Hilgers

Mogelijkheden en tools om ransomware te identificeren.

In de media horen we steeds vaker over digitale inbraken bij bedrijven waarbij informatie en systemen worden gegijzeld. Door kwaadwillende personen wordt steeds agressiever geprobeerd de organisaties te dwingen om losgeld te betalen. Wat is deze ransomware, wat is hier tegen te doen en welke oplossingen biedt NetApp tegen deze bedreigingen.

Deze blog gaat vooral in op de mogelijkheden die NetApp biedt bij het zichtbaar maken van ransomware, het beschermen ertegen en het herstellen van aanval. Daarnaast wordt geadviseerd om op het netwerk- en werkplek-gebaseerde oplossingen te gebruiken om de beveiliging te realiseren. PQR kan helpen op de bijbehorende architectuur en productkeuzen.

Wat is ransomware?

Waren in het verleden virussen een grote bedreiging voor onze data en informatie, tegenwoordig komen steeds meer bedreigingen voor. Een van de meeste explosieve bedreigen is ransomware. Ransomware is een chantagemethode die via malware verstuurd wordt en in 2016 een stijging van ruim 170% zag in varianten. Het programma dat via deze malware wordt verstuurd, zorgt ervoor dat toegang tot informatie geblokkeerd wordt en na betaling weer wordt vrijgeven. In sommige gevallen wordt alleen data gegijzeld, maar in ook kan de toegang tot de hele computer geblokkeerd worden.

We onderscheiden twee vormen van ransomware of een combinatie van beiden:

  • Gijzeling van bestanden: Deze vorm komt het meest voor en maakt gebruik van algoritmen om bestanden en de toegang tot informatie te versleutelen. Voor het ontvangen van de sleutel om de informatie weer toegankelijk te maken, dient betaald te worden. In sommige gevallen wordt eerst oude data gegijzeld door versleuteling en niet de nieuwste data. Ontdekking vindt dan pas plaats lang nadat de ransomware geactiveerd is. Enkele recente voorbeelden zijn CryptoLocker en CryptoWall;
  • Gijzeling van het systeem: In thuissituaties en individuele gevallen komt deze variant het meest voor. Hierbij wordt toegang tot het systeem geblokkeerd en na betaling wordt de toegang weer verkregen. Een vaak voorkomend voorbeeld is Winlocker.

Ransomware wordt vaak verspreid via e-mail, URL-downloads, exploit kits, USB-sticks en externe opslag. De methodes waarop slachtoffers gevraagd wordt, zijn ook in varianten aanwezig. Bijvoorbeeld door het dreigen met bestandsverwijdering tot het losgeld is betaald of door het verhogen van het losgeld tot betaald is. Ook onderdelen (databases, netwerksegmenten) of niet veilige servers kunnen specifiek aangevallen worden.

Welke remedie is mogelijk?

Hoe kan een organisatie zich beschermen tegen deze bedreigingen? Een succesvolle benadering bestaat uit meerdere lagen van bescherming waar naast hardware en software ook procedures en afspraken onderdeel van uitmaken. We kunnen hierbij denken aan:

  • Netwerkbeveiliging in de vorm van firewalls, inbraak detectie systemen (IDS), inbraak preventie systemen (IPS), web filters en antimalware oplossingen (netwerk en werkplek);
  • Oplossingen voor toegangscontrole met functies als authenticatie, autorisatie en role-based access control (RBAC);
  • Web-based oplossingen waarbij de gebruiker zich via een browser moet authentiseren (Microsoft SharePoint).

Vaak worden deze oplossingen vergeten bij het beschermen tegen ransomware, omdat beheerders vaak de focus hebben op herstel van de schade na een aanval. Deze oplossingen hebben echter een preventieve werking en beschermen proactief tegen willekeurige aanvallen op de data en informatie. Deze gaan dus verder dan alleen de bescherming tegen ransomware.

NetApp-oplossingen tegen ransomware

NetApp biedt standaard een aantal oplossingen in de systemen die gebaseerd zijn op het besturingssysteem ONTAP. Zichtbaarheid is daarbij kritisch voor beveiliging. Wanneer malware aanwezig is in het filesysteem worden wijzigingen in data versneld en verminderen de deduplicatie- en compressieratio’s. Deze variabelen kunnen een indicatie zijn voor malware. NetApp biedt mogelijkheden en tools om ransomware te identificeren door deze wijzigingen inzichtelijk te maken. Het is belangrijk om hierbij snapshots te gebruiken om de wijzigingen beter zichtbaar te maken en terug te gaan naar het punt van infectie. Herstel is dan mogelijk vanaf een snapshot van voor de aanval. Voor inzicht en herstel zijn verschillende scripts en tools mogelijk.

Voor het herstel van een aanval is een back-up de beste methode. Een organisatie heeft eigenlijk maar twee opties voor het herstel van ransomware: het betalen van het losgeld en het herstellen van een back-up. NetApp heeft geïntegreerde mogelijkheden voor het maken van back-ups. Van belang is om de verschillende datasets te onderkennen die bedreigd kunnen worden (file-shares, databases) en daarvoor een herstelpunt in tijd te definiëren (RPO) met een bepaalde back-upfrequentie.

Meestal is de locatie van besmetting een laptop of werkplek. Van daaruit worden shares (schijven, UNC paden naar servers en cloud) besmet. Door de evolutie van ransomware kan het ook een bedreiging vormen voor niet gekoppelde shares. In een normale omgeving zijn synchronisatie, replicatie en back-upoplossingen te beïnvloeden door ransomware omdat de agents geen malware kunnen uitvoeren of verwijzingen kunnen hebben naar malware. Het herstel van een back-up is daarom altijd de beste optie, aangezien deze niet aangetast kan worden door malware.

NetApp biedt in de ONTAP de mogelijkheid om standaard een aantal bestand te blokkeren en filteren op basis van metadata en extensies. Het is hierdoor mogelijk om veel voorkomende ransomware te blokkeren door het niet toestaan van het opslaan en/of wijzigen van de bestandsnamen.

Voor het herstellen van een back-up maakt NetApp geïntegreerd gebruik van snapshots. Herstel van bestanden waarvan bekend is dat deze niet geïnfecteerd zijn is hierdoor een mogelijkheid. Een snapshot is een point-in-time kopie van het filesysteem en maakt herstel mogelijk en is de basis voor een complete disaster-recovery oplossing. De optionele tool SnapRestore biedt mogelijkheid om granulair bestanden te herstellen of complete volumes.

Omdat malware ook vormen kent die na weken of maanden pas actief worden, is het van belang om voor sommige datasets een hogere retentie te hebben in de back-ups. Alleen op deze manier kan bescherming tegen malware verbeterd worden en onaangetaste bestanden worden hersteld.

Adviezen

Weest u bewust van de gevaren van ransomware. Houdt beveiligingssystemen up-to-date om de kans op ransomware te beperken. Mocht u toch besmet zijn geraakt, dan zijn de enige twee opties het losgeld betalen of herstellen door middel van een recente back-up (en van belangrijke omgevingen met een langere retentie). Met NetApp is het mogelijk de kans op ransomware te beperken en de kans op gevolgschade te beperken.

Conclusie

Het is duidelijk dat ransomware blijft evolueren. Hoe beter de defensieve oplossingen worden, hoe beter de aanvaller te werk gaan. Geen enkele oplossing kan alle aanvallen tegen gaan, maar een portfolio van defensieve, proactieve en repressieve oplossingen kunnen wel de noodzakelijke gelaagdheid in beveiliging realiseren. NetApp biedt een oplossing waarmee aanvallen inzichtelijk gemaakt kunnen worden en biedt herstelmogelijkheden. Herstel blijft in alle gevallen een belangrijk deel van de reactie op de aanval. NetApp snapshot-technologie is daarin het belangrijkste onderdeel.

 

Paul Hilgers
Presales Productspecialist

P.S.

Bronnen en aanvullende informatie:

>> meer blogs

Reacties

afbeelding van Ben de Haan
Ben de Haan

Beste Paul Hilgers,
Het bovenstaande artikel heb ik met belangstelling gelezen.
De volgende redenatie kan ik niet volgen:
"In een normale omgeving zijn synchronisatie, replicatie en back-upoplossingen te beïnvloeden door ransomware omdat de agents geen malware kunnen uitvoeren of verwijzingen kunnen hebben naar malware."
Kan je dat iets verder uitleggen?
vr.gr.
Ben de Haan
Reclassering Nederland

Reactie toevoegen

Business case migratie NetApp 7-Mode naar cDOT
PQR heeft een propositie ontwikkeld voor een business case waarin al uw vragen worden meegenomen. Aan de hand van een assessment ontvangt u een uitgebreid rapport met daarin een compleet stappenplan, een ureninschatting, een investeringsplan en een...
 
Zonder Software Defined geen toekomst
Executive People | juni 2016 | Herman Rutten | Businessmodel en IT-huishouding op de schop