Ransomware en de rol van een IT-auditor

UIT DE IT-AUDITOR
Dit artikel is eerder gepubliceerd op deitauditor.nl

Ransomwareaanvallen zijn met een snelle opmars bezig en staan internationaal inmiddels op de tweede plaats in de ranglijst van cyberbedreigingen. IT-auditors kunnen veel betekenen voor organisaties om ransomwarerisico’s te mitigeren. Dit artikel geeft een aantal handvatten en doet negen concrete aanbevelingen.

Ransomware is een type malware die bestanden en systemen versleutelt om losgeld te eisen voor het weer toegankelijk maken ervan. Ransomware verstoort en stopt de processen van een organisatie en stelt het management voor een dilemma: moet de organisatie losgeld betalen of proberen haar data en IT-systemen met behulp van back-ups zelf te herstellen?

In 2021 zijn ransomwareaanvallen de tweede bron van cyberaanvallen. Deze aanvallen bieden cybercriminelen een aantrekkelijk verdienmodel, wat blijkt uit het gegeven dat 82% van de slachtoffers in de eerste helft van 2021 het geëiste losgeld betaalde.

Ransomware kill chain

Een ransomwareaanval staat niet op zichzelf. Het is een onderdeel van een breder proces, de ‘kill chain’, waarbij verschillende stappen kunnen worden onderscheiden (zie figuur 1).

Continu misbruikte kwetsbaarheden

De afgelopen jaren werden kwetsbaarheden in mondiaal gebruikte producten continu misbruikt om initiële toegang te verkrijgen tot de systemen en ransomware in te zetten. Kwetsbaarheden in Pulse Secure Connect VPN, Fortinet FortioOS Secure Socket Layer VPN, Atlassian Confluence Server en Microsoft SharePoint zijn enkele voorbeelden van veelgebruikte producten die misbruikt zijn (zie figuur 2).

Het gebruiken van end-of-life software in de IT-infrastructuur en defaultwachtwoorden zijn momenteel de prominente ‘bad practices’ die buitengewone cyberrisico’s vormen voor de organisaties.

Ransomware-as-a-Service (RaaS)

Ransomware-as-a-service (RaaS) is een dienstenmodel voor’ pay-for-use malware’. Dienstverleners van RaaS bieden ransomware-malware aan als hun product en dienst. Ransomwareontwikkelaars hebben dit model ontwikkeld om hun malware op grote schaal te verspreiden zonder zelf risico te lopen. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij ze een vast overeengekomen percentage van het betaalde losgeld aan de ransomwareontwikkelaars betalen. Enkele voorbeelden van RaaS zijn Lockbit, Maze, REvil en Ryuk.

Cybercriminelen zijn altijd op zoek naar nieuwe zwakke plekken om ransomwareaanvallen uit te voeren. Lockbit 2.0 is daar een goed voorbeeld van. De LockBit-ransomware is al een tijdje actief en wordt aangeboden als een RaaS, maar vanaf de tweede helft van dit jaar werven de ontwikkelaars van Lockbit 2.0 medewerkers van de potentiële slachtoffers om hen te helpen in netwerken binnen te dringen en bestanden te versleutelen. Miljoenen dollars zijn beloofd aan deze insiders in ruil voor hun samenwerking.

Specifieke publicaties over ransomware

Organisaties kunnen zowel preventieve, detecterende als corrigerende maatregelen implementeren om hun IT-systemen te beschermen tegen ransomwareaanvallen. Er zijn nieuwe initiatieven opgestart door overheidsinstellingen in de VS om ondernemingen te helpen mitigerende maatregelen tegen de ransomwareaanvallen te implementeren.

Enkele goede voorbeelden zijn de recente publicaties van de Cybersecurity & Infrastructure Security Agency (CISA) en het National Institute of Standards and Technology (NIST). Het concept NIST-cybersecurity framework is specifiek opgesteld voor ransomware riskmanagement. De publicatie van CISA richt zich specifiek op het beschermen van gevoelige en persoonlijke data tegen ransomwareaanvallen. Zie figuur 3 voor de overeenkomsten tussen deze twee stappenplannen.

Rol van een IT-auditor

IT-auditors kunnen deze nieuwe raamwerken in hun assurance- en adviesopdrachten gebruiken als referentiekaders. Ze kunnen hiermee de belangrijkste ransomwarerisico’s en ontbrekende maatregelen onder de aandacht van directie en raad van commissarissen brengen. Enkele voorbeelden voor IT-auditors uit deze raamwerken samengevat:

Prevent

• Offline back-up & recovery – Na een ransomwareaanval kan een organisatie met behulp van back-ups haar data en IT-systemen herstellen, maar de belangrijkste vuistregel is dat de organisatie over offline back-ups beschikt. IT-auditors kunnen controleren of de organisatie over offline en versleutelde back-ups beschikt en de organisatie periodiek test of de back-up, en het terugzetten hiervan, correct werkt.
• Cyber incident response plan – IT-auditors kunnen controleren of het cyber incident response plan van een organisatie, waarin escalatieprocedures voor ransomware-incidenten beschreven zijn, toereikend is. Daardoor kunnen de herstelwerkzaamheden snel uitgevoerd worden en kan schade als gevolg van een ransomware-incident beperkt worden.
• Internet-facing kwetsbaarheden – IT-auditors kunnen controleren of organisaties tools gebruiken om kwetsbaarheden geautomatiseerd te inventariseren en deze kwetsbaarheden risicogestuurd op te volgen. Cybercriminelen krijgen vaak initiële toegang tot een netwerk via slecht beveiligde remote services. IT-auditors kunnen netwerksystemen auditen die remote desktop protocol (RDP) gebruiken. Ze kunnen beoordelen dat ongebruikte RDP-poorten gesloten zijn en multifactor authenticatie (MFA) gebruikt wordt. Ze kunnen ook vaststellen dat de organisatie actief met behulp van tools de datastroom vanuit het bedrijfsnetwerk naar buiten monitort.
• Phishing – Voor het verhogen van het beveiligingsbewustzijn van de medewerkers is een security awareness-programma cruciaal. IT-auditors kunnen nagaan in welke mate onder meer presentaties, phishingcampagnes, mystery guests en e-learnings onderdeel uitmaken van het security-awarenessprogramma.
• Insider threat – Het monitoren van personeelsactiviteiten kan organisaties helpen insider threats tijdig te detecteren. IT-auditors kunnen controleren of organisaties over een mitigatieprogramma voor insiders threats beschikken. Verder kunnen ze nog soft controls meenemen bij de beoordeling van hun bevindingen. Per bevinding kunnen ze een oorzaakanalyse uitvoeren waarin de gedrags- en cultuuraspecten betrokken zijn.

Protect

• Kroonjuwelen – IT-auditors kunnen controleren of kroonjuwelen zoals primaire processen, servers en databases waarin gevoelige/persoonlijke data is opgeslagen, in kaart zijn gebracht.
• Netwerksegmentatie en firewalls – IT-auditors kunnen controleren of de organisaties netwerksegmentatie, firewalls en Intrusion Detection System/ Intrusion Prevention System (IDS/IPS) hebben toegepast om de toegang tot de IT-systemen te beperken tot geautoriseerde personen en IT-services.
• Encryptie – Het toepassen van actuele encryptietechnieken op netwerkverbindingen zijn belangrijk om exfiltratie van data te beperken. IT-auditors kunnen controleren of gevoelige en persoonlijke ‘data-at-rest’ en ‘data-in-transit’ met toereikende technieken zijn versleuteld.

Moet de organisatie losgeld betalen of proberen haar data en IT-systemen met behulp van back-ups zelf te herstellen?

Respond

• Consultingrol – In het reageren op een ransomware-incident spelen IT-auditors nauwelijks een rol. De IT-afdeling, security office en security-dienstverleners zijn direct betrokken bij de fasen analyse, containment, eradication en recovery. In het kader van de consulting-rol van de IT-auditors kunnen ze samenwerken met deze functies, zodat deze functies noodzakelijke acties ondernemen om de hieruit volgende schade zoveel mogelijk te beperken. IT-auditors dienen bij deze werkzaamheden aandacht te besteden aan de wijze waarop organisatie omgaat met een ransomware-incident en de afwikkeling hiervan. Ze kunnen nagaan of de juiste functies en partijen zijn betrokken in de besluitvorming van deze fase.

1. Negen aanbevelingen voor IT-auditors

2. Offline en versleutelde backups. Controleer of de organisatie over offline en versleutelde back-ups beschikt en de organisatie periodiek test of de back-up en het terugzetten hiervan adequaat werkt.

3. Cyber incident response plan. Beoordeel of het cyber incident response plan van de organisatie de escalatieprocedures voor ransomware-incidenten toereikend adresseert.

4. Toolgebruik. Controleer of de organisatie tools gebruikt om kwetsbaarheden geautomatiseerd te inventariseren en risicogestuurd op te volgen.

5. Security awareness. Beoordeel de toereikendheid van security-awarenessprogramma van de organisatie.

6. Insider threats. Controleer of de organisatie over een mitigatieprogramma voor insider threats beschikt.

7. Kroonjuwelen. Beoordeel of kroonjuwelen van de organisatie inzichtelijk zijn gemaakt.

8. Technische maatregelen. Controleer of de organisatie netwerksegmentatie, firewalls en IDS/IPS heeft toegepast.

9. Encryptie. Controleer of de gebruikte encryptietechnieken op netwerkverbindingen actueel zijn.

10. Organisatorische procedures. Beoordeel de wijze waarop de organisatie omgaat met een ransomware-incident en de afwikkeling hiervan.

Conclusie

Er is een toename van het aantal ransomwareaanvallen vanaf begin 2021. In 2021 staan ze op de tweede plaats van het totaal aantal type cyberaanvallen. Ransomwareaanvallen bieden cybercriminelen een aantrekkelijk verdienmodel en ze zijn daarom op zoek naar nieuwe zwakke plekken om ransomwareaanvallen uit te kunnen voeren. Zoals in dit artikel is aangegeven, kunnen IT-auditors veel betekenen voor organisaties om ransomwarerisico’s te mitigeren (zie kader).