Planlæg og tilrettelæg

Forbered virksomhedens Windows-netværk mod et ransomware-angreb

Forberedelse af ransomware-angreb kan ske på 2 måder: planlæg hvordan du vil reagere på et vellykket ransomware-angreb og styrk dit netværk mod dem ved at overvinde Windows-barriere.

Planlægning af et ransomware-angreb

Gendannelse bør ikke være andet end at gendanne en sikkerhedskopi, men virkeligheden er, at du ofte ikke har nogen idé om, hvad der er nødvendigt for at gendanne, indtil du står over for gendannelsesprocessen. I en perfekt verden ønsker ingen at betale hackerne, men virkeligheden er nok mere kompliceret og knap så idealistisk. Gendannelse fra sikkerhedskopier tager tid og det ses særligt i det øjeblik, at produktnøglen til gendannelsesprocessen mangler eller den ikke er der hvor den skulle være. Den bedste praksis er at udføre restaureringstest og følge planlagte processer, men ofte er det gledet ud af fokus grundet hverdagens bryderier og løsning af hverdagens gøremål og opgaver.

Så skal virksomhederne tage den hårde linje og ikke betale eller betale løsesummen og eventuelt komme tilbage i erhvervslivet hurtigere. Det skal nævnes at dekrypteringsværktøjer ofte ikke er kodet godt og dekryptering af et netværk kan være lige så langsomt som at gendanne det fra en sikkerhedskopi.

Prioriter nøgleaktiver

Ransomware-ofre bringer ofte bare nøgleaktiver tilbage og beslutter så senere, hvilke digitale aktiver der ikke længere er vigtige. Det er klogt på forhånd at identificere, hvilke digitale aktiver der er afgørende for at sikre kontinuitet i forretningen. Det er vigtigt at lagre kritiske nøgleaktiver og bestemme, hvilke processer du har brug for fuldt ud at gendanne dem uden dine normale gendannelsesprocesser. Virksomheden bør være ”mentalt” forberedt på ikke at få alle data tilbage.

Lav reserveplaner

Alt for ofte sikkerhedskopieres nøglesystemer i Active Directory, men situationen kan være, at replikering ikke er en passende genoprettelsesmetode. Virksomhederne har som regel ikke processer eller personale til at tackle en sådan situation. De har muligvis ikke et sundt Active Directory på plads til at genoprette på normal vis. De har muligvis ikke scripts eller gruppepolitikker eller nogen af de værktøjer, der tages for givet. De har muligvis ikke et sædvanligt e-mail-system til at kommunikere i organisationen.

Planlæg hvordan du administrerer og supplerer medarbejdere

Start med at identificere eksterne konsulenter og ressourcer, der skal hentes for at hjælpe i processen. Identificer også alternative kommunikationsmetoder, som muligvis skal være på plads og som ikke indeholder personlige e-mail-konti.

Styrk dit Windows-netværk mod ransomware

Overvindelse af interne og eksterne Patches

Mange virksomheder er mere ramt af ransomeware, fordi de blokeres fra at patche hurtigt og fra opdatering til understøttede og mere sikre platforme. Han ser to typer blokke: interne og eksterne.

Den interne blok skyldes ofte virksomhedens afhængighed af selvkodede løsninger, der er bygget over tid og muligvis ikke eksternt kode gennemgået eller forstået godt nok til at kende virkningen, når der foretages ændringer. Især med installationer i store miljøer kendes virkningen af en ny sikkerhedsindstilling eller et Active Directory-områdefunktionsniveau ikke før den faktiske installation finder sted. Virksomheder kan teste, men ofte er det ikke før løsningen er rullet ud på tværs af netværket, at en mere realistisk effekt ses. Der er således en naturlig og uheldig tendens til status quo, fordi det at sikre, at virksomheden har kontinuitet, især under pandemien, har været ude af fokus.

Den eksterne blok opstår, når firmaets leverandører ikke certificerer en platform for en ny sikkerhedsindstilling eller platform og forhindrer implementering af en indstilling, der kan give mere sikkerhed. I medicinske indstillinger er udstyret ofte bygget til formålet og er måske ikke engang på en udvidet supportplatform. Valget kan heraf blive mellem installering af en nødvendig opdatering, der hjælper med at holde hackere i skak eller bryde den support, der ydes af leverandøren. Supporten bør dog altid bevares intakt.

For at overvinde blokkene skal nøgleaktiver til gendannelse hurtigt og sikkert identificeres. Test processen fuldstændigt og dernæst indsnævre hvilken software inde i din organisation, der forårsager blokkene og hvorfor. Hvis leverandøren er den blok, der passer til installationsbehovet, skal det vurderes, om der kan tilføjes krav og kontraktmæssige justeringer og eventuelt presse leverandører til at gøre det bedre. Hvis interne softwareinstallationer forårsager blokken, skal det vurderes, om lammelsen er reel. Vurder om virksomheden haft faktiske softwarefejl på grund af udrulning af nye indstillinger og software eller er lammelsen forårsaget af manglende ressourcer i test.

Hæve niveauet på Windows Server

Alt for mange er stadig afhængige af ældre serverplatforme, der gør det sværere at udrulle sikkerhedsløsninger via Active Directory. Nogle har muligvis Server 2016- og Server 2019-servere i deres netværk, men udnytter ikke sikkerhedsfunktionerne på det pågældende domænefunktionsniveau. Alt for mange af er stadig på ældre domæne funktionelle niveauer, fordi vi har ældre servere eller applikationer og en mangel på test, der forhindrer udrulning af nyere funktioner eller vi har leverandører, der ikke certificerer nyere platforme og Active Directory-funktioner.

At hæve dit niveauet til 2016 giver mange funktioner, der beskytter netværket bredre, såsom privilegeret adgangsstyring og automatisk udrulning af NTLM-hemmeligheder på en brugerkonto. Såfremt funktionsniveauet stadig er 2008 R2, er der ikke en brugergrænseflade til Active Directory-papirkurven, hvilket ikke gør det lettere at gendanne den. Det giver heller ikke mulighed for at slippe af med et gammelt sikkerhedshul med uforanderlige adgangskoder på tjenestekonti, hvis det stadig kører med 2008 R2-funktionsniveau.

Hæves domæneniveauet, kan der udrulles funktioner som Windows Defender Credential Guard, der beskytter NTLM- og Kerberos-legitimationsoplysninger i Active Directory mod at blive høstet af hackere. Virksomheden skal bruge Windows 10 Enterprise-licenser eller den relevante Microsoft 365 for at udrulle funktionen til arbejdsstationerne.

De store omkostninger ved ransomware er forstyrrelsen af forretningen og virksomhederne er nødt til at få beskyttelse og detektion højere op på prioriteringslisten sammen med gennemsigtighed og udveksling af oplysninger. Lige er hackerne i hvert fald foran på point.

Scroll til toppen