Ransomware vraagt om veilige opslag

De eigenaren en beheerders van de Q-Park parkeergarages zullen er anders over denken, maar in feite heeft Nederland tijdens de laatste aanval in mei van hackers met ransomware geluk gehad. Voordeel was wel dat het probleem en fenomeen in de media veel aandacht kreeg. Veel IT-bedrijven sprongen er gelijk in met aanbiedingen voor goede bescherming. Daar zit echter een ‘maar’ aan.

Zero Day Exploit

Je kunt deze bescherming tegen ransomware beschouwen als een geavanceerde virusscanner. Zo’n scanner kan bijvoorbeeld bepaalde onbetrouwbare software in een afgeschermd deel laten draaien om te zien wat het werkelijk doet en of het veilig is. De ‘maar’ in dit verhaal is zogenoemde Zero Day Exploit: software die wacht op een bepaalde datum om actief te worden. Tot die tijd verspreidt deze software zich slechts, om op het uur U vervolgens gebruik te maken van een lek in het systeem. Vooraf testen in een afgeschermd deel van de computer biedt geen soelaas.

Continuous snapshot

Veilig is het alleen als je gegevens opslaat op zo’n manier, dat ze niet door software gewijzigd kunnen worden. Dat kan met opslagsystemen die dat niet toelaten, zoals de Silent Bricks. Als er gegevens veranderd worden, worden die toegevoegd. Het is altijd mogelijk om terug te gaan in de tijd naar een moment dat de gegevens nog niet door ransomware in gijzeling waren genomen. Dit gebeurt met een continuous snapshot, vergelijkbaar met een permanente back-up. Zo kun je de meer statische gegevens in ieder geval veilig bewaren. Data die voortdurend en snel bijgewerkt wordt, is helaas wat lastiger te beveiligen in een continuous snapshot.

Software WORM

Er zijn alternatieve oplossingen voor statische gegevens: gegevens die niet gewijzigd mogen worden, worden opgeslagen in een soort software-container. Je kunt hierin alleen schrijven en lezen door de software die de container heeft gemaakt. Als deze software geen verandering aan de data meer toelaat, kan ransomware de gegevens ook niet versleutelen. Opnieuw een maar. Je bent afhankelijk van de leverancier om de container in te kunnen. Daarnaast geldt dat deze container software wél van buitenaf zichtbaar is voor kwaadwillenden. Ransomware kan dus niet de losse bestanden aantasten, maar wel de gehele container versleutelen, waarmee dus ook het gehele archief niet meer toegankelijk is.

Bewustzijn

Belangrijk is dat in feite elke gebruiker zich bewust moet zijn van het gevaar, maar het is niet voldoende. Tijdens de laatste grote aanval had geschat zo’n 95 procent van de slachtoffers een up-to-date virusscanner. Toch werden ze getroffen. Malware kan binnenkomen door een gat in het anti-virussysteem en het is aan de systeembeheerder om voortdurend en op tijd updates uit te voeren. Toch biedt ook een tijdige update van virusscanner en besturingssysteem geen 100 procent bescherming. Een update kan immers alleen gemaakt worden als het gat bekend is. De economische schade kan enorm zijn door een aanval van ransomware. Dat is een veilige opslag van min of meer statische data absoluut waard.

Meer weten? Klik hier.