Aan de slag tegen malware!

Doelgroep

Dit artikel is voor bestuurders en medewerkers die weten dat een malwareaanval de organisatie kan treffen maar niet goed weten hoe ze die kans zo klein mogelijk maken en hoe ze de gevolgen van een aanval kunnen verkleinen. Voor dit artikel heb je geen technische kennis nodig. 

Wat is malware?

Malware is software die zonder jouw toestemming iets doet wat je niet wilt. Denk hierbij aan:

• gegevens stelen, zoals klantgegevens of wachtwoorden
• bestanden versleutelen en losgeld vragen (ransomware)  
• systemen verstoren of uitschakelen
• meekijken met wat je doet
• jouw systemen gebruiken om anderen aan te vallen (botnet)

Deze software kan binnenkomen via een e-mailbijlage, een nepwebsite, een onveilige download of een kwetsbaarheid in software.

Malware is een verzamelnaam voor schadelijke software. Een computervirus is daar een voorbeeld van, maar er zijn ook andere soorten malware. Malware wordt gemaakt om computers, netwerken en mobiele apparaten te misbruiken. Aanvallers gebruiken malware bijvoorbeeld om informatie te stelen of systemen te verstoren. Soms gebruiken zij besmette systemen ook om andere organisaties aan te vallen zonder dat je dit merkt.

Waarom is jouw organisatie interessant voor een aanvaller?

Veel organisaties denken dat ze geen interessant doelwit zijn. Toch worden ook kleine organisaties aangevallen. Aanvallers zoeken meestal niet een specifiek bedrijf, maar scannen meerdere op zwakke plekken. Een aanval hoeft niet persoonlijk te zijn, maar juist opportunistisch. Je organisatie kan interessesant zijn omdat je bijvoorbeeld:
•    persoonsgegevens beheert
•    toegang hebt tot andere klanten of ketenpartners
•    betalingen uitvoert
•    een kwetsbaarheid in je systeem hebt dat misbruikt kan worden.

Hoe gaat een aanval in zijn werk? 

Een aanvaller probeert met malware eerst binnen te komen in je organisatie. Dat gebeurt bijvoorbeeld via:
•    een phishingmail 
•    een zwak wachtwoord
•    verouderde software met een bekende kwetsbaarheid.

Na binnenkomst probeert de aanvaller met malware vaak extra rechten te krijgen. Daarna verspreidt de malware zich naar andere systemen of verzamelt de aanvaller er informatie mee. Sommige malware heeft ingebouwd dat het niet meteen actief wordt, zodat het minder snel wordt ontdekt.

Wat zijn de gevolgen?

Een malwarebesmetting kan verregaande gevolgen hebben. Gevoelige informatie kan worden gestolen of gegevens kunnen worden aangepast of beschadigd. Ook kan het netwerk tijdelijk niet meer goed werken of juist helemaal uitvallen.

Hoe groot de impact is hangt af van het systeem dat wordt geraakt en welke maatregelen je hierop hebt genomen. Dat zijn niet alleen technische maatregelen, maar ook aspecten zoals duidelijke afspraken, veilige werkwijzen, toegangsbeheer en controles binnen de organisatie spelen een belangrijke rol.

Waarom werkt malware?

Geen enkel systeem is altijd volledig veilig. Kwetsbaarheden ontstaan ook door bijvoorbeeld verouderde software of onjuist ingestelde toegangsrechten. Aanvallers maken gebruik van deze kwetsbaarheden. Aanvallers scannen vaak op grote schaal op zwakke plekken bij meerdere organisaties. Wordt er een kwetsbaarheid gevonden? Dan kan daar misbruik van gemaakt worden.

Ook speelt menselijk handelen een rol. Medewerkers ontvangen dagelijks veel e-mails en werken onder tijdsdruk. Aanvallers maken hier misbruik van door berichten te sturen die betrouwbaar lijken. 

Malware werkt dus vaak door een combinatie van technische kwetsbaarheden en dagelijkse werkprocessen. 

Wat kun je als organisatie doen?

Elke organisatie krijgt vroeg of laat te maken met malware. Daarbij speelt ook de bedoeling van de aanvaller een rol. Gaat het om een crimineel die geld wil verdienen? Of om een statelijke actor die wil spioneren of saboteren? Dit heeft mogelijk invloed op de schade en de aanpak die nodig is. Daarom is het belangrijk dat je organisatie goed voorbereid is op een mogelijke malwarebesmetting. 

Hoe herken je malware?

Malware is niet altijd zichtbaar, maar als gebruiker zijn er vaak een of meer van de volgende signalen: 

• computers worden plotseling langzaam
• bestanden verdwijnen of veranderen
• je kunt niet meer inloggen
• er verschijnen onbekende programma’s of meldingen
• collega’s ontvangen vreemde e-mails uit jouw naam.

Bemerk je een of meer van deze signalen? Meld dit direct bij je IT-afdeling of verantwoordelijke binnen de organisatie. Wat je als organisatie kunt doen om malware te herkennen en ontdekken lees je hieronder.

Hoe voorkom je malware?

• software en systemen regelmatig updaten 
• sterke wachtwoorden en meervoudige authenticatie gebruiken 
• een duidelijk incidentresponsplan hebben 
• toegang beperken  
• netwerksegmentatie toepassen om verspreiding te beperken 
• e-mail- en webfilters inzetten tegen schadelijke bijlagen en links 

Hoe ontdek je malware?

• kwetsbaarheden actief opsporen en oplossen 
• medewerkers trainen in het herkennen van phishing 
• honeypots of detectiemechanismen inzetten om aanvallers te signaleren (voor gevorderden) 
• monitoring en logging centraal inrichten (SIEM) en actief analyseren (voor gevorderden) 
• afwijkend gedrag detecteren (bijvoorbeeld ongebruikelijke logins of dataverkeer).

Wat doe je tijdens en na een malware aanval?

• back-ups maken en testen of je ze kunt terugzetten 
• geïnfecteerde systemen direct isoleren van het netwerk (voor gevorderden) 
• systemen herstellen of opnieuw installeren vanuit schone bron 
• lessen trekken en beveiligingsmaatregelen verbeteren (voor gevorderden)

Belangrijk om te onthouden 

Malware is een risico waar iedere organisatie mee te maken heeft. Je kunt niet alle aanvallen voorkomen. Wel kun je de kans op besmetting verkleinen en de schade beperken door je organisatie goed voor te bereiden.