Nieuws
Jun
29

Na de eerdere wereldwijde WannaCry Ransomware aanval van afgelopen mei was deze week een variant van de Petya Ransomware volop in het nieuws. Deze aanval geeft wederom het belang van goede beveiligingsmaatregelen aan. Het positieve nieuws voor onze klanten, welke gebruik maken van onze anti-ransomware software, is dat zij geen hinder hebben ondervonden. Deze module blokkeert standaard dit type ransomware. Klanten welke gebruik maken van de ESET virusscanner met actieve LiveGrid zijn ook beschermd sinds 27 juni 13.27 uur.

Wat is Petya Ransomware?

Deze Ransomware infecteert het Master Boot Record van de computer waarna de data niet langer toegankelijk zijn.
Daarna kan het via "PsExec” (een commando om de processen van de gebruikers te laten draaien op remote systemen) vervolgens ook volledig up-to-date systemen infecteren in het netwerk. Een gedetailleerde uitleg staat beschreven op het Naked Security Blog van Sophos.

Bent u beschermd?

Indien u gebruik maakt van onze anti-ransomware software, Sophos InterceptX/CryptoGuard, dan bent u pro-actief beschermd. Deze video geeft weer hoe InterceptX u beschermd tegen deze variant van Petya.
Inmiddels zijn ook de standaard Sophos en ESET virusscanner voorzien van updates welke deze variant detecteren en blokkeren. Voor ESET gebruikers adviseren wij ook om LiveGrid in te schakelen (mocht dit nog niet actief zijn).

Gelaagde beveiliging

Het buitenhouden van ransomware en malware is niet simpel een kwestie van het implementeren van 1 component. Om de beveiliging zo optimaal mogelijk te houden dient de gehele keten beveiligd te worden. Het begint met een goede firewall en eindigt via bescherming op de endpoints bij een bedachtzame gebruiker. Onderstaand nog enkele belangrijke handvatten voor een succesvolle gelaagde beveiliging.

Sophos XG Firewall inclusief SandStorm module

De beveiliging begint bij een firewall tussen uw netwerk en het internet. Systemec biedt hiervoor Sophos XG firewalls. Een belangrijke optionele module van de Sophos XG firewall is de Sandstorm module.

Sophos Sandstorm blokkeert ransomware door al bij binnenkomst deze bestanden (zoals executables, PDF’s en Microsoft Office documenten) te onderzoeken, voordat ze doorgegeven worden aan de gebruiker (endpoint of server). Dit vindt plaats in een beveiligde cloud-sandbox waar het gedrag van deze bestanden automatisch geanalyseerd wordt. Wordt het bestand veilig bevonden dan wordt het bestand beschikbaar gesteld aan de gebruiker.

Voor meer info zie https://www.sophos.com/en-us/lp/sandstorm.aspx

SMTP AVAS gateway

De Systemec SMTP AVAS Cloud Scan & Forward zorgt voor schone mail op de werkplek. Systemec filtert virussen, spam en andere ongewenste berichten, voordat deze de mailbox van een gebruiker bereiken. Deze filter zorgt ervoor dat meer dan 99,5% van de spam wordt tegengehouden.

Backup

Zorg ervoor dat er altijd een backup van uw cruciale data is. Dit kan eenvoudig ingeregeld worden via de Systemec Online Backup.
Klanten welke gebruik maken van onze virtueel kantoordienst of een virtuele server (VM) afnemen zijn sowieso verzekerd van een uitgebreide backup.
Systemec maakt voor deze diensten standaard elke 2 uur een backup waarbij deze ook gerepliceerd wordt naar een 2e locatie.

Regelmatig patchen

Het regelmatig patchen, zo snel mogelijk nadat de leverancier deze beschikbaar stelt, blijft essentieel. 
De "WannaCry” Ransomware maakt bijvoorbeeld gebruik van een beveiligingslek in Microsoft Windows, waar reeds in maart een patch voor beschikbaar was gesteld.

Gebruikers trainen

Naast allerlei technische maatregelen is het ook zaak dat de gebruikers regelmatig geïnformeerd worden. Zo is het ook mogelijk om gebruikers laagdrempelige webinars te laten volgen en vervolgens ook periodiek te testen via geautomatiseerde simulaties (bijvoorbeeld via e-mail). 

 

De Sophos Intercept X module

Traditionele virus-scanners bieden in bijna alle gevallen geen directe bescherming tegen Ransomware, hiervoor dient eerst de signature database te zijn bijgewerkt.
De Sophos Intercept X module biedt juist wel deze bescherming tegen Ransomware en is niet afhankelijk van zogenaamde signature-updates. De "WannaCry” ransomware aanval werd dus standaard al geblokkeerd op systemen, welke voorzien zijn van Intercept X (pc’s) of Cryptoguard (servers).
Mocht u nog gebruik maken van een traditionele virusscanner dan kunnen wij u aanvullend voorzien van deze Intercept X module. Deze kan gewoon gebruikt worden naast virus-scanners van andere merken. Het is overigens niet zo dat traditionele virus-scanners overbodig zijn, een gelaagde beveiliging met meerdere componenten heeft de voorkeur. Zo bestaat de Sophos Endpoint en Server protection ook uit meerdere modules, waaronder een virusscanner.

De componenten van Sophos Intercept X

Intercept X kan als losse module afgenomen worden voor endpoints of in een bundel voor de Endpoint of Server beveiliging.
Intercept X is gebaseerd op de volgende 4 componenten:

1) CryptoGuard module

De CryptoGuard module is een soort korte termijn kopie van uw data. In het geval van een ransomware detectie; Dan wordt de data welke versleuteld is, voordat de detectie het proces heeft geblokkeerd, automatisch hersteld uit deze back-up.
Stel u bewerkt een Excel document, er wordt dan automatisch door CryptoGuard tijdelijk een kopie bewaard. Op het moment dat u het Excel document opslaat controleert CryptoGuard of het opgeslagen document gewoon leesbaar is of getroffen is door een cryptolocker. Is het opgeslagen document veilig, dan wordt het tijdelijke kopie automatisch verwijderd.
In het geval CryptoGuard detecteert dat het document door ransomware is geïnfecteerd, wordt automatisch het verantwoordelijke systeemproces gedetecteerd en beëindigd, zodat de aanval direct stopgezet wordt zonder meer documenten te kunnen besmetten. Daarnaast wordt het tijdelijke back-up bestand teruggezet. Dit alles binnen enkele seconden, zonder dat er dataverlies optreedt.

2) Anti Exploit module

De grote diversiteit aan ransomware en malware kan worden teruggebracht tot ca. 25 exploits, welke hackers gebruiken om hun aanval op te zetten. Het aantal exploits is vrij stabiel en groeit slechts met 1-2 per jaar.
Op het moment er een proces gebruik maakt van zo’n Exploit dan wordt dit direct herkend en geblokkeerd, voordat het proces enige schade heeft kunnen verrichten.

3) Sophos Clean module

Sophos Clean is een signature-less scanner met gedragsanalyse en heeft een uitermate hoge detectie ratio van zero-day exploits en malware.
Wanneer de CryptoGuard of Anti Exploit module alarm slaat, dan wordt Sophos Clean gebruikt voor het "opschonen” en scant deze de computer op de resterende bedreigingen.

4) Sophos Root Cause Analysis module

De RCA module biedt een gedetailleerd inzicht wat de oorzaak van de binnengekomen besmetting is en welke software componenten deze malware heeft gebruikt. Deze RCA wordt zeer overzichtelijk in een stroomschema weergegeven.

Intercept X wordt overigens nog verder geperfectioneerd, zo wordt deze later in 2017 ook uitgebreid met een machine learning en een Credential Theft Portection (Mimikatz) module. Daarnaast is het een leuk weetje dat Intercept-X ontwikkelt wordt vanuit de Sophos vestiging in Hengelo, waarbij de technisch verantwoordelijke Mark Loman is.

Gratis bescherming voor uw privé notebook/PC tegen Ransomware

Sophos biedt voor thuisgebruik een gratis versie van hun anti-malware software. Deze gratis software scoort ook in de diverse testmagazines hoog.
Vanaf nu is er ook, nu nog in Bèta, een versie beschikbaar waarbij ook extra modules zijn toegevoegd zoals anti-ransomware (Intercept X), Webcam beveiliging, Safe browsing, Parental Web filtering en ongewenste App detectie.

Hiervan gebruik maken is eenvoudig, gratis aanmelden bij Sophos en installeer vervolgens de software op je endpoint:  https://home.sophos.com/register/beta
Met 1 account kunnen 10 apparaten worden voorzien van deze beveiliging. Ideaal dus om ook het gehele gezin te voorzien van beveiliging.

Let wel dat deze software alleen voor privé gebruik is toegestaan!

Vragen?

Wij horen graag van u, bel uw contactpersoon binnen Systemec of neem contact op via info@systemec.nl


Reacties (0)
Nieuwe reactie plaatsen
 
 
Volledige naam:
Email:
Reacties:
CAPTCHA-verificatie 
 
Voer in het tekstvak hieronder de tekst in die je ziet in de afbeelding (wij maken hier gebruik van om automatische bijdragen te voorkomen).

Systemec B.V. - helpdesk