Best practices voor bescherming tegen cloudransomware in 2025

Cloud-ransomwareaanvallen nemen toe naarmate bedrijven steeds vaker cloudtechnologieën gaan gebruiken. Om uw organisatie te beschermen:

1. Implementeer robuuste back-up- en herstelplannen
2. Gebruik meervoudige authenticatie en strikte toegangscontroles
3. Zorg voor continue monitoring en AI-gestuurde dreigingsdetectie
4. Houd alle software up-to-date en voorzien van patches
5. Geef regelmatig trainingen aan medewerkers over cyberbeveiliging
6. Versleutel gevoelige gegevens en gebruik veilige cloudopslag
7. Zorg dat u een duidelijk plan hebt voor het reageren op incidenten

Tools zoals CWPP van SentinelOne kunnen helpen om aanvallen snel te detecteren en erop te reageren. Blijf waakzaam en geef prioriteit aan cloudbeveiliging om uw bedrijf te beschermen tegen steeds veranderende ransomwarebedreigingen.

Het BlackBerry Global Threat Intelligence Report (editie september 2024) onthult dat cloudransomware door zowel cybercriminelen als georganiseerde bendes wordt gebruikt om bedrijven in alle sectoren over de hele wereld aan te vallen.

Een recent voorbeeld is een ransomware-aanval in maart 2024 op de Belgische brouwerij Duvel Moortgat door de ransomwaregroep Stornomous, waarbij 88 gigabyte aan gegevens werd gestolen, waardoor de productie stil kwam te liggen.

Groepen als deze passen snel nieuwe benaderingen en tactieken toe om traditionele cloud ransomware-beveiligingsmechanismen te omzeilen en zoeken naar nieuwe beveiligingslekken. Actoren die ransomware in de cloud inzetten, zijn meestal financieel gemotiveerd, omdat ze losgeld eisen in ruil voor de gestolen gegevens.

Cloud-ransomwareaanvallen nemen gestaag toe: ongeveer 40% van de organisaties in de 2024 Annual SaaS Security Survey gaf toe dat ze in de afgelopen twee jaar te maken hebben gehad met een SaaS-ransomware-incident. Het gebeurt vaker dan u zou denken.

Het is dan ook niet verwonderlijk dat uit hetzelfde onderzoek bleek dat 71% van de organisaties meer is gaan investeren in bescherming tegen cloud-ransomware, terwijl 68% van de organisaties meer is gaan investeren in het aannemen en opleiden van personeel op het gebied van tools en strategieën voor bescherming tegen cloud-ransomware.

Daarom gaat dit artikel in op de unieke uitdagingen van cloud ransomware-beveiliging. U krijgt praktische tactieken om uw cloudconfiguratie te versterken, of u nu een hybride systeem gebruikt of volledig bent overgestapt op cloud computing.

Cloud ransomware-aanvallen nemen gestaag toe: ongeveer 40% van de organisaties in de 2024 Annual SaaS Security Survey gaf toe dat ze in de afgelopen twee jaar te maken hebben gehad met een SaaS ransomware-incident. Het gebeurt vaker dan u zou denken.

Het is dan ook niet verwonderlijk dat uit hetzelfde onderzoek bleek dat 71% van de organisaties meer heeft geïnvesteerd in bescherming tegen cloud-ransomware, terwijl 68% van de organisaties meer heeft geïnvesteerd in het aannemen en opleiden van personeel op het gebied van tools en strategieën voor bescherming tegen cloud-ransomware.

Daarom gaat dit artikel in op de unieke uitdagingen van bescherming tegen cloud-ransomware. U krijgt praktische tactieken om uw cloudconfiguratie te versterken, of u nu een hybride systeem gebruikt of volledig bent overgestapt op cloud computing.

Wat is cloud ransomware?

Cloud-ransomware is kwaadaardige software die het gemunt heeft op uw cloudassets, zoals SaaS-apps, cloudopslag of infrastructuur. Het vergrendelt uw gegevens of systemen en eist betaling om de toegang te herstellen of uw bestanden te decoderen.

Aanvalsvectoren van cloudransomware

Een recent voorbeeld van een beveiligingslek met betrekking tot Microsoft Power Apps vond plaats in maart 2023, toen onderzoekers een kritieke kwetsbaarheid ontdekten in de functie Custom Code van het Power Platform.

Deze kwetsbaarheid vormde een risico voor het openbaar worden van informatie. Gelukkig handelde Microsoft snel en bracht het op 7 juni 2023 een snelle eerste oplossing uit om het probleem voor de meeste klanten te verhelpen.

Dit incident laat zien hoe cloud-ransomware-operators verschillende toegangspunten, ook wel aanvalsvectoren genoemd, misbruiken om cloudomgevingen te infiltreren en te compromitteren. Deze aanvalsvectoren kunnen als volgt worden gecategoriseerd:

Potentiële kwetsbaarheden

• Gebreken in API's van cloudserviceproviders (bijv. omzeilen van authenticatie, buitensporige machtigingen, kwetsbaarheden voor injectie)
• Zwakke punten in beveiligingsmodellen met gedeelde verantwoordelijkheid
• Kwetsbaarheden in containerorkestratieplatforms (bijv. Kubernetes)

Veelvoorkomende verkeerde configuraties

• Te ruime toegangscontroles voor cloudopslagbuckets
• Onjuist geconfigureerde segmentatie van virtuele netwerken
• Ontoereikende versleutelingsinstellingen voor gegevens in rust en tijdens verzending

Zwakke beveiligingspraktijken

• Slecht beheer van toegangssleutels en geheimen
• Inconsistente patching van cloudbronnen
• Gebrek aan beleid voor identiteits- en toegangsbeheer

Waarom bescherming tegen cloudransomware cruciaal is in 2025

Ransomware is een moderne plaag die zich snel verspreidt. Alleen al in 2023 heeft de FBI gemeld dat het meer dan 2800 klachten had ontvangen met een schade van 59,6 miljoen dollar. Maar dat is nog maar het begin: de werkelijke kosten van ransomware kunnen uw gegevens vernietigen, uw bedrijfsvoering verstoren en uw reputatie ruïneren.

Enkele voorbeelden van recente ransomware-aanvallen op de cloud zijn:

• Steeds geavanceerdere aanvallen: De CL0p-ransomwaregroep maakte in mei 2023 misbruik van een zero-day-kwetsbaarheid in de cloudsoftware MOVEit Transfer, waardoor tal van organisaties werden getroffen en gevoelige gegevens die in de cloud waren opgeslagen, werden blootgesteld.
• Kritieke gegevens: De cloudgebaseerde bestandsoverdrachtdienst GoAnywhere MFT werd in mei 2023 getroffen door een zero-day-aanval. De Cl0p-ransomwaregroep maakte misbruik van deze kwetsbaarheid en kreeg toegang tot gevoelige gegevens van meer dan 130 organisaties die gebruik maakten van de dienst, en stal deze.
• Regelgevende druk: Op 13 april 2024 werd Young Consulting het slachtoffer van een ransomware-aanval door Black suit. Als gevolg van deze aanval kwamen de persoonsgegevens van ongeveer 1 miljoen mensen op straat te liggen. Deze inbreuk leidde niet alleen tot gegevensverlies, maar ook tot nalevingsproblemen met de AVG en HIPAA.
• Reputatieschade: De ransomware-aanval in 2022 op de cloudgebaseerde wachtwoordbeheerder LastPass resulteerde in de diefstal van klantgegevens, waardoor de reputatie en het vertrouwen van het bedrijf bij zijn gebruikers ernstig werden geschaad.&en het vertrouwen van zijn gebruikers ernstig beschadigd.
• Bedrijfscontinuïteit: In december 2021 werd de cloudgebaseerde leverancier van human resources management Ultimate Kronos Group (UKG) te maken met een ransomware-aanval die zijn private clouddiensten verstoorde, met gevolgen voor de salarisadministratie en het personeelsbeheer van bedrijven als MGM Resorts, Samsung, PepsiCo, Whole Foods, Gap en Tesla.

Best practices voor het voorkomen van cloud-ransomware

Cybersecurity Ventures noemt ransomware de "meest urgente bedreiging" van dit moment. Om u hiertegen te beschermen, volgen hier enkele essentiële maatregelen:

#1 Implementeer robuuste back-up- en herstelplannen

Door ontoereikende back-up- of herstelplannen kunnen organisaties te maken krijgen met langdurige downtime en aanzienlijke financiële verliezen.

Het Royal Mail-incident van januari 2023 ransomware-incident, gepleegd door de LockBit-bende, herinnert ons op indringende wijze aan de risico's die er zijn. Test uw herstelplannen regelmatig grondig, onderwerpt ze altijd aan stresstests en vertrouw er niet zomaar op.

Het automatiseren van back-ups kan ook de kans op fouten verkleinen, zodat uw bestanden in alle opzichten beveiligd blijven, zowel tijdens het transport als in rust.

#2 Multi-factor authenticatie (MFA) en toegangscontroles

Stel een MFA-pas in. Dit kan een behoorlijke hindernis zijn voor onbevoegde personen. MFA wordt sterk onderschat, maar is cruciaal, zoals blijkt uit rapporten van Microsoft aangeven dat 99,9% van de gehackte accounts geen MFA had, waardoor meer dan 99,2% van de aanvallen voorkomen had kunnen worden.

Naast MFA kunt u de toegang beperken door middel van een beleid van minimale rechten, zodat gebruikers alleen krijgen wat ze nodig hebben en niets meer.

IT-professionals kunnen adaptieve authenticatiemethoden inzetten die variëren op basis van locatie, apparaat of andere contextuele factoren. Controleer deze machtigingen regelmatig en voor gevoelige acties kunt u gebruikmaken van Just-In-Time (JIT)-toegang om onnodige blootstellingsrisico's te verminderen

#3 Continue monitoring en detectie van bedreigingen

IBM meldt dat de gemiddelde tijd om een inbreuk te identificeren in 2023 204 dagen was – veel te lang om een proactieve aanpak te hanteren. U moet geavanceerde systemen voor dreigingsdetectie implementeren die gedragsanalyse gebruiken om afwijkingen snel op te sporen.

Security Information and Event Management (SIEM) maken gebruik van gebruikers- en entiteitsgedragsanalyse (UEBA) voor genuanceerde detectie van bedreigingen. Overweeg om een 24/7 Security Operations Center (SOC) op te zetten of samen te werken met een managed security provider zoals McAfee, IBM Security of Microsoft Azure Security Center om 24 uur per dag waakzaamheid te garanderen.

#4 Regelmatige software-updates en patches

Een kritieke kwetsbaarheid – de Microsoft Exchange-kwetsbaarheid (CVE-2023-21709) – kwam in augustus 2023 aan het licht en stelde aanvallers in staat om zonder interactie van de gebruiker hun privileges te escaleren. Microsoft bracht in oktober een uitgebreidere oplossing uit (CVE-2023-36434), waardoor handmatige configuratiewijzigingen niet meer nodig waren.

Door uw patchbeheer te automatiseren met tools zoals Microsoft Intune, Google Workspaces, Amazon Workspaces of WSUS bent u verzekerd van deze cruciale fixes.

Houd uw cloudassets in de gaten door regelmatig te controleren op verouderde software en verkeerde configuraties en houd een grondige inventaris bij van al uw cloudresources om ervoor te zorgen dat er niets door de mazen van het net glipt.

#5 Trainingen en bewustwordingsprogramma's voor werknemers

Uw beveiliging is slechts zo sterk als uw zwakste schakel, en vaak is dat menselijk falen.

Consistente, gerichte training over phishing en social engineering is van cruciaal belang om een waakzaam team te behouden.

Afdelingshoofden moeten gesimuleerde phishingaanvallen organiseren om te testen hoe werknemers onder druk reageren, zodat ze voorbereid zijn op echte bedreigingen.

Probeer het afschuiven van verantwoordelijkheid te ontmoedigen en moedig het onmiddellijk melden van verdachte activiteiten aan.

Hoe sneller uw team zich op zijn gemak voelt om alarm te slaan, hoe sneller potentiële bedreigingen kunnen worden geneutraliseerd.

#6 Gegevensversleuteling en veilige cloudopslag

De inbreuk bij het Amerikaanse Ministerie van Transport in 2023, waarbij de persoonlijke gegevens van 237.000 werknemers werden gecompromitteerd, onderstreepte het cruciale belang van versleuteling.

Laat uw gegevens niet open en bloot staan, maar versleutel ze. Beveilig uw sleutels, wissel ze regelmatig en kies voor cloudopslag met solide, ingebouwde versleuteling. Voor uw meest gevoelige informatie kunt u nog een stap verder gaan met client-side encryptie, zodat u de enige bent die de sleutels in handen heeft.

#7 Gebruik van kunstmatige intelligentie en machine learning

Recent onderzoek heeft aangetoond dat kunstmatige intelligentie een krachtig hulpmiddel is om de nauwkeurigheid te verbeteren en de beveiliging tegen verschillende beveiligingsrisico's en cyberaanvallen te versterken.

AI kan u helpen grote hoeveelheden gegevens te doorzoeken en gedragspatronen te identificeren zodra deze zich voordoen. Machine learning verbetert de detectie van bedreigingen in de loop van de tijd en automatiseert routinetaken. Het moet echter een aanvulling zijn op, en geen vervanging van, menselijke expertise in een solide beveiligingsstrategie.

Hoe te reageren op een cloud-ransomwareaanval

Het Cybersecurity and Infrastructure Security Agency (CISA) raadt bedrijven aan om de checklist in de #StopRansomware-gids te volgen. We delen een verkorte versie van de checklist die u door het reactieproces loodst, vanaf de detectie tot en met de beheersing en uitroeiing.

Dit zijn de stappen:

1. Identificeer de aanval

• Detecteer het incident: Controleer uw systemen op ongebruikelijke activiteiten, zoals versleutelde bestanden of ongeoorloofde toegangspogingen.
• Isoleer geïnfecteerde systemen: Koppel de getroffen apparaten los om te voorkomen dat de ransomware zich verder verspreidt. Als het niet mogelijk is om het netwerk tijdelijk uit te schakelen of de getroffen hosts los te koppelen, kunt u overwegen om de apparaten uit te schakelen. Richt u eerst op het isoleren van hosts die cruciaal zijn voor de dagelijkse activiteiten om verdere verstoring tot een minimum te beperken.
• Verzamel bewijsmateriaal: Verzamel logboeken, schermafbeeldingen en alle relevante gegevens die kunnen helpen bij het onderzoek. Maak voor cloudomgevingen snapshots van volumes om een momentopname vast te leggen, zodat u tijdens de onderzoeksfase een duidelijk referentiepunt hebt voor latere analyse.

2. Beoordeel de schade

• Bepaal de omvang van de aanval: Voordat u de controle kunt terugkrijgen, moet u een duidelijk beeld krijgen van de impact van de aanval. Voer een grondige analyse uit om vast te stellen welke systemen zijn getroffen en gecompromitteerde gegevens te identificeren en ervoor te zorgen dat de aanvalsvector nu inactief is. Gebruik bij de coördinatie met uw team beveiligde communicatiekanalen, zoals telefoongesprekken, om te voorkomen dat de aanvallers worden gewaarschuwd, die de aanval zouden kunnen escaleren of ransomware zouden kunnen activeren als ze merken dat ze zijn ontdekt.
• Evalueer de impact op het bedrijf: Beoordeel de mogelijke financiële en reputatieschade van de aanval. Directe verliezen kunnen in geld worden uitgedrukt, zoals kosten voor systeemuitval, kosten voor datalekken, herstelkosten, schadevergoeding, juridische kosten en boetes of sancties. Indirecte verliezen, zoals reputatieschade, verlies van concurrentievoordeel, verminderde werkmotivatie en toegenomen klantverloop, kunnen worden gemeten met verschillende methoden, zoals enquêtes, benchmarking binnen de sector, analyse van historische gegevens en simulaties.

3. Beperk de aanval

• Implementeer beperkende maatregelen: Maak gebruik van netwerksegmentatie om gecompromitteerde systemen te isoleren en implementeer EDR-tools zoals SentinelOne Singularity, samen met cloud-native beveiligingsoplossingen, om getroffen gebieden af te sluiten.
• Patch kwetsbaarheden: Zorg ervoor dat alle systemen up-to-date zijn met de nieuwste beveiligingsupdates. Helaas worden patches niet automatisch op software toegepast. IT-professionals passen de nieuwste patches die door softwareleveranciers worden uitgebracht toe via een patchbeheerstrategie. Aangezien ransomware-aanvallers met geautomatiseerde scansoftware zoeken naar systemen zonder de nieuwste beveiligingspatches, moeten kwetsbaarheden regelmatig worden verholpen.

4. Gegevens herstellen

• Gebruik back-ups: Herstel gegevens vanuit schone back-ups die niet door ransomware zijn aangetast. Overweeg om de back-upbeveiliging te verbeteren door onveranderlijke back-ups te combineren met geavanceerde beveiligingstechnieken zoals air gapping. Zo blijft er altijd een schone versie toegankelijk, zelfs als ransomware probeert back-ups te versleutelen.
• Overweeg alternatieve herstelmethoden: Als back-ups niet beschikbaar of gecompromitteerd zijn, onderzoek dan opties zoals gegevensherstelservices of onderhandelingen met de aanvallers. In augustus 2024 bevestigde de ARRL dat het een losgeld van 1 miljoen dollar had betaald aan de Embargo-ransomwaregroep nadat een aanval in mei hun systemen had versleuteld.

5. Breng belanghebbenden op de hoogte

• Informeer relevante partijen: Breng het senior management, IT, cyberverzekeraars en beveiligingsdienstverleners op de hoogte van uw incidentresponsplan.
• Communiceer transparant: Beperk de schade en zorg ervoor dat u uw standpunt over de inbreuk en de genomen maatregelen aan uw klanten communiceert. Neem ook contact op met wetshandhavingsinstanties zoals het FBI Internet Crime Complaint Center, CISA of uw lokale FBI-kantoor voor hulp.

6. Onderzoek en leer

• Grondig onderzoek: Analyseer uw systeemlogboeken om het type ransomware te identificeren en versleutelde bestanden te lokaliseren. Controleer vervolgens de applicatielogboeken om te zien welke apps actief waren tijdens de aanval.

Bekijk vervolgens de beveiligingslogboeken om het IP-adres van de aanvaller te traceren en te achterhalen hoe deze ongeoorloofde toegang heeft gekregen. Ten slotte kunnen netwerklogboeken helpen bij het opsporen van abnormale verkeerspatronen en het lokaliseren van de plaats waar de aanval mogelijk is begonnen of zich heeft verspreid.

• Preventieve maatregelen: Versterk uw verdediging door routinematig robuuste beveiligingsmaatregelen in te voeren, zoals firewalls, IDPS, EDR, antivirus/antimalware, patchbeheer, MFA en geautomatiseerde back-ups. Regelmatige penetratietests spelen een cruciale rol bij het proactief identificeren van kwetsbaarheden voordat aanvallers deze kunnen misbruiken, waardoor u potentiële bedreigingen voor kunt blijven.

7. Meld het incident

• Voldoe aan de regelgeving: Als u hiertoe wettelijk verplicht bent, dient u onmiddellijk aangifte te doen bij de autoriteiten. In de VS schrijft de Cyber Incident Reporting for Critical Infrastructure Act van 2022 voor dat substantiële cyberincidenten die een bedreiging kunnen vormen voor onder andere de nationale veiligheid, buitenlandse betrekkingen of het vertrouwen van het publiek, moeten worden gemeld. Het niet melden kan juridische en financiële gevolgen hebben.
• Leer van ervaringen: Deel wat u hebt geleerd met belangrijke belanghebbenden, waaronder zakenpartners, verzekeraars en wetshandhavers. Deze uitwisseling van kennis helpt anderen hun verdediging te versterken en vermindert de kans dat soortgelijke aanvallen in de hele sector plaatsvinden.

Cloud-ransomware-incidenten detecteren en verhelpen met SentinelOne CWPP

Snelle detectie, beheersing en herstel zijn belangrijke stappen in de bescherming tegen cloud-ransomware. Hoewel we verschillende strategieën hebben besproken, kan het een uitdaging zijn om ze allemaal te beheren.

Geïntegreerde oplossingen zoals SentinelOne's Cloud Workload Protection Platform (CWPP) kunnen dit proces stroomlijnen. Laten we eens kijken hoe CWPP deze cruciale aspecten aanpakt:

• Realtime detectie van bedreigingen: De AI-aangedreven engine van SentinelOne controleert continu cloudworkloads op verdachte activiteiten en detecteert ransomware-aanvallen in een vroeg stadium van de aanvalscyclus.
• Geautomatiseerde preventie: Het platform kan ransomware-aanvallen automatisch blokkeren voordat ze aanzienlijke schade aanrichten, waardoor de impact van incidenten tot een minimum wordt beperkt.
• Snelle reactie: SentinelOne stelt beveiligingsteams in staat om snel te reageren op ransomware-incidenten door gedetailleerde inzichten te bieden in de oorsprong, omvang en impact van de aanval.
• Continue monitoring: Het platform monitort voortdurend cloudomgevingen om potentiële kwetsbaarheden te identificeren en aan te pakken die ransomware-aanvallers zouden kunnen misbruiken. Het kan in realtime verdedigen tegen ransomware, zero days en fileless aanvallen.
• Integratie met cloudplatforms: De real-time CWPP van SentinelOne kan worden geïntegreerd met toonaangevende cloudplatforms en biedt uitgebreide bescherming in hybride en multi-cloudomgevingen.
• Forensisch inzicht in workload-telemetrie: ondersteunt onderzoek en incidentrespons met een datalogboek van activiteiten op OS-procesniveau. CWPP zet miljoenen agents in die wereldwijd worden vertrouwd door toonaangevende merken, hyperscalers en hybride cloudorganisaties.
• eBPF-architectuur en dreigingsinformatie: Behavioral AI Engine voegt de dimensie tijd toe aan het beoordelen van kwaadwillige intenties. De Static AI Engine van SentinelOne is getraind op meer dan een half miljard malwarevoorbeelden en inspecteert bestandsstructuren op kwaadaardige kenmerken. De Application Control Engine bestrijdt malafide processen die niet verband houden met het workload-image.
• Verrijkte runtime-detectie met build-tijdcontext: Geautomatiseerde Storyline™-aanvalsvisualisatie en mapping naar MITRE ATT&CK TTP. Bevat ook IaC voor DevOps-provisioning, Snyk-integratie en ondersteunt 15 Linux-distributies, 20 jaar Windows-servers en 3 container-runtimes.

Conclusie

Cloud computing heeft het bedrijfsleven veranderd, maar brengt ook nieuwe ransomware-risico's met zich mee. Naarmate bedreigingen evolueren, moeten verdedigingsmechanismen zich aanpassen. Sterke back-ups, strikte toegangscontroles en AI-gestuurde dreigingsdetectie zijn essentieel, maar beveiliging moet dynamisch en gelaagd zijn om voorop te blijven lopen.

Technologie alleen is niet voldoende. Het opbouwen van een cultuur van cyberbeveiliging is essentieel. Regelmatige training van medewerkers, gesimuleerde aanvallen en open communicatie over bedreigingen moeten routine zijn. Hoewel het voorkomen van ransomware ideaal is, is het hebben van een getest responsplan wat u beschermt wanneer er een aanval plaatsvindt.

Zorg ervoor dat uw team een duidelijk responsplan heeft, weet met wie het contact moet opnemen en begrijpt hoe het snel kan herstellen.

Tools zoals CWPP van SentinelOne kunnen uw verdediging versterken, maar de uiteindelijke verantwoordelijkheid ligt bij u en uw team. De strijd tegen cloud-ransomware is voortdurend, dus blijf op de hoogte, wees voorbereid en laat uw waakzaamheid nooit verslappen. Uw bedrijf is ervan afhankelijk.

Neem vandaag nog contact op met SentinelOne om vandaag nog hulp te krijgen. Voor meer informatie kunt u een gratis live demo aanvragen.

"

FAQs