Hvis der er en ting, som er sikkert, så er det, at både mængden af ransomware og størrelsen på løsesummerne stiger.

Ifølge mit eget selskabs research-afdeling, Unit 42, var gennemsnittet for løsepengeudbetalinger sidste år på 300.000 dollar, mens det tilbage i 2016 var på 500 dollar eller mindre. Spørgsmålet er, hvor dette skal ende, og hvad virksomheder kan gøre for at beskytte sig mod stadig mere sofistikerede ransomwareforbrydere?

Det vi oplever, er, at pengeafpresningsproblemet som følge af ransomware fortsætter med at vokse i takt med, at kriminelle bruger stadig mere sofistikerede værktøjer, afpresningsteknikker og kampagner, der giver næring til den kriminelle virksomhed. Ud over dette har Raas-Modellen (Ransomware as-a-service) sænket den tekniske grænse for at benytte sig af denne type værktøj til afpresning.

Men tilbage til spørgsmålet om, hvad virksomhederne skal gøre. For det første handler det om at holde sig opdateret. Trusselbilledet udvikler sig i takt med, at kriminelle tager nye teknikker i brug. Det første man skal gøre, er derfor at holde sikkerhedsteamet opdateret om trusselbilledet og hvordan det påvirker virksomheden, samt hvilke greb, der skal tage for at forebygge angreb.

Dernæst må kritiske data kortlægges. For virkelig at forstå, hvad et ramsomwareangreb betyder i praksis, er det alfa og omega med en komplet oversigt. Hvor befinder de kritiske data sig, hvordan bruges de i virksomheden, og hvem har adgang til dem? Kortlæg data og sørg for, at det kun er de, der absolut har brug for data, der har adgang til dem. Næste skridt er at gennemføre en konsekvensanalyse af følgerne ved at miste dataene.

Ud over dette er det vigtigt jævnligt at vurdere beredskabet – internt, såvel som eksternt. Risikoen for alvorlige angreb vokser, når der ikke udføres fortløbende analyser og vurderinger af sikkerhedssituationen. Se på alt fra teknologi, folk, processer og tilgang. Baseret på dette udfærdiges en sikkerhedsplan, som er i tråd med de strategiske forretningsmål.

Når ovennævnte er gennemført og på plads, må beredskabet gennemgås og afprøves. Hvordan reagerer virksomheden på et angreb? Evaluer forsvaret, identificer sikkerhedshuller, og hvor godt rustet virksomheden er til at modstå de taktikker, teknikker og procedurer, som kriminelle ofte bruger? Hav en såkaldt zero-trust-approach til sikkerheden. Det betyder i korthed, at sikkerheden gøres til en gennemgående agenda på tæers af brugere, enheder, adgangsveje og datatilgang.

Et andet vigtigt punkt er at sikre kontrol over alle digitale værdier. Opret et register til sporing af ejendom, systemer og tjenester, som I ejer på det offentlige internet. Det inkluderer sporing på tværs af alle store cloudleverandører og ISP-er. Remote Desktop Control (RDP) tegner sig for eksempel for et flertal af angrebene. Hvilket blandt andet skyldes, at stadig flere arbejder hjemmefra.

Husk også at automatisere så meget som muligt. I forbindelse med et angreb går det med mange timer med manuelt arbejde. Brug værktøj, der understøtter automatiseret udbedring med skabeloner for respons og genopretning. SOAR-løsninger (sikkerhedsorkestrering, automatisering og respons) automatiserer hele processen for at begrænse både datatab og de økonomiske konsekvenser. Sørg også for, at al teknologi er sikkerhedskonfigureret, og at sårbarheden er minimal. Der kan for eksempel være sikkerhedsfunktioner, der er slået fra som standard.

Det bliver nok aldrig muligt at beskytte sig fuldkommen mod truslerne derude. Kriminelle bliver dygtigere, mere udspekulerede og har adgang til stadig mere sofistikeret teknologi. Men meget kan forebygges ved at tage sikkerheden alvorligt og tage alle forhåndsregler. For hvis der er en ting, der er sikker, så er det, at forberedelser og reaktionstiden er afgørende ved et angreb.