Helaas wordt bij veel ransomware-incidenten de belangrijkste stap van incidentafhandeling overgeslagen, namelijk vaststellen welke lessen getrokken kunnen worden. Als we niet leren van onze fouten, ligt herhaling op de loer en blijft het dweilen met de kraan open. En dat terwijl zorginstellingen, uitgaande van Demings ‘Plan-Do-Check-Act’ die centraal staat in ISO-normen en NEN7510, zich zouden moeten richten op ‘continu verbeteren’.
Daarom in deze bijdrage aandacht voor het strategisch belangrijke proces van incidentafhandeling.

Stappenplan
Hoe te handelen bij een ‘aanval’? Goede handvatten zijn te vinden in het Incident Handler’s Handbook van SANS. Daarin staat het volgende stappenplan beschreven:

1. Voorbereiding – Voorkom dat er paniek uitbreekt bij een incident. Bepaal vooraf rollen en verantwoordelijkheden, zorg voor toegang tot benodigde hulpmiddelen en oefen.
2. Identificatie – Stel vast hoe het incident heeft plaatsgevonden, hoe het is ontdekt en wat de omvang is. Te veel aandacht voor één computer met raar gedrag kan ertoe leiden dat de eigenlijke bron van een incident onopgemerkt blijft.
3. Insluiting – Isoleer de geïdentificeerde systemen. Maak, voordat deze volledig worden opgeschoond, een forensische back-up van het systeem om te kunnen onderzoeken hoe het incident zich heeft voltrokken en welke data er eventueel verloren zijn gegaan. Dit is ook van belang vanwege de meldplicht voor datalekken.
4. Verwijdering – De beste manier om van malware af te komen, blijft een volledig nieuwe systeeminstallatie. Installeer ook noodzakelijke updates om herhaling te voorkomen.
5. Herstel – Pas bij deze stap is het veilig om een systeem weer in bedrijf te stellen. Test, monitor en evalueer daarbij aandachtig de voortgang om te controleren dat herhaling inderdaad uitblijft.
6. En tot slot: Geleerde lessen.

Volgende keer beter
In deze laatste fase worden de inzichten uit de voorgaande stappen gebruikt om de volgende keer beslagen ten ijs te komen. Dit kan bijvoorbeeld leiden tot extra preventieve maatregelen of tot aanscherping van afspraken over incidentafhandeling.
Als voorbeeld een scenario, dat helaas veel organisaties bekend zal voorkomen.
Een ziekenhuis is door ransomware getroffen. In de identificatiefase blijkt dat meerdere systemen besmet zijn, gezien de verdachte verbindingen vanaf die systemen naar het internet. In de insluitingsfase wordt een forensische kopie van de systemen gemaakt, waaruit blijkt dat de besmetting het gevolg was van een bijlage in een e-mail. De bijlage heette scanned_fax.zip en bevatte een bestand met de naam v3ryr4nd0m.exe. Deze e-mail is door meerdere medewerkers ontvangen. De infectie is ontstaan doordat enkele van hen de bijlage hebben geopend.

Geleerde lessen
De lessen die uit dit voorbeeld te trekken zijn, zijn:

1. Als de ontvangers de e-mail als kwaadaardig hadden herkend, zouden zij het bestand niet hebben geopend en had geen besmetting plaatsgevonden.
2. De infectie begon met een bijlage met bestandsextensie ‘.exe’. Dit is geen gebruikelijke extensie voor e-mail.

Op basis van deze lessen zijn de volgende maatregelen te treffen:

1. Maak een schermafbeelding van de e-mail en stuur deze naar alle medewerkers, zodat ze leren vergelijkbare e-mails als kwaadaardig te herkennen.
2. Blokkeer .exe-bestanden als bijlage in e-mail, ook als deze ingepakt zijn in een .zip-bestand.

Alleen als we leren van onze fouten, kunnen we cyberveiligheid steeds verder vergroten.