Ransomware is booming business voor hackers, wat betekent ze een versnelling hoger schakelen. Er zijn nog altijd brede kanonnen met ransomware-aanvallen die op iedereen worden gericht, maar steeds meer malafide organisaties gaan achter de kleine en middelgrote ondernemingen. Sophos wil hen een stap voor zijn met Intercept X.
De grote piek van ransomware is gaan liggen, de meeste mensen weten wat het betekent, waardoor er gevaar optreedt dat het toch ‘niet bij mij zal gebeuren’. Nochtans worden hackers creatief en weten ze dat bedrijven meestal geld op tafel willen leggen wanneer gevoelige of belangrijke informatie verloren dreigt te gaan. Het gaat zelfs zover dat bepaalde ransomware specifiek wordt geschreven dat op meerdere plaatsen binnen een bedrijf kan binnendringen. Je kan dan een kost per computer afrekenen, of een ‘voordeeltarief’ waarmee alle toestellen binnen het bedrijf worden gezuiverd. Beter voorkomen dan genezen.
Dubbele antivirus?
Ransomware kan een bedrijf veel geld kosten, maar het kan ook grotendeels worden voorkomen. Er is natuurlijk altijd wel het menselijk aspect dat meespeelt. Het is belangrijk binnen elke organisatie om de gevaren duidelijk uit te leggen en continu bij te sturen waar nodig. Meestal is één besmetting binnen een bedrijf al genoeg om over te gaan tot betaling wanneer de data belangrijk is.
Sophos heeft sinds 2016 Intercept X binnen zijn rangen als ultieme tool die toepassingen zoals ransomware in de kiem kan smoren. Paul Ducklin, Senoir Security Advisor bij Sophos, vertelt meer over de tool. “Je kan Intercept X als een tweede antivirus zien, een onderdeel van ons totaal gesynchroniseerd securityportfolio. Je kan Intercept X toevoegen aan een bestaand antivirusprogramma. Of dat nu een van ons is of niet, dat maakt niet veel uit.”
Het grote probleem hier is dat veel gebruikers denken dat twee antivirustools tegelijk elkaar naar de verdommenis scannen en elkaar tegenwerken. Dat is hier volgens Ducklin meestal niet het geval, zeker hier niet omdat Intercept X niet werkt zoals een klassieke endpointbeveiliging. Het is net de bedoeling om ze beide te gebruiken.
Exploit Prevention
Deze tool bestaat uit drie componenten: analyse voor de uitvoering, exploit preventie en Root Cause Analysis (RCA). Die eerste spreekt voor zich: de gebruiker waarschuwen voordat hij de actie uitvoert om besmetting te voorkomen. Door middel van machine learning kan Intercept X vooraf al inschatten wat er gaat gebeuren voordat de hel losbreekt. Jij krijgt een waarschuwing, je IT-admin ook, en alles loopt gewoon verder.
Wanneer het echt fout gaat, is er Exploit Prevention. “Hier kijkt Intercept X naar wat er realtime gebeurt op je computer. Het analyseert wat er met je systeem aan de hand is, welke data er wordt weggeschreven en naar waar. Wanneer iets niet koosjer is, stopt het direct de actie en wordt het gevaar in quarantaine geplaatst of verwijderd,” zegt Ducklin.
Dit betekent niet dat je 100 procent beschermd bent, want dat ben je nooit. Intercept X beschermt je maar tegen 2 procent van alle threats, de rest doet je endpointbeveiliging. Van zodra een gevaar ontmanteld is of wanneer die al aan de poort tijdig is gestopt, schiet de RCA in gang. Ducklin: “Dit maakt Intercept X extra interessant, omdat je voor die analyse geen IT-achtergrond nodig hebt. De software maakt het voor iedereen duidelijk waar het gevaar vandaan komt en hoe je die in de toekomst kan vermijden.”
Laatste noodrem
Paul Ducklin hoopt dat bedrijven binnenkort begrijpen dat security waarde aan het bedrijf toevoegt, in plaats van dat het als een kost wordt aanzien. Met GDPR heeft Europa de voorzet gegeven om privégegevens verantwoord te behandelen en om datalekken te vermijden. “Drie van de 99 artikelen rond GDPR gaan maar over datalekken en de consequenties, maar dat betekent niet dat je het daarom als minder belangrijk moet aanzien,” zegt Ducklin.
In Intercept X zitten twee belangrijke componenten: Cryptoguard en Wipeguard. Cryptoguard is een extra beveiliging die ervoor zorgt dat je bestanden veilig zijn wanneer ransomware zich activeert. Het trackt continu wat er gebeurt en welke tools waar iets veranderen. Zelfs wanneer bepaalde bestanden al volop worden versleuteld, kan Cryptoguard tijdig de noodrem optrekken en besmette bestanden terugzetten voordat het kwaad zijn werk verder zet. Daarna schiet RCA opnieuw in actie en krijgt de IT-admin te zien wat er gebeurd is op een overzichtelijke manier.
Wipeguard gaat iets verder en wil ransomware voor zijn die je schijf kapotmaakt, zoals bij notPetya het geval was. Deze vorm van ransomware wil alleen maar schade aanrichten op sectorniveau, de Master File Table in Windows of de bootsector. Hier grijpt Intercept X tijdig in, om ervoor te zorgen dat je computer bruikbaar blijft wanneer het noodlot toeslaat.
Betekent dat je daarom altijd veilig bent? Helemaal niet. Ducklin benadrukt dat Intercept X geen verzekering is die alle problemen voor zijn rekening neemt. Er kunnen altijd gevaren door de mazen van het net kruipen. “Intercept X zorgt ervoor dat de mazen bijzonder klein zijn, maar er bestaat altijd een kans dat het noodlot toeslaat. 100 procent veiligheid bestaat niet in de IT-wereld.”
Machine learning
Intercept X wordt gevoed door middel van machine learning, maar uit welke info leert de tool? Paul Ducklin legt uit: “Heel wat antivirusbedrijven werken met elkaar en er zijn globale online databases zoals VirusTotal, maar die parameters gebruiken we niet om onze AI te trainen. Als één partij iets goedkeurt, leer je de machine op die bepaalde manier. Daar hebben we niet de controle over, omdat ieder antivirusbedrijf een andere intuïtie heeft.”
Sophos traint Intercept X met data uit zijn eigen Sophos Labs in combinatie met telemetriegegevens van gebruikers. Paul benadrukt dat een goede leerkracht belangrijk is om de juiste leerstof te begrijpen. Daarom dat we het helemaal in huis ontwikkelen en voeden, zodat het in de juiste richting evolueert.