Ransomware: detectie, respons, preventie

De impact van een ransomware infectie en de gevolgen daarvan

• The bigger picture: de evolutie van malware, kenmerken en detectie
• Ransomware, business impact en business continuiteit
• Wat betekent het als uw organisatie geransomwared wordt? Wat als het primaire proces stil valt?
• Hoe kan ik de organisatie in de lucht houden zonder IT, wat is daarvoor nodig?
• Wat zijn financiële en organisatorische consequenties?

Beleid en strategie in het kader van ransomware

• Risicobereidheid en security volwassenheid van uw organisatie
• Hoe krijgt u draagvlak bij bestuur en management?
• Hoe krijgt u voldoende middelen en budget?
• Beleid en strategie bij detectie
• Beleid en strategie bij incident response
• Beleid en strategie bij preventie

De anatomie van een ransomware aanval of infectie

• Hoe werkt een aanval of infectie?
• Wat zijn overwegingen en handelingsperspectieven van aanvallers?
• Forensisch onderzoek: hoe brengt u in kaart met wie u te maken heeft en waar ze naar op zoek zijn?
• Malware analyse: hoe groot is het probleem, wat is de impact en wat zijn consequenties?
• Incident- en crisismanagement: hoe ziet een responsteam eruit, hoe liggen verantwoordelijkheden?
• Het opschalen van crisismanagement: wat doet u intern, wat laat u extern afhandelen?
• Eerste herstelacties na het ontdekken van het incident
• Hoe komt u tot een juiste herstelstrategie, wat zijn afwegingen hierbij?

Praktijkcase: ransomware bij getroffen organisaties (bv Hof van Twente, Universiteit Maastricht, VKB Media groep), lessons learned. Wat heeft de organisatie gedaan om de calamiteiten onder controle te krijgen, wat is er wezenlijk veranderd in de organisatie?

Evaluatie en afsluiting

Zelf aan de slag: U gaat een ransomware aanval oefenen. U bent crisiscoördinator of onderdeel van het crisisteam, die incident respons moet opzetten, organiseren en de aanval tot een goed einde moet brengen. Na afloop evalueert u genomen stappen en bespreekt u acties, uitdagingen en oplossingen rond de aanval.

– Simulatie ransomware aanval oefenen
– Invulling van crisisteam, verdeling van rollen en verantwoordelijkheden
– Acties, stappen
– Evalueren en analyseren
– Inzicht krijgen in uitdagingen rond ransomware aanval

Communicatie rond een ransomware-aanval: interne vs externe communicatie

• Hoe moet u communiceren? Kanalen en middelen
• Wat is belangrijk bij interne communicatie?
• Wanneer moet u contact opnemen met betrokkenen en stakeholders?
• Het informeren van betrokken en/of stakeholders via niet versleutelde informatiepunten
• Omgang met de media: wat is belangrijk bij externe communicatie?

Procedures bij een beperkte infectie – netwerkbrede infectie

• Controle op meldplicht bij toezichthouders, opdrachtgevers en stakeholders
• Samenwerking met hackers, belangrijkste stakeholders, toezichthouders, NCSC, Politie
• Hoe beperkt u de impact van een ransomware-aanval, wat zijn issues en oplossingen?
• Omgang en betalen van het losgeld, ethische dilemma’s: hoe gaat u daarmee om?
• Wat als u als organisatie niet de luxe heeft om losgeld te betalen?
• Wat is belangrijk bij het contact met cybercriminelen?
• Wat zijn uitwijkprocedures als reguliere systemen, applicaties, kanalen niet meer toegankelijk zijn?
• Het verzekeren van een ransomware-aanval, hacks

Praktijkcase: verhoogde digitale veiligheid en voorbereiding op ransomware bij CarNext.com. Welke keuzes worden hierbij gemaakt en welke maatregelen zorgen voor optimale weerbaarheid? 

Evaluatie en afsluiting

Zelf aan de slag: U gaat een incident responsplan voor tijdens een aanval of herstel daarvan maken (of eigen responsplan aanscherpen). In een template vult u met een groepje cursisten de stakeholders, acties en stappen in tot een goed doordacht draaiboek. Dit plan verdedigt u naar de groep en evalueert u aanpak en invulling. Hiervoor wordt uw incident responsplan verder aangescherpt en verbeterd.

– Incident responsplan maken gericht op ransomware
– Verdediging van incident responsplan naar de groep
– Evaluatie en aanscherping van uw eigen plan

Herstel van een aanval en maatregelen tegen kwetsbaarheden in het netwerk of IT-infrastructuur

• Bescherming tegen phishing, van administrator accounts met hoge toegangsrechten & back ups
• Organiseren van vulnerability management, patch management, netwerk segmentering
• Secure configuration van systemen en applicaties
• Gebruik van een SOC, SIEM, CERT, afwegingen en keuzes hierbij
• Factoren voor een succesvol werkend SOC, SIEM en CERT
• Afspraken met uw cloudprovider en controls
• De rol van een goede inkoop(strategie) van bv SAAS-oplossingen

Richtlijnen voor herstel of preventief beleid en het gebruik van back ups

• End point protection vs next generation protection
• Limiteer de toegang tot gegevens en filesystemen
• Aan welke voorwaarden moeten back ups voldoen?
• Hoe relevant zijn back ups voor uw business processen?
• Wanneer zijn back ups hersteld, vrij van infectie: hoe controleert u dat?
• Hoe voorkomt u vanuit een restore een herbesmetting of een besmetting met nu pas bekende malware?
• Guidelines en het opzetten van herstel of preventief beleid
• Aanscherping van incident management processen

Bewustwording en opvoeden van de organisatie

• Hoe creëert u de gewenste cultuurverandering?
• Hoe behoudt u draagvlak bij het bestuur en management?
• Hoe krijgt en houdt u het security bewustzijn van de organisatie op een juist niveau?
• Hoe gaat u om met weerstand in de organisatie? Tips & tricks

Evaluatie en afsluiting

De impact van een ransomware infectie en de gevolgen daarvan

• The bigger picture: de evolutie van malware, kenmerken en detectie
• Ransomware, business impact en business continuiteit
• Wat betekent het als uw organisatie geransomwared wordt? Wat als het primaire proces stil valt?
• Hoe kan ik de organisatie in de lucht houden zonder IT, wat is daarvoor nodig?
• Wat zijn financiële en organisatorische consequenties?

Beleid en strategie in het kader van ransomware

• Risicobereidheid en security volwassenheid van uw organisatie
• Hoe krijgt u draagvlak bij bestuur en management?
• Hoe krijgt u voldoende middelen en budget?
• Beleid en strategie bij detectie
• Beleid en strategie bij incident response
• Beleid en strategie bij preventie

De anatomie van een ransomware aanval of infectie

• Hoe werkt een aanval of infectie?
• Wat zijn overwegingen en handelingsperspectieven van aanvallers?
• Forensisch onderzoek: hoe brengt u in kaart met wie u te maken heeft en waar ze naar op zoek zijn?
• Malware analyse: hoe groot is het probleem, wat is de impact en wat zijn consequenties?
• Incident- en crisismanagement: hoe ziet een responsteam eruit, hoe liggen verantwoordelijkheden?
• Het opschalen van crisismanagement: wat doet u intern, wat laat u extern afhandelen?
• Eerste herstelacties na het ontdekken van het incident
• Hoe komt u tot een juiste herstelstrategie, wat zijn afwegingen hierbij?

Praktijkcase: ransomware bij getroffen organisaties (bv Hof van Twente, Universiteit Maastricht, VKB Media groep), lessons learned. Wat heeft de organisatie gedaan om de calamiteiten onder controle te krijgen, wat is er wezenlijk veranderd in de organisatie?

Evaluatie en afsluiting

Zelf aan de slag: U gaat een incident responsplan voor tijdens een aanval of herstel daarvan maken (of eigen responsplan aanscherpen). In een template vult u met een groepje cursisten de stakeholders, acties en stappen in tot een goed doordacht draaiboek. Dit plan verdedigt u naar de groep en evalueert u aanpak en invulling. Hiervoor wordt uw incident responsplan verder aangescherpt en verbeterd.

– Incident responsplan maken gericht op ransomware
– Verdediging van incident responsplan naar de groep
– Evaluatie en aanscherping van uw eigen plan

Herstel van een aanval en maatregelen tegen kwetsbaarheden in het netwerk of IT-infrastructuur

• Bescherming tegen phishing, van administrator accounts met hoge toegangsrechten & back ups
• Organiseren van vulnerability management, patch management, netwerk segmentering
• Secure configuration van systemen en applicaties
• Gebruik van een SOC, SIEM, CERT, afwegingen en keuzes hierbij
• Factoren voor een succesvol werkend SOC, SIEM en CERT
• Afspraken met uw cloudprovider en controls
• De rol van een goede inkoop(strategie) van bv SAAS-oplossingen

Richtlijnen voor herstel of preventief beleid en het gebruik van back ups

• End point protection vs next generation protection
• Limiteer de toegang tot gegevens en filesystemen
• Aan welke voorwaarden moeten back ups voldoen?
• Hoe relevant zijn back ups voor uw business processen?
• Wanneer zijn back ups hersteld, vrij van infectie: hoe controleert u dat?
• Hoe voorkomt u vanuit een restore een herbesmetting of een besmetting met nu pas bekende malware?
• Guidelines en het opzetten van herstel of preventief beleid
• Aanscherping van incident management processen

Bewustwording en opvoeden van de organisatie

• Hoe creëert u de gewenste cultuurverandering?
• Hoe behoudt u draagvlak bij het bestuur en management?
• Hoe krijgt en houdt u het security bewustzijn van de organisatie op een juist niveau?
• Hoe gaat u om met weerstand in de organisatie? Tips & tricks

Evaluatie en afsluiting

Zelf aan de slag: U gaat een ransomware aanval oefenen. U bent crisiscoördinator of onderdeel van het crisisteam, die incident respons moet opzetten, organiseren en de aanval tot een goed einde moet brengen. Na afloop evalueert u genomen stappen en bespreekt u acties, uitdagingen en oplossingen rond de aanval.

– Simulatie ransomware aanval oefenen
– Invulling van crisisteam, verdeling van rollen en verantwoordelijkheden
– Acties, stappen
– Evalueren en analyseren
– Inzicht krijgen in uitdagingen rond ransomware aanval

Communicatie rond een ransomware-aanval: interne vs externe communicatie

• Hoe moet u communiceren? Kanalen en middelen
• Wat is belangrijk bij interne communicatie?
• Wanneer moet u contact opnemen met betrokkenen en stakeholders?
• Het informeren van betrokken en/of stakeholders via niet versleutelde informatiepunten
• Omgang met de media: wat is belangrijk bij externe communicatie?

Procedures bij een beperkte infectie – netwerkbrede infectie

• Controle op meldplicht bij toezichthouders, opdrachtgevers en stakeholders
• Samenwerking met hackers, belangrijkste stakeholders, toezichthouders, NCSC, Politie
• Hoe beperkt u de impact van een ransomware-aanval, wat zijn issues en oplossingen?
• Omgang en betalen van het losgeld, ethische dilemma’s: hoe gaat u daarmee om?
• Wat als u als organisatie niet de luxe heeft om losgeld te betalen?
• Wat is belangrijk bij het contact met cybercriminelen?
• Wat zijn uitwijkprocedures als reguliere systemen, applicaties, kanalen niet meer toegankelijk zijn?
• Het verzekeren van een ransomware-aanval, hacks

Praktijkcase: verhoogde digitale veiligheid en voorbereiding op ransomware bij CarNext.com. Welke keuzes worden hierbij gemaakt en welke maatregelen zorgen voor optimale weerbaarheid? 

Evaluatie en afsluiting