Strategieën voor het beschermen van bestanden van overheidsinstanties tegen ransomware
In de nasleep van ransomware-aanvallen worden overheidsinstanties voortdurend bedreigd. Oude mechanismen voor externe toegang zoals VPN zijn niet langer voldoende om bestanden te beschermen tegen encryptie, diefstal, datalekken en ransomware.
Bestanden migreren naar cloudservices als alternatief is een gecompliceerde, uitdagende onderneming die misschien geen haalbare optie is voor overheden met strikte wettelijke vereisten en budgetbeperkingen. VPN- en Remote Desktop-technologieën zijn niet langer voldoende om bestandsshares van de overheid adequaat te beschermen als ze niet goed worden beheerd.
In dit artikel bespreken we de verschillende alternatieven om op afstand veilig verbinding te maken met bestandsshares en ze tegelijkertijd te beschermen tegen ransomware.
VPN voor externe toegang tot bestanden
Nu steeds meer werknemers op afstand werken VPN-beveiliging is een grote zorg. Overheidsinstanties hebben traditioneel VPN-technologie (Virtual Private Network) gebruikt om deze externe connectiviteit mogelijk te maken, maar beveiligingsproblemen vereisen dat bedrijven nieuwe manieren gebruiken om veilige toegang op afstand voor het delen van bestanden mogelijk te maken door VPN-alternatieven te bekijken. Het nieuws staat bol van de dagelijkse verhalen van bedrijven die blootstaan aan steeds grotere veiligheidsrisico's. Bijvoorbeeld de Krebsonbeveiliging blog geeft een overzicht van talloze meldingen van ransomware die overheden en instellingen afsluit.
Het probleem met het gebruik van VPN-software om verbinding te maken met werkbronnen is dat eindgebruikers een open tunnel creëren tussen hun thuis- en bedrijfsnetwerken. Deze methode biedt volledige externe toegang tot het gehele werknetwerk van buiten het kantoor, waarbij de meeste firewallregels worden omzeild (de VPN-verbinding wordt technisch gestart vanuit het werk-LAN). In de meeste gevallen is het volledige interne overheidsnetwerk toegankelijk voor de externe werknemer, waardoor alle servers en desktops worden vrijgemaakt in plaats van alleen de benodigde middelen. Dit biedt malware laterale toegang tot tal van netwerkpoorten in het netwerk.
De Opmerkingen van het Amerikaanse Cybersecurity & Infrastructure Security Agency "Bedreigingsactoren gebruiken SMB om malware door organisaties te verspreiden... Blokkeer alle versies van SMB zodat ze niet extern toegankelijk zijn voor uw netwerk door TCP-poort 445 te blokkeren met gerelateerde protocollen op User Datagram Protocol-poorten 137-138 en TCP-poort 139."
In dit scenario kan elke beveiligingskwetsbaarheid of malware die aanwezig is op de computer en het netwerk van de externe werknemer het werknetwerk infecteren voor de duur van de VPN-verbinding. Dit omvat ransomware. Als de externe pc bijvoorbeeld is geïnfecteerd met malware of een virus, kan deze zich via het VPN naar het bedrijfsnetwerk verspreiden en de firewallbeveiliging van het werk omzeilen. Als de externe pc bovendien wordt gecompromitteerd, kan deze worden gebruikt als een rechtstreekse doorgang naar het kantoor-LAN, waar hackers beveiligingsproblemen kunnen misbruiken om ongeautoriseerde toegang tot het systeem te krijgen.
Het implementeren van veilige externe VPN-toegang tot bestanden in de huidige risicovolle omgeving is een complex en kostbaar alternatief voor onderhoud en ondersteuning.
Idealiter zou VPN-toegang moeten worden geëlimineerd ten gunste van zero trust-technologieën die alleen de toegang bieden die gebruikers nodig hebben - en niets meer.
Cloud/Sync & Share Migratie
Het migreren van organisaties naar cloudgebaseerde oplossingen als een manier om bestanden te beveiligen voor externe toegang, zoals SharePoint, is een gecompliceerde, uitdagende onderneming. Het migreren van bestandsshares naar cloudservices vereist maandenlange planning om gegevens te sorteren en te identificeren om ze te verplaatsen van een pool van bestandsshares die jaren, zo niet tientallen jaren terug kan gaan. Bijvoorbeeld; Om bestanden naar SharePoint te migreren, moeten Bestanden worden geconverteerd om tekens te verwijderen die niet zijn toegestaan in SharePoint (~ ” # % & * : < > ? / \ { | }.) en toegewezen aan SharePoint-bibliotheken om binnen de SharePoint-opslaglimieten te blijven met behulp van gespecialiseerde tools die tegen een meerprijs moeten worden aangeschaft. Als voorbeeld identificeerden we: De top 5 SharePoint-migratiekosten voor ondernemingen om te overwegen.
Het internet staat vol met verhalen over misgelopen SharePoint- en cloudmigraties wanneer niet uitgevoerd met zorgvuldige planning en due diligence. De migratie is ingewikkelder bij het migreren van organisaties met zeer gevoelige gegevens, zoals overheidsinstanties, met een groot aantal overheids- en nalevingsvoorschriften. Overheden zullen moeten budgetteren voor deze verborgen kosten voor ontwikkeling, sourcing en implementatie bij het vergelijken van SharePoint met andere enterprise-oplossingen voor het delen van bestanden.
Voor overheden die zich zorgen maken over de migratie van gegevenssoevereiniteit naar een cloudopslagprovider met eigen bestandsindelingen en vendor lock-in, kan het logischer zijn om ze te migreren naar AWS of Azure-bestandsshares waar NTFS-machtigingen en bestandsnamen kunnen worden behouden en waar opslaglimieten en vendor lock-in geen probleem zijn. Het simpelweg migreren van gedeelde bestanden naar de cloud zal ze echter niet beschermen tegen ransomware of gegevensdiefstal en -verlies.
Hoewel leveranciers tools bieden om bestanden naar hun cloudopslagplatform te migreren, gaan na de migratie alle metadata verloren, waardoor het complex of onpraktisch wordt om bestanden terug te exporteren naar File Shares of andere systemen. Organisaties zullen goed willen nadenken over de implicaties van het verplaatsen van bestanden naar op de cloud gebaseerde propriëtaire platforms, aangezien ze kunnen ontdekken dat als ze om welke reden dan ook naar een andere service willen overstappen, de toekomstige kosten van het delen van migratiebestanden veel groter zullen zijn dan de kortetermijnkosten besparingen.
Extern bureaublad/RDS
RDP is een extra alternatief dat overheidsinstanties gebruiken om externe toegang tot systemen en bestandsshares te bieden. Volgens het laatste rapport van Coveware, waren bijna 50% aan ransomware-exploits het gevolg van beveiligingsproblemen rond inbreuken op de Remote Desktop Services (RDS)-infrastructuur. Uit het rapport bleek dat in het eerste kwartaal van 2021 gecompromitteerde externe desktopprotocolverbindingen de toppositie heroverden als de meest voorkomende aanvalsvector. “
RDP blijft een frustrerend veelvoorkomend beveiligingslek, ondanks pogingen om het te beveiligen met best practices op het gebied van beveiliging, waaronder:
RDP-kwetsbaarheden patchen
Terwijl RDP werkt op een gecodeerd kanaal op servers is er een kwetsbaarheid in de coderingsmethode in eerdere versies van RDP, waardoor het een favoriete gateway is van hackers. Microsoft schat dat bijna 1 miljoen apparaten momenteel kwetsbaar zijn voor externe desktopbeveiligingsrisico's. Het bedrijf gaf een legacy-patch vanwege de verouderde platforms, waaronder Windows XP, Windows Server 2008, Windows 2003 en Windows 2007. (Voor deze oudere platforms staat RDP bekend als terminalservices.)
Patchen is een belangrijke manier om de RDP-beveiliging te verbeteren, maar het moet consistent en tijdig worden uitgevoerd om zero-day exploits van ransomware te voorkomen.
Toegang tot poort 3389 . blokkeren
Best-practice-protocol om blootstelling aan RDP-beveiligingsproblemen te voorkomen, begint met het maken van een beleid om eindpunten af te handelen en ervoor te zorgen dat de poort niet toegankelijk is voor internet. Een proactieve benadering kan u helpen zich te concentreren op het voorkomen van initiële toegang door: het minimaliseren van RDP-beveiligingsrisico's.
Beperk RDP-gebruikers
U kunt beperken wie via RDP kan inloggen en wie een gebruikersaccount kan toevoegen aan of verwijderen uit de groep Remote Desktop Users.
Gebruik een Virtual Private Network voordat u zich aanmeldt bij RDP
Wanneer u een Virtueel particulier netwerk (VPN) verbinding, voegt u een extra laag RDP-beveiliging toe aan uw systeem. De VPN zorgt ervoor dat voordat een RDP-verbinding met uw servers kan worden gemaakt, er een verbinding tot stand moet worden gebracht met het beveiligde privénetwerk, dat versleuteld is en buiten uw interne systemen wordt gehost. Hoewel VPN's enige verbetering bieden ten opzichte van directe toegang tot RDS, beschermen ze de bestandsshares niet zodra gebruikers zelf toegang krijgen tot interne netwerken, mocht een gebruiker een phishing-e-mail openen en malware uitvoeren.
Een extern bureaublad-gateway gebruiken
Een RDP/RDS-gateway (in combinatie met een VPN) verbetert de controle door alle externe gebruikerstoegang tot uw systeem te verwijderen en te vervangen door een point-to-point remote desktop-verbinding. Gebruikers loggen eerst in op een gateway voordat ze verbinding maken met back-endservices. Deze gateway kan verder worden verbeterd om Two Factor Authentication te vereisen om de blootstelling verder te beperken en risico's te beperken.
Het beperken van de blootstelling met deze methoden kan extra bescherming bieden tegen ransomware-aanvallen op het delen van bestanden op afstand, maar de bescherming van de toegang tot het delen van bestanden wordt niet aangepakt zodra de gebruiker zich in het netwerk bevindt. Overheden zullen aanvullende vergrendelingen binnen het netwerk willen implementeren om SMB-toegang tot TCP-poort 445 en laterale netwerktoegang te beperken om te voorkomen dat ransomware-aanvallen interne bestandsshares en systemen infecteren.
Zero Trust File Share-toegang
Volgens Gartner, tegen 2023 zal 60% van ondernemingen de meeste van hun VPN-oplossingen voor externe toegang geleidelijk uitfaseren ten gunste van Zero Trust Network Access (ZTNA). Beveiliging kan niet worden gegarandeerd door VPN's, omdat open netwerkpoorten kunnen worden gecompromitteerd en misbruikt. Met VPN kunnen hackers toegang krijgen tot interne bedrijfsnetwerken waar veel ondernemingen kwetsbaar zijn voor ransomware-encryptie en andere catastrofale aanvallen die het bedrijf beëindigen. Wat langzaamaan realiteit werd om zich aan te passen aan het nieuwe Zero Trust-landschap, is dramatisch toegenomen sinds de pandemie toesloeg - met externe werknemers die een logistieke nachtmerrie creëerden voor IT-afdelingen over de hele wereld. Netwerkbeveiliging en externe toegang tot het delen van bestanden is een essentieel onderdeel van de overheid, evenals gegevensintegriteit en -beheer.
Als ZTNA de gouden standaard wordt in netwerkbeveiliging, wat is er dan nodig om dat beveiligingsniveau te bieden en een heiligdom van bestandsshares te creëren die zijn beschermd tegen bedreigingen zonder de bank te breken en kostbare tijd te verspillen met gegevensmigraties naar een ander cloudgebaseerd platform?
Een voorbeeld van Zero Trust voor Secure Remote File Share Access is MyWorkDrive. MyWorkDrive biedt Zero Trust Secure externe toegang tot bestanden en bestandsshares zonder dat u VPN's hoeft te gebruiken, bestanden naar cloudservices hoeft te migreren of een complexe Remote Desktop Infrastructure hoeft te onderhouden.
Overheidsmedewerkers hebben overal en altijd op afstand toegang tot bestanden en gedeelde bestanden.
In tegenstelling tot Sync & Share, integreert MyWorkDrive exclusief en native in een bestaande Windows File Share-infrastructuur zonder bestanden te migreren of vendor lock-in.
MyWorkDrive biedt toegang via https zonder externe toegang tot interne netwerkpoorten of servers. Toegangsmethoden zijn onder meer:
Web Bestandsbeheer
Krijg op afstand toegang tot uw bestandsshares met behulp van een webbrowser met een Webgebaseerd bestandsbeheer. De MyWorkDrive Web File Manager is de meest elegante en gebruiksvriendelijke in de branche, boordevol functies die gebruikers nodig hebben zonder dat ze hoeven te installeren. Gebruikers kunnen bestanden openen, bekijken, bewerken en eraan samenwerken zonder apparaten om te beheren en zonder het risico dat interne netwerken of bestandsshares worden blootgesteld aan ransomware met behulp van een veilige webbrowsersessie.
Toegewezen netwerkschijf
Maak op afstand verbinding met uw bestanden met behulp van de MyWorkDrive Toegewezen Drive-client waarmee gebruikers overal veilig een schijf aan hun werkbestanden kunnen toewijzen zonder synchronisatie of VPN. Schakel optioneel Two Factor Authentication en SAML/SSO in voor extra beveiliging en compliance.
MyWorkDrive stelt u ook in staat om drive-letters voor elke share uit te drukken, passend bij uw interne gebruikerservaring. Gebruikers loggen eenvoudig in op uw MyWorkDrive-website-URL met hun bestaande Active Directory-inloggegevens of SSO-aanmelding. Alle aan het netwerk toegewezen stations worden automatisch weergegeven. Met MyWorkDrive kan overheidspersoneel veilig vanuit huis werken met een in kaart gebrachte netwerkschijfervaring zonder de ondersteuning of beveiligingsproblemen van VPN of Remote Desktop.
Mapped Drive Client voegt extra beveiligings- en beschermingsopties op toepassingsniveau toe die niet beschikbaar zijn met traditionele toegewezen netwerkstations via VPN.
- Drive Letters gepusht van Server die gespiegelde stationsletters gebruikt op kantoor.
- Bestandstype blokkeren
- Tweefactorauthenticatie
- SAML/eenmalige aanmelding.
- Data Leak Prevention-weergave van bestanden met download-/kopieer-/afdrukbeperkingen.
- Gedetailleerde machtigingen.
- Active Directory NTFS-machtigingen standaard beveiligd.
- Interface voor het uploaden van bulkbestanden.
- Open Office-documenten online zonder dat lokale Office-apps zijn geïnstalleerd.
- Maakt verbinding via https-poort 443 in plaats van SMB-poort 445 die doorgaans wordt geblokkeerd door ISP's.
- DLP-beveiligde toegewezen netwerkstations
Bekijk en bewerk bestanden online rechtstreeks vanuit de toegewezen schijfclient.
Deze functie elimineert de trainingsvereisten voor eindgebruikers en de noodzaak om in te loggen vanaf de webclient door gebruik te maken van een native weergave van bestanden en mappen in zowel Windows Verkenner, terwijl ook DLP-beveiligingsfuncties worden toegevoegd om gevoelige gegevens te beschermen.
Met MyWorkDrive kunt u eenvoudig het downloaden van bestanden en mappen voorkomen terwijl bestanden en mappen nog steeds worden weergegeven in een traditionele toegewezen schijfclientinterface. Bekijk of bewerk bestanden online terwijl het downloaden, klembord, afdrukken, uploaden of hernoemen van bestanden wordt geblokkeerd. Watermerken en gebruikersgegevens weergegeven en ingelogd op alle bekeken bestanden. Beveiliging en naleving van gegevens is van het grootste belang voor zowel de publieke als de private sector. Voldoet aan de nieuwe CMMC-vereisten, evenals aan NIST, FedRamp, HIIPA, Fina en AVG.