Strategieën voor het beschermen van bestanden van overheidsinstanties tegen ransomware

In de nasleep van ransomware-aanvallen worden overheidsinstanties voortdurend bedreigd. Verouderde mechanismen voor externe toegang, zoals VPN, zijn niet langer voldoende om bestanden te beschermen tegen versleuteling, diefstal, datalekken en ransomware.

Het migreren van bestanden naar cloudservices als alternatief is een gecompliceerde, uitdagende onderneming die misschien geen haalbare optie is voor overheden met strikte wettelijke vereisten en budgettaire beperkingen. VPN- en Remote Desktop-technologieën zijn niet langer voldoende om bestandsshares van de overheid afdoende te beschermen als ze niet goed worden beheerd.

In dit artikel bespreken we de verschillende alternatieven om op afstand veilig verbinding te maken met bestandsshares en ze tegelijkertijd te beschermen tegen ransomware.

VPN voor externe toegang tot bestanden

Met steeds meer werknemers die op afstand werken VPN Beveiliging is een grote zorg. Overheidsinstanties gebruiken van oudsher Virtual Private Network (VPN)-technologie om deze externe connectiviteit mogelijk te maken, maar vanwege veiligheidsoverwegingen moeten bedrijven gebruikmaken van nieuwe manieren om veilige externe toegang tot het delen van bestanden mogelijk te maken door VPN-alternatieven te bekijken. Het nieuws staat bol van de dagelijkse verhalen van bedrijven die worden blootgesteld aan steeds grotere veiligheidsrisico's. Bijvoorbeeld de Krebsonbeveiliging blog geeft een overzicht van talloze meldingen van ransomware die overheden en instellingen afsluit.

Het probleem met het gebruik van VPN-software om verbinding te maken met werkbronnen, is dat eindgebruikers een open tunnel creëren tussen hun thuis- en bedrijfsnetwerken. Deze methode biedt volledige externe toegang tot het volledige werknetwerk van buiten het kantoor, waarbij de meeste firewallregels worden omzeild (de VPN-verbinding wordt technisch geïnitieerd vanuit het werk-LAN). In de meeste gevallen is het volledige interne overheidsnetwerk toegankelijk voor de externe medewerker, waardoor alle servers en desktops zichtbaar zijn in plaats van alleen de benodigde resources. Dit biedt malware zijdelingse toegang tot talloze netwerkpoorten in het netwerk.

De US Cybersecurity & infrastructuur Beveiligingsagentschap merkt op "Bedreigingsactoren gebruiken SMB om malware door organisaties te verspreiden... Blokkeer alle versies van SMB zodat ze niet extern toegankelijk zijn voor uw netwerk door TCP-poort 445 te blokkeren met gerelateerde protocollen op User Datagram Protocol-poorten 137-138 en TCP-poort 139."

In dit scenario kan elke beveiligingskwetsbaarheid of malware die aanwezig is op de computer en het netwerk van de externe werknemer het werknetwerk infecteren voor de duur van de VPN-verbinding. Dit omvat ransomware. Als de externe pc bijvoorbeeld is geïnfecteerd met malware of een virus, kan deze zich via de VPN naar het bedrijfsnetwerk verspreiden en de firewalls op het werk omzeilen. Als de pc op afstand wordt gehackt, kan deze bovendien worden gebruikt als een kanaal rechtstreeks naar het kantoor-LAN, waar hackers beveiligingsproblemen kunnen misbruiken om ongeautoriseerde systeemtoegang te krijgen.

Het implementeren van veilige externe VPN-toegang tot bestanden in de huidige risicovolle omgeving is een complex en kostbaar alternatief voor onderhoud en ondersteuning.

Idealiter zou VPN-toegang moeten worden geëlimineerd ten gunste van zero trust-technologieën die alleen de toegang bieden die gebruikers nodig hebben - en niets meer.

Migratie naar cloud/synchronisatie en delen

Het migreren van organisaties naar cloudgebaseerde oplossingen als een manier om bestanden te beveiligen voor toegang op afstand, zoals SharePoint, is een ingewikkelde, uitdagende onderneming. Het migreren van bestandsshares naar cloudservices omvat maanden van planning om gegevens te sorteren en te identificeren om te verplaatsen van een pool van bestandsshares die jaren, zo niet decennia kunnen teruggaan. Bijvoorbeeld; Om bestanden naar SharePoint te migreren, moeten bestanden worden geconverteerd om tekens te verwijderen die niet zijn toegestaan in SharePoint (~ ” # % & * : < > ? / \ { | }.) en toegewezen aan SharePoint-bibliotheken om binnen de SharePoint-opslaglimieten te blijven met behulp van gespecialiseerde tools die moet tegen meerprijs worden aangeschaft. Als voorbeeld hebben we geïdentificeerd De top 5 SharePoint-migratiekosten voor ondernemingen om te overwegen.

Het internet staat vol met verhalen over misgelopen SharePoint- en cloudmigraties indien niet uitgevoerd met zorgvuldige planning en due diligence. De migratie is gecompliceerder bij het migreren van organisaties met zeer gevoelige gegevens, zoals overheidsinstanties, met tal van overheids- en nalevingsvoorschriften. Overheden zullen deze verborgen ontwikkel-, sourcing- en implementatiekosten moeten budgetteren wanneer ze SharePoint met andere vergelijken zakelijke bestanden delen oplossingen.

Voor overheden die zich zorgen maken over de migratie van gegevenssoevereiniteit naar een cloudopslagprovider met eigen bestandsindelingen en vendor lock-in, kan het logischer zijn om ze te migreren naar AWS of Azure-bestandsshares waar NTFS-machtigingen en bestandsnamen behouden kunnen blijven en waar opslaglimieten en vendor lock-in geen probleem zijn. Het simpelweg migreren van gedeelde bestanden naar de cloud zal ze echter niet beschermen tegen ransomware of gegevensdiefstal en -verlies.

Hoewel leveranciers hulpmiddelen bieden om bestanden naar hun cloudopslagplatform te migreren, gaan alle metadata na migratie verloren, waardoor het complex of onuitvoerbaar wordt om bestanden terug te exporteren naar File Shares of andere systemen. Organisaties zullen goed willen nadenken over de implicaties van het verplaatsen van bestanden naar op de cloud gebaseerde eigen platforms, aangezien ze kunnen ontdekken dat als ze om welke reden dan ook naar een andere service willen verhuizen, de toekomstige kosten van migratiebestandsshares veel hoger zullen zijn dan de kosten op korte termijn. besparingen.

Extern bureaublad/RDS

RDP is een extra alternatief dat overheidsinstanties gebruiken om externe toegang tot systemen en bestandsshares te bieden. Volgens het laatste rapport van Coveware, was bijna 50% van de ransomware-exploits het gevolg van beveiligingsproblemen rond inbreuken op de infrastructuur van Remote Desktop Services (RDS). Uit het rapport bleek dat in “Q1 2021, gecompromitteerde remote desktop-protocolverbindingen de toppositie herwonnen als de meest voorkomende aanvalsvector. “

RDP blijft een frustrerend veelvoorkomend beveiligingslek, ondanks pogingen om het te beveiligen met best practices op het gebied van beveiliging, waaronder:

RDP-kwetsbaarheden patchen

Terwijl RDP werkt op een gecodeerd kanaal op servers is er een kwetsbaarheid in de coderingsmethode in eerdere versies van RDP, waardoor het een favoriete gateway is van hackers. Microsoft schat dat bijna 1 miljoen apparaten momenteel kwetsbaar zijn voor externe desktopbeveiligingsrisico's. Het bedrijf gaf een legacy-patch vanwege de verouderde platforms, waaronder Windows XP, Windows Server 2008, Windows 2003 en Windows 2007. (Voor deze oudere platforms staat RDP bekend als terminalservices.)

Patchen is een belangrijke manier om de RDP-beveiliging te verbeteren, maar het moet consistent en tijdig worden uitgevoerd om zero-day exploits van ransomware te voorkomen.

Toegang tot poort 3389 . blokkeren

Best-practice-protocol om blootstelling aan RDP-beveiligingsproblemen te voorkomen, begint met het maken van een beleid om eindpunten af te handelen en ervoor te zorgen dat de poort niet toegankelijk is voor internet. Een proactieve benadering kan u helpen zich te concentreren op het voorkomen van initiële toegang door: het minimaliseren van RDP-beveiligingsrisico's.

Beperk RDP-gebruikers

U kunt beperken wie via RDP kan inloggen en wie een gebruikersaccount kan toevoegen aan of verwijderen uit de groep Remote Desktop Users.

Gebruik een Virtual Private Network voordat u zich aanmeldt bij RDP

Wanneer u een Virtueel particulier netwerk (VPN) verbinding, voegt u een extra laag RDP-beveiliging toe aan uw systeem. De VPN zorgt ervoor dat voordat een RDP-verbinding met uw servers kan worden gemaakt, er een verbinding tot stand moet worden gebracht met het beveiligde privénetwerk, dat versleuteld is en buiten uw interne systemen wordt gehost. Hoewel VPN's enige verbetering bieden ten opzichte van directe toegang tot RDS, beschermen ze de bestandsshares niet zodra gebruikers zelf toegang krijgen tot interne netwerken, mocht een gebruiker een phishing-e-mail openen en malware uitvoeren.

Een extern bureaublad-gateway gebruiken

Een RDP/RDS-gateway (in combinatie met een VPN) verbetert de controle door alle externe gebruikerstoegang tot uw systeem te verwijderen en te vervangen door een point-to-point remote desktop-verbinding. Gebruikers moeten eerst inloggen op een gateway voordat ze verbinding maken met back-endservices. Deze gateway kan verder worden verbeterd om twee-factor-authenticatie te vereisen om blootstelling verder te beperken en risico's te verminderen.

Het beperken van blootstelling met behulp van deze methoden kan aanvullende bescherming bieden tegen ransomware-aanvallen op bestandsshares op afstand, maar heeft geen betrekking op de toegangsbeveiligingen voor bestandsshares zodra de gebruiker zich binnen het netwerk bevindt. Overheden zullen extra blokkeringen in het netwerk willen implementeren om SMB-toegang tot TCP-poort 445 en laterale netwerktoegang te beperken om te voorkomen dat ransomware-aanvallen interne bestandsshares en systemen infecteren.

Zero Trust File Share-toegang

Volgens Gartner, tegen 2023 zal 60% van ondernemingen de meeste van hun VPN-oplossingen voor externe toegang geleidelijk uitfaseren ten gunste van Zero Trust Network Access (ZTNA). Beveiliging kan niet worden gegarandeerd door VPN's, aangezien open netwerkpoorten kunnen worden gecompromitteerd en misbruikt. Met VPN kunnen hackers toegang krijgen tot interne bedrijfsnetwerken waar veel ondernemingen kwetsbaar zijn voor versleuteling door ransomware en andere zakelijke aanvallen die een einde maken aan catastrofale aanvallen. Wat langzaamaan realiteit werd om zich aan te passen aan het nieuwe Zero Trust-landschap, is dramatisch toegenomen sinds de pandemie toesloeg - met externe werknemers die een logistieke nachtmerrie veroorzaakten voor IT-afdelingen over de hele wereld. Netwerkbeveiliging en externe toegang tot het delen van bestanden is een essentieel onderdeel van de overheid, evenals gegevensintegriteit en -beheer.

Als ZTNA de gouden standaard wordt in netwerkbeveiliging, wat is er dan nodig om dat beveiligingsniveau te bieden en een heiligdom van bestandsshares te creëren die zijn beschermd tegen bedreigingen zonder de bank te breken en kostbare tijd te verspillen met gegevensmigraties naar een ander cloudgebaseerd platform?

Een voorbeeld van Zero Trust voor Secure Remote File Share Access is MyWorkDrive. MyWorkDrive biedt Zero Trust Veilige externe toegang tot bestanden en bestandsshares zonder VPN's te gebruiken, bestanden naar cloudservices te migreren of een complexe Remote Desktop-infrastructuur te onderhouden.

Overheidsmedewerkers hebben overal en altijd op afstand toegang tot bestanden en gedeelde bestanden.

In tegenstelling tot Sync & Share kan MyWorkDrive exclusief en native worden geïntegreerd in een bestaande Windows File Share-infrastructuur zonder bestanden te migreren of afhankelijk te zijn van een leverancier.

MyWorkDrive biedt toegang via https zonder externe toegang tot interne netwerkpoorten of servers. Toegangsmethoden zijn onder meer:

Web Bestandsbeheer

Krijg op afstand toegang tot uw bestandsshares met behulp van een webbrowser met een Webgebaseerd bestandsbeheer. De MyWorkDrive Web File Manager is de meest elegante en gebruiksvriendelijke in de branche boordevol functies die gebruikers nodig hebben en hoeft niets te installeren. Gebruikers kunnen bestanden openen, bekijken, bewerken en eraan samenwerken zonder apparaten te beheren en zonder het risico interne netwerken of bestandsshares bloot te stellen aan ransomware met behulp van een beveiligde webbrowsersessie.

Toegewezen netwerkschijf

Maak op afstand verbinding met uw bestanden met behulp van de MyWorkDrive Toegewezen Drive-client waarmee gebruikers overal veilig een schijf kunnen toewijzen aan hun werkbestanden zonder synchronisatie of VPN. Schakel optioneel twee-factor-authenticatie en SAML/SSO in voor extra beveiliging en naleving.

Met MyWorkDrive kunt u ook drive-letters voor elke share uitsturen, passend bij uw interne gebruikerservaring. Gebruikers loggen gewoon in op uw MyWorkDrive-website-URL met hun bestaande Active Directory-referenties of SSO-login. Alle op het netwerk toegewezen stations worden automatisch weergegeven. Met MyWorkDrive kunnen overheidsmedewerkers veilig vanuit huis werken met een in kaart gebrachte netwerkschijfervaring zonder de ondersteuning of beveiligingsproblemen van VPN of Remote Desktop.

Mapped Drive Client voegt extra beveiligings- en beschermingsopties op toepassingsniveau toe die niet beschikbaar zijn met traditionele toegewezen netwerkstations via VPN.

• Drive Letters gepusht van Server die gespiegelde stationsletters gebruikt op kantoor.
• Bestandstype blokkeren
• Tweefactorauthenticatie
• SAML/eenmalige aanmelding.
• Data Leak Prevention-weergave van bestanden met download-/kopieer-/afdrukbeperkingen.
• Gedetailleerde machtigingen.
• Active Directory NTFS-machtigingen standaard beveiligd.
• Interface voor het uploaden van bulkbestanden.
• Open Office-documenten online zonder dat lokale Office-apps zijn geïnstalleerd.
• Maakt verbinding via https-poort 443 in plaats van SMB-poort 445 die doorgaans wordt geblokkeerd door ISP's.
• DLP-beveiligde toegewezen netwerkstations

Bekijk en bewerk bestanden online rechtstreeks vanuit de toegewezen schijfclient.

Deze functie elimineert de trainingsvereisten voor eindgebruikers en de noodzaak om in te loggen vanaf de webclient door gebruik te maken van een native weergave van bestanden en mappen in zowel Windows Verkenner, terwijl ook DLP-beveiligingsfuncties worden toegevoegd om gevoelige gegevens te beschermen.

Met MyWorkDrive kunt u eenvoudig het downloaden van bestanden en mappen voorkomen, terwijl bestanden en mappen nog steeds worden weergegeven in een traditionele clientinterface met toegewezen schijf. Bekijk of bewerk bestanden online terwijl u het downloaden, klembord, afdrukken, uploaden of hernoemen van bestanden blokkeert. Watermerken en gebruikersgegevens weergegeven en vastgelegd op alle bekeken bestanden. Beveiliging en compliance van gegevens is van het grootste belang voor zowel de publieke als de private sector. Voldoet aan de nieuwe CMMC-vereisten, evenals aan NIST, FedRamp, HIIPA, Fina en GDPR.