beveiliging

Verdedig jezelf met Office 365 tegen Ransomware

Ransomware is een van de snelst groeiende aanvallen die uitgevoerd worden op zowel bedrijven als consumenten. Dit artikel beschrijft wat het is, wat Office 365 doet om je te beschermen en wat je kunt doen als het via een gebruiker toch je Office 365 omgeving binnen komt.

Wat is het?

Ransomware is software (code) dat een (deel) van de computer in gijzeling neemt (onbruikbaar maakt), welke na betaling van losgeld weer vrij wordt gegeven.
Ransomware bestaat als begrip al sinds 1989, waar de PC Cyborg trojan een personal computer binnendrong, op slot zette en er gevraagd werd om $189 losgeld. Daarna werd het stil.
Maar sinds 2005 is het aan een opmars bezig waar het sinds 2015 een explosieve groei meemaakt. Meer diepgaande info over ransomware in het rapport Evolution of Ransomware

Ransomware verschijnt in 2 soorten; locker & crypto.
Locker: Dit vergrendeld de gehele PC
Crypto: Dit versleutelt bestanden op de PC

De crypto versie vertegenwoordigt minimaal 65% van alle meldingen van ransomware aanvallen. Dit komt omdat het makkelijker en net zo effectief is om data aan te vallen dan een volledig systeem. In dit artikel focussen we ons op deze vorm omdat dit type zich een weg naar Office 365 kan vinden.

Hoe komt de infectie binnen?

De infectie komt op verschillende manieren binnen. Bijvoorbeeld via een hack. Deze vorm is vooral voor criminele hackers die bedrijven/organisaties binnen dringen en vervolgens de ransomware op de het netwerk laden om zo een hoge losgeld prijs te eisen. Hiervan zijn al enkele spraakmakende voorbeelden van in de media verschenen; L.A. Hospital infected by ransomware .

Een andere bekende manier is via SPAM waarbij er getracht wordt om de gebruiker ervan te overtuigen om een bijlage te openen, waarna de ransomware losgelaten wordt op het systeem.

Verder komt de infectie binnen via sites die bestanden/programma’s verspreiden die geïnfecteerd zijn.

Hoe werkt het?

De crypto ransomware voert bij binnenkomst 2 processen uit;

1. Zoeken naar alle bestanden van een of meerdere specifieke type(n). Meestal gaat het op zoek naar alle Office documenten (Word, Excel, PowerPoint) en/of afbeeldingen en/of e-mail berichten.
2. Het past de bestandsextensie aan, vraagt via internet een geheime sleutel op en versleutelt met deze sleutel de bestanden waardoor ze corrupt worden gemaakt.

Hierna start de afpersing. De bekenste versie is Cryptolocker, welke $300 aan bitcoins vraagt.
Wanneer dit betaald wordt en je hebt geluk, dan ontvangt de software via de server een andere sleutel om de bestanden vrij te geven.

50.1.png

Wat doet Microsoft om Office 365 te beschermen?

Microsoft heeft een uitgebreid arsenaal van beveiligingsmethoden om Office 365 te beschermen tegen infectie van virussen e.d.
De belangrijkste;

– Actieve bescherming: constant lopende antivirus/-malware software controleren en beschermen continue de Office 365 servers.

– Pro-actieve bescherming: 2 teams binnen Microsoft houden zich constant bezig met het pro-actief testen van de beveiliging. 1 team valt de servers aan en 1 team moet verdedigen.

– Back-ups: Back-ups zijn de allerbeste bescherming tegen infecties. Mocht het namelijk toch een keer voorkomen, dan kun je snel terug naar de laatste ongeinfecteerde back-up. Microsoft draait constante back-up routines.

– MFA & Password policies: Microsoft dwingt af dat de eigen medewerkers enkel en alleen met gebruik van MFA (Multi-Factor Authentication) en biometrische scans toegang krijgen tot hun werkplek. Daarnaast dwingt Office 365 het gebruik van harde wachtwoorden af van gebruikers en biedt het de mogelijkheid om MFA in te zetten.

– SPAM/Virus filter op Exchange Online: e-mails worden gescanned en bij minimaal gerede twijfel wordt de email tegengehouden. Dit voorkomt dat gebruikers per ongeluk een bijlage binne krijgt welke de eigen omgeving kan infecteren.

– Whitelist: Servers van Office 365 maken gebruik van whitelists. Dit betekent: enkel en alleen opdrachten die op de goedgekeurde lijst voorkomen, mag en zal ik uitvoeren. Alle andere programma’s, services, code wordt automatisch uitgesloten.

– Encryptie: Altijd en overal maakt Microsoft gebruik van sterke encryptie. Alle bestanden en servers zijn versleuteld en maken enkel gebruik van de beveiligde verbindingen waarover enkel versleutelde data verzonden wordt.

Lees meer over bescherming op het Trust Center voor Office 365 of in de whitepaper Security in Office 365

Hoe kan Ransomware dan toch mijn Office 365 omgeving binnen komen?

Ondanks alles is het toch mogelijk dat ransomware je Office 365 omgeving binnen sluipt. Zoals elke beveiliging, is deze zo sterk als de zwakste schakel. Ondanks alle beveiliging van Office 365 zelf, is het wel mogelijk dat een gebruiker zelf geïnfecteerd raakt. Dat komt doordat deze persoon via een persoonlijk e-mailadres een geïnfecteerde email ontvangt, de bijlage opent, waarna de gebruiker zichzelf infecteert.

De ransomware gaat vervolgens alle Office bestanden versleutelen. Dus ook Office bestanden die via OneDrive for Business zijn gesynchroniseerd met Office 365. Dit kan de persoonlijk OneDrive zijn, maar ook SharePoint bilbiotheken die gesynchroniseerd worden.

Omdat de bestanden “geupdate” zijn, gaat OneDrive deze nieuwste versie direct synchroniseren met Office 365. Hierdoor komen deze corrupte bestanden in de cloud.

Bijkomend effect is, dat iedereen die dezelfde bibliotheek hebben gesynchroniseerd, deze laatste versie ook ontvangen. Waardoor ook de versie op hun PC corrupt raakt.

Zie ook het schema hieronder hoe dit er uit ziet.

50.2.png

Op deze wijze komen de corrpute bestanden Office 365 in. Gelukkig is het niet zo dat de ransomware zich als een worm gedraagt, corrupte bestanden kunnen niet zelfstandig andere bestanden corrupt maken. Office 365 zelf raakt hierdoor niet corrupt of geinfecteerd, maar wel de bestanden die binnen gebracht zijn. Deze weg het zorgt er wel voor dat elke versie die gesynchroniseerd wordt, wordt geinfecteerd. Het grote voordeel van OneDrive, werkt in dit geval niet ons voordeel.

Wat doe ik als er geinfecteerde bestanden op mijn Office 365 zijn binnen gekomen?

Ten eerste; wees kalm. Er zijn opties om zonder losgeld te betalen, je bestanden terug te krijgen.

ten tweede; loop de volgende checklist na om de corrupte bestanden terug te zetten. Voer deze checklist uit op Office 365. Op deze manier gebruiken we het voordeel van Office 365 weer voor onszelf, doordat de schone bestanden de laatste versie zijn, worden deze weer verspreid worden via OneDrive sync naar alle aangesloten gebruikers.

1. Verwijder de extra toegevoegde extensie van de bestanden. De bestanden krijgen allemaal een nieuwe extensie mee (document.docx wordt bijvoorbeeld document.docx.ltygh) en deze zullen we eerst moeten verwijderen.

2. Herstel de laatste schone versie, te herkennen aan de juiste extensie, van het bestand. (voorwaarde is wel dat versioning aan staat).

3. Verwijder de ransomware van de bron PC door deze te scannen met de juiste software, de PC te herstellen naar een herstel punt van voor de infectie of door de PC compleet te resetten.

Dit hele proces (extensie verwijderen, versie terug zetten) is ook te scripten en uit te voeren via bijvoorbeeld een ConsoleApp. Rapid Circle kan hierbij assisteren of de oplossing leveren.

Hoe is dit te voorkomen?

Zoals eerder aangegeven is het in dit geval vooral de gebruiker zelf die ervoor zorgt dat corrupte bestanden binnen Office 365 kunnen binnen komen. Wat kun je als organisatie doen om dit (zoveel mogelijk) te voorkomen;

– Backup, backup, backup: Backups en herstelpunten in Windows voorkomen een infectie niet, maar zorgen er wel voor dat je snel weer verder kunt met een schone omgeving.

– Antivirus/-malware & firewall: Het regelmatig updaten van antivirus/-malware en firewall instellingen zorgen ervoor dat de PC zo beveiligd mogelijk is. Hiermee volstaat de standaard Microsoft Defender service, maar mocht je de allerbeste beveiliging willen, dan zijn er hele goede 3rd party programma’s. Voor antivirus zijn dat Avira, Kaspersky & BitDefender, voor malware is dat MalwareBytes. Meer info over antivirus software: AV-Comparatives

– Uitschakelen van Sync: Het is in Office 365 mogelijk om de synchronisatie van bestanden uit te schakelen. Hiermee kun je voorkomen dat belangrijke bibliotheken geïnfecteerd kunnen raken via OneDrive. Dit doe je door in de geavanceerde instellingen van de bibliotheek de “Beschikbaarheid van offlineclient” uit te schakelen. Dit kan ook Site Collectie niveau door de gelijknamige site collectie onderdeel uit te schakelen.

50.3.png

– SPAM/Junk filter: Een goede spam/junk filter houdt heel veel tegen en de meeste providers bieden dit al standaard aan. Maar daarnaast is er ook de persoonlijke filter. Als een e-mail verdacht lijkt dan is dit ook zo. Open nooit zomaar een bijlage, zeker niet van iemand die je niet kent.

– Bewustzijn: De meesten van ons zijn ons niet bewust van de gevaren die het internet ook biedt. We weten allemaal dat je niet zomaar bijlagen moet openen, maar toch gebeurd het vaak genoeg. Ook moet je goed kunnen beoordelen of een site wel betrouwbaar is voordat je er iets van download. Een korte online traninig van Webdetective kan al genoeg zijn. Communiceer over veilig internet gebruik actief naar je de eigen gebruikers toe. Een eerste guide staat op Get Safe Online.

Dit artikel is mede tot stand gekomen met de hulp van Gino Kemp van het ROC van Amsterdam. Hij heeft mij geholpen aan de real life voorbeelden van Ransomware infecties op via OneDrive. Ook heeft hij de oplossing gedeeld hoe zij dit herstellen.

Neem contact met ons op via Mark.Overdijk@RapidCircle.com of Support@RapidCircle.com.

Bronvermelding

De nieuwe meldplicht datalekken en Office 365: welke middelen kan ik inzetten?

Op 1 januari 2016 is de Wet Meldplicht Datalekken ingegaan. Deze meldplicht valt onder de Wet Bescherming Persoonsgegevens. De bedoeling van de meldplicht is om de bescherming van persoonsgegevens te verbeteren voor Nederlandse burgers. Onder de nieuwe richtlijnen kan een datalek organisaties duur komen te staan; er kan een maximale boete opgelegd worden van €820.000,-.

Deze boete kan voorkomen worden door passende organisatorische en technische maatregelen te treffen. Office 365 biedt hier uitstekende mogelijkheden voor. Sinds 1 juli 2003 is in Amerika de Wet Meldplicht Datalekken van kracht. Sinds de lancering van Office 365 in oktober 2011 zijn datalekken, beveiliging en compliance een hot-item voor Microsoft. Organisaties in Amerika eisen strenge en verregaande functionaliteiten om datalekken te voorkomen.

Vanaf de lancering is de continue ontwikkeling van Office 365 in een sneltreinvaart gegaan. Niet alleen de bekende producten als Exchange en SharePoint zijn stevig doorontwikkeld, maar vooral de beveiliging en compliance functionaliteiten die hiermee integreren zijn inmiddels volwassen te noemen. Veel van deze functionaliteiten zijn terug te vinden in het Office 365 Protection Center. Deze nieuwe managementinterface geeft een goed overzicht van welke meldingen en activiteiten er hebben plaatsgevonden die te maken hebben met compliance en beveiliging.

56.1.png

Afhankelijk van de abonnementsvormen zijn er diverse middelen inzetbaar om een datalek te voorkomen. Microsoft biedt standaard in haar E3 licentiepakket compliance en beveiligingsfunctionaliteiten aan als Data Loss Prevention en eDiscovery. Deze twee functionaliteiten bieden organisaties de mogelijkheid tot monitoring en voorkoming van datalekken op het gebied van SharePoint Online en Exchange Online. Hiermee kan anoniem een rapportage worden geleverd aan stakeholders binnen organisaties, zoals Security Officers en directieleden. Een goede functionaliteit voor het opleiden en vooral het bewustmaken van uw medewerkers is de Policy Tip. Veel mensen kennen de Mail Tip in Outlook: de bekende preventieve berichtgeving dat uw collega geniet van een vakantie en Out-Of-Office is. De Policy Tip geeft medewerkers automatisch een waarschuwing op het moment dat zij mogelijk data gaan lekken.

56.2.png

Met deze intuïtieve en gebruiksvriendelijke melding worden medewerkers bewust gemaakt van vaak onbewuste handelingen die leiden tot een datalek. Deze meldingen worden verzameld en in de vorm van moderne rapportages gedeeld met de verantwoordelijke binnen uw organisatie.

Naast deze functionaliteiten die onderdeel zijn van de Enterprise abonnementsvorm, biedt Microsoft meer, veel meer. Deze producten zijn beter bekend als de Enterprise Mobility Suite (EMS). Met one-liners zoals “The world is always connected & mobile” en “More freedom increases risk” houdt Microsoft zich niet afzijdig van veel gevoerde hedendaagse discussies. Microsoft biedt echter ook oplossingen, en wel met producten zoals Microsoft Intune, Microsoft Azure Rights Management Premium en Advanced Threath Analytics.

Met de inzet van Microsoft Intune zijn organisaties voorzien van functionaliteiten zoals Mobile Device Management, Mobile Application Management en PC Management. Met dit product worden mobiele devices voorzien van beleidsinstellingen op het gebied van security en compliancy . Nadat het apparaat is geregistreerd in Microsoft Intune wordt het voorzien van de ICT policies en beveiligingseisen van uw organisatie. Functionaliteiten als het vereisen van een pincode op het apparaat, gelimiteerde toegang tot e-maildata en bovenal het versleutelen van bedrijfskritische data is mogelijk met maar enkele muisklikken.

56.3.png

Nadat het apparaat is geregistreerd in Microsoft Intune en is voorzien van de laatste policies, kunnen  bedrijfsapps worden geinstalleerd op het mobiele apparaat van de medewerker. Ook kunnen er WiFi-instellingen of gewenste certificaten gepushed worden. Het maakt in deze scenario’s niet uit of het apparaat eigendom is van de medewerker of van de organisatie. Microsoft Intune beheert namelijk enkel de bedrijfsdata en apps. In geval van calamiteit worden enkel de zakelijke apps en data verwijdert.

Het verwijderen kan van afstand als het apparaat verbonden is met het Internet en uiteraard selectief. Sinds 1 januari 2016 worden organisaties geacht laatstgenoemde functionaliteit paraat te hebben in geval van verlies of diefstal van mobiele apparaten. De Nederlandse wetgeving gaat er namelijk van uit dat organisaties de beschikbare technologische middelen inzetten ter voorkoming van datalekken. Het onbreken van dergelijke technologische middelen wordt uw organisatie dus ook sterk aangerekend in geval van een datalek.

Wilt u graag bijgepraat worden welke mogelijkgeden Office 365 biedt die bijdragen aan het voorkomen van datalekken binnen uw organisatie? Onze consultants praten u graag kosteloos bij in de vorm van een workshop bij u op locatie. Neem bij interesse contact op met Wilco Turnhout via wilco.turnhout@rapidcircle.com of 06-15 22 90 76

Laat u inspireren en laat Rapid Circle u aan de hand meenemen in de wereld van continue innovatie, met Office 365.