Een beeld zegt meer dan duizend woorden - hoe je effectief kunt reageren op Malware als Wannacry

PasFOTOJAMES

Wanneer het DeceptionGrid knipperde als kerstverlichting wisten securityteams gelijk dat ze met iets serieus te maken hadden. Bij een normale dag produceren gaven de Traps weinig tot geen meldingen, waardoor gelijk werd opgemerkt dat er iets aan de hand was.

De meldingen lieten een duidelijk verhaal zien. Malware die zichzelf kon verspreiden met gebruik van SMB EternalBlue exploit probeerde het netwerk in te dringen. De IoC’s wisten zeker dat het WannaCry was.

Degene wie het systemen al gepatched hadden tegen het EternalBlue lek konden rustig ademhalen, en konden via de meldingen zien welke collega’s op onbeveiligde BYOD-apparaten zaten en onbewust de malware binnen hadden gehaald.

Anderen die verantwoordelijk waren voor systemen die niet gepatched waren of legacy OS-systemen zoals bij medische apparatuur en betaalautomaatsoftware hadden een moeilijkere taak.

TrapX WannaCry is maar een voorbeeld van hoe dagelijks wereldwijd netwerken aangevallen worden door malware die zich automatisch verspreid. Deze zogenoemde malware ‘verspreiders’ (spreaders) gecombineerd met phishing attacks voegen chaos toe aan het nu al overbeladen werk van IT-securitypersoneel. Helaas hebben veel bedrijven weinig of geen zicht op deze gebeurtenissen tot dat het te laat is.

Deze afbeelding laat gelijk zien wat de impact van zulke digitale aanvallen is op grote coorperaties. Doormiddel van het DeceptionGrid hebben onze klanten de “Rapid Detection of Automated Malware Propagation (RDAMP)” behaald. De voordelen van TrapX RDAMP is het volgende:

  • Snel kunnen opsporen wie “patient zero” is en hem automatisch af te zonderen
  • Geautomatiseerde analyse en visualisatie van de aanval.
  • Zicht op geïnfecteerde IoT/OT-apparaten (bv. Medisch/industriële apparatuur en SCADA).
  • U de mogelijkheid geeft om met vertrouwen te zeggen dat er geen malware aangetroffen is op uw netwerk.

Naast opsporen kan het DeceptionGrid ook gebruikt worden om geïnfecteerde systemen en apparaten geautomatiseerd uit te bakenen door middel van Cisco’s Indetiy Services Engine (ISE) Platform en ForeScout Counter ACT, het DeceptieGrid kan makkelijk real-time delen met de infrastructuur van de klant, door middel van geautomatiseerde workflows.

Wat de doorslag heeft gegeven is de onmiddellijke ontdekking gekoppeld met bewust zijn van welke omgevingen geïnfecteerd waren waardoor er een effectieve reactie ondernomen kon worden.

Voor meer informatie over WannaCry en DeceptionGrid, hier het report: Malware Analysis – WannaCry

Video: Automated Detection & Containment of WannaCry (and variants) with TrapX & Cisco ISE