Process mining in de strijd tegen ransomware
Process mining in de strijd tegen ransomware
Cybersecurity special oktober 2024
Ransomware is een vorm van cybercriminaliteit waarbij criminelen bedrijfsdata versleutelen en losgeld eisen. Naast traditionele methoden biedt process mining een nieuwe manier om ransomware te bestrijden door gedrags- en procespatronen te analyseren. Dit helpt bedrijven aanvallen vroegtijdig te herkennen en tegen te houden. Hoewel deze aanpak nog in ontwikkeling is, biedt het veelbelovende mogelijkheden voor de toekomst. Voorkomen blijft echter het beste, dus zorg voor een sterke beveiligingsstrategie om gijzelsoftware voor te zijn.
Ransomware
Eerst naar de basis: wat is ransomware? Kort samengevat is het een cyberaanval waarbij een crimineel zich toegang verschaft tot zoveel mogelijk computers en servers van een bedrijf om deze vervolgens te versleutelen. Om weer bij jouw (belangrijke!) data te kunnen, moet je eerst losgeld betalen . De kans bestaat dan evengoed dat je jouw data niet of niet volledig terugkrijgt. Vaak wordt niet de volledig versleutelde data ontsleuteld. Kortom, een horrorscenario voor menig ondernemer. In deze column schreven we al over deze vorm van criminaliteit en het belang van goede IT-security.
Process mining
En wat is dan process mining? Dit is een datagestuurde aanpak waarbij bedrijfsprocessen worden geanalyseerd. Op deze manier kun je inzichten ontdekken die bruikbaar zijn voor procesverbetering. Veel bedrijven gebruiken systemen die automatisch en op regelmatige basis de acties van werknemers en andere systemen loggen. Gewoonlijk worden deze gebeurtenissen in een ‘logboek’ gegroepeerd en bevatten deze informatie zoals de datum, het tijdstip, de ondernomen of gepoogde actie, enzovoort. Process mining maakt een procesgrafiek van een of meer eventlogs, zodat alle activiteiten en verbanden in processen zichtbaar worden. Zo kun je afwijkingen en inefficiënties identificeren en zichtbaar maken wat de impact hiervan is. Dit gebeurt aan de hand van het ETL-proces: Extract, Transform, Load. Hiermee onderzoeken we of er voldoende en bruikbare data is, of er andere data nodig is, of data kan worden gelinkt kan of dat de initiële vraag moet worden aangepast.
De strijd tegen ransomware
Process mining is dus een fantastische tool om bedrijfsprocessen te analyseren en inzicht te krijgen in kansen voor optimalisatie. Het is in principe in te zetten op alle processen. Maar het blijkt óók een fantastisch instrument in de strijd tegen ransomware, zo ontdekte het Cyberteam van Joanknecht. Je kunt immers iedere activiteit in een systeem volgen aan de hand van een unieke identifier. Normaliter wordt ransomware vooral geanalyseerd door codes te analyseren (analysis by code). Process mining biedt de mogelijkheid om patronen te ontdekken in het gedrag van ransomware. Aan de hand hiervan kun je dus ook de werking van de ransomware analyseren. En dat biedt weer aanknopingspunten voor een gerichte aanpak in de strijd tegen deze gijzelsoftware. Bijvoorbeeld door aanvallen vroegtijdig te herkennen en tegen te houden.
Toekomst
Process mining als wapen tegen ransomware is nog in de ontwikkelingsfase. Momenteel onderzoeken we nog waar de kansen liggen. Maar dat die er zijn, lijdt geen twijfel. Ondanks deze ontwikkeling blijft voorkomen nog altijd beter dan genezen. Voorkom dus dat je virtueel gegijzeld wordt en ga voor een gedegen informatiebeveiligingsstrategie. Lees daarvoor bijvoorbeeld deze blog. Of nog beter: bel het cyberteam van Joanknecht.
Deze blog is geschreven door
