Process mining in de strijd tegen ransomware

Process mining in de strijd tegen ransomware

17 november 2022

Ransomware is momenteel misschien wel het grootste (online) gevaar voor bedrijven. Het eerste half jaar van 2022 werden wereldwijd 236 miljoen gevallen geregistreerd (bron). Dus verschuil je niet achter het gevoel dat het je toch niet zal overkomen. Het is geen kwestie of maar wanneer je ermee te maken krijgt. In de strijd tegen deze cybercriminaliteit grijpt ook het cyberteam van Joanknecht alle middelen aan om criminelen te slim af te zijn. Het nieuwste wapenfeit is de inzet van process mining in de strijd tegen ransomware.

Ransomware

Eerst naar de basis: wat is ransomware? Kort samengevat is het een cyberaanval waarbij een crimineel zich toegang verschaft tot zoveel mogelijk computers en servers van een bedrijf om deze vervolgens te versleutelen. Om weer bij jouw (belangrijke!) data te kunnen, moet je eerst losgeld betalen . De kans bestaat dan evengoed dat je jouw data niet of niet volledig terugkrijgt. Vaak wordt niet de volledig versleutelde data ontsleuteld. Kortom, een horrorscenario voor menig ondernemer. In deze column schreven we al over deze vorm van criminaliteit en het belang van goede IT-security.

 

Process mining

En wat is dan process mining? Dit is een datagestuurde aanpak waarbij bedrijfsprocessen worden geanalyseerd. Op deze manier kun je inzichten ontdekken die bruikbaar zijn voor procesverbetering. Veel bedrijven gebruiken systemen die automatisch en op regelmatige basis de acties van werknemers en andere systemen loggen. Gewoonlijk worden deze gebeurtenissen in een ‘logboek’ gegroepeerd en bevatten deze informatie zoals de datum, het tijdstip, de ondernomen of gepoogde actie, enzovoort. Process mining maakt een procesgrafiek van een of meer eventlogs, zodat alle activiteiten en verbanden in processen zichtbaar worden. Zo kun je afwijkingen en inefficiënties identificeren en zichtbaar maken wat de impact hiervan is. Dit gebeurt aan de hand van het ETL-proces: Extract, Transform, Load. Hiermee onderzoeken we of er voldoende en bruikbare data is, of er andere data nodig is, of data kan worden gelinkt kan of dat de initiële vraag moet worden aangepast.

 

De strijd tegen ransomware

Process mining is dus een fantastische tool om bedrijfsprocessen te analyseren en inzicht te krijgen in kansen voor optimalisatie. Het is in principe in te zetten op alle processen. Maar het blijkt óók een fantastisch instrument in de strijd tegen ransomware, zo ontdekte het Cyberteam van Joanknecht. Je kunt immers iedere activiteit in een systeem volgen aan de hand van een unieke identifier. Normaliter wordt ransomware vooral geanalyseerd door codes te analyseren (analysis by code). Process mining biedt de mogelijkheid om patronen te ontdekken in het gedrag van ransomware. Aan de hand hiervan kun je dus ook de werking van de ransomware analyseren. En dat biedt weer aanknopingspunten voor een gerichte aanpak in de strijd tegen deze gijzelsoftware. Bijvoorbeeld door aanvallen vroegtijdig te herkennen en tegen te houden.

 

Toekomst

Process mining als wapen tegen ransomware is nog in de ontwikkelingsfase. Momenteel onderzoeken we nog waar de kansen liggen. Maar dat die er zijn, lijdt geen twijfel. Ondanks deze ontwikkeling blijft voorkomen nog altijd beter dan genezen. Voorkom dus dat u virtueel gegijzeld wordt en ga voor een gedegen informatiebeveiligingsstrategie. Lees daarvoor bijvoorbeeld deze blog. Of nog beter: bel het cyberteam van Joanknecht.

Deze blog is geschreven door

Vincenzo heeft recent mogen spreken op het grootste cybersecurity congres van Nederland: ONE Conference.