6 способов защиты от Ransomware
15.07.2021
Статьи
Компании могут избежать огромных потерь, подготовившись к атакам типа ransomware.
27 % инцидентов с вредоносным ПО, зарегистрированных в 2020 году, могут быть связаны с ransomware. Ransomware - кибервымогательство, вредоносное программное обеспечение проникает в компьютерные системы и шифрует данные, удерживая их в зашифрованном виде, пока жертва не заплатит выкуп. Атаки вирусов-шифровальщиков может оказать большее влияние на организацию, чем утечка данных и является серьезнейшей угрозой кибербезопасности.
В краткосрочной перспективе ransomware может стоить компаниям миллионы, а в долгосрочной перспективе может принести еще большие убытки, повлияв на репутацию и надежность. Целями злоумышленников становятся как государственные учреждения, так и медицинские, страховые, розничные и финансовые компании.
"В некоторых недавних случаях атак ransomware организации-жертвы выплачивали злоумышленникам огромные суммы, что может быть одной из причин роста популярности этих атак", - говорит Пол Веббер, старший директор-аналитик Gartner. "Вместо этого организациям необходимо сосредоточиться на подготовке и раннем смягчении последствий, если они хотят сократить потери от ransomware".
Компании могут снизить вероятность атак вирусов-шифрвальщиков, уменьшить уязвимость и обеспечить безопасность организации с помощью плана по смягчению последствий. Этот план должен включать следующие шесть действий:
№ 1: Проведите первоначальную оценку ransomware
Проведите оценку рисков и тесты на проникновение (pentest), чтобы определить поверхность атаки и текущее состояние устойчивости и готовности к безопасности с точки зрения инструментов, процессов и навыков защиты от атак.
"Прежде чем считать, что заплатить выкуп - единственный вариант, изучите возможность использования бесплатного программного обеспечения для расшифровки вымогательских программ", - говорит Веббер.
Номер 2: Установите процессы реагирования на зловредное ПО
Установите процессы и процедуры соответствия, в которых участвуют ключевые лица, принимающие решения в организации, еще до подготовки к техническому реагированию на атаку ransomware. Ransomware может в мгновение ока превратиться из проблемы в кризис, стоить организации потери доходов и репутации.
В подготовку должны быть вовлечены ключевые лица, такие как генеральный директор, технический директор, начальник отдела информационной безопасности и другие важные заинтересованные стороны. В случае атаки ransomware, скорее всего, журналисты и другие внешние заинтересованные стороны обратятся за ответом на атаку к генеральному директору, а не к руководителю службы безопасности или ИТ-отдела.
№ 3: Поддерживайте постоянную операционную готовность
Проводите частые учения и тренировки, чтобы убедиться, что системы всегда способны обнаружить атаки ransomware. Включите в план реагирования на ransomware регулярное тестирование сценариев реагирования на инциденты.
Регулярно проводите тестирование, проверку и повторное тестирование, чтобы выявить уязвимости, несоответствующие системы и неправильную конфигурацию. Убедитесь, что процессы реагирования на инциденты не зависят от ИТ-систем, которые могут быть затронуты атаками ransomware или недоступны в случае серьезного инцидента.
№ 4: Резервное копирование, тестирование, реагирование на ransomware
Создавайте резервные копии не только данных, но и всех нестандартных приложений и поддерживающей их ИТ-инфраструктуры. Поддерживайте частые и надежные возможности резервного копирования и восстановления. Если используются онлайн-резервные копии, убедитесь, что они не могут быть зашифрованы ransomware. Укрепляйте компоненты инфраструктуры резервного копирования и восстановления предприятия от атак, регулярно проверяя приложения резервного копирования, хранилища и доступ к сети и сравнивая их с ожидаемой или базовой активностью.
Подготовьтесь к восстановлению критически важных приложений при общесистемной атаке ransomware, создав конкретные параметры времени восстановления (RTO) и точки восстановления (RPO), защитив носители резервных копий и доступ к ним.
№ 5: Реализуйте принцип наименьших привилегий
Ограничьте права доступа и запретите несанкционированный доступ к устройствам. Лишите конечных пользователей прав локального администратора и заблокируйте установку приложений обычными пользователями, заменив это централизованным управлением дистрибуцией программного обеспечения.
Руководители ИТ-департамента и службы безопасности должны внедрить многофакторную аутентификацию везде, где это возможно, особенно для привилегированных учетных записей. Усилить протоколирование аутентификации на всех критически важных серверах, сетевых устройствах и службах каталогов и обеспечить, чтобы журналы не удалялись. Сообщайте безопасникам о любой неожиданной активности, чтобы они активно искали необычные входы в систему/неудачные попытки аутентификации.
№ 6: Обучайте и тренируйте пользователей действиям по реагированию на ransomware
Изучите методички и рекомендации о том, как организации могут укрепить свою сетевую инфраструктуру против ransomware. Руководители ИТ-департамента и отдела информационной безопасности могут использовать подобные рекомендации для создания базовой программы обучения для всех сотрудников организации. Однако для достижения лучших результатов обучение готовности к ransomware должно быть адаптировано к специфике организации.
Используйте инструменты моделирования киберицнидентов для проведения учений и тренингов, приближенных к реальным ситуациям, чтобы повысить готовность конечных пользователей к борьбе с ransomware.
Сложность ransomware и других форм вредоносного ПО заключается в постоянно меняющихся тактиках и планах хакеров. Наличие стратегии готовности может помочь сдержать потери и защитить организацию.
27 % инцидентов с вредоносным ПО, зарегистрированных в 2020 году, могут быть связаны с ransomware. Ransomware - кибервымогательство, вредоносное программное обеспечение проникает в компьютерные системы и шифрует данные, удерживая их в зашифрованном виде, пока жертва не заплатит выкуп. Атаки вирусов-шифровальщиков может оказать большее влияние на организацию, чем утечка данных и является серьезнейшей угрозой кибербезопасности.
В краткосрочной перспективе ransomware может стоить компаниям миллионы, а в долгосрочной перспективе может принести еще большие убытки, повлияв на репутацию и надежность. Целями злоумышленников становятся как государственные учреждения, так и медицинские, страховые, розничные и финансовые компании.
"В некоторых недавних случаях атак ransomware организации-жертвы выплачивали злоумышленникам огромные суммы, что может быть одной из причин роста популярности этих атак", - говорит Пол Веббер, старший директор-аналитик Gartner. "Вместо этого организациям необходимо сосредоточиться на подготовке и раннем смягчении последствий, если они хотят сократить потери от ransomware".
Компании могут снизить вероятность атак вирусов-шифрвальщиков, уменьшить уязвимость и обеспечить безопасность организации с помощью плана по смягчению последствий. Этот план должен включать следующие шесть действий:
№ 1: Проведите первоначальную оценку ransomware
Проведите оценку рисков и тесты на проникновение (pentest), чтобы определить поверхность атаки и текущее состояние устойчивости и готовности к безопасности с точки зрения инструментов, процессов и навыков защиты от атак.
"Прежде чем считать, что заплатить выкуп - единственный вариант, изучите возможность использования бесплатного программного обеспечения для расшифровки вымогательских программ", - говорит Веббер.
Номер 2: Установите процессы реагирования на зловредное ПО
Установите процессы и процедуры соответствия, в которых участвуют ключевые лица, принимающие решения в организации, еще до подготовки к техническому реагированию на атаку ransomware. Ransomware может в мгновение ока превратиться из проблемы в кризис, стоить организации потери доходов и репутации.
В подготовку должны быть вовлечены ключевые лица, такие как генеральный директор, технический директор, начальник отдела информационной безопасности и другие важные заинтересованные стороны. В случае атаки ransomware, скорее всего, журналисты и другие внешние заинтересованные стороны обратятся за ответом на атаку к генеральному директору, а не к руководителю службы безопасности или ИТ-отдела.
№ 3: Поддерживайте постоянную операционную готовность
Проводите частые учения и тренировки, чтобы убедиться, что системы всегда способны обнаружить атаки ransomware. Включите в план реагирования на ransomware регулярное тестирование сценариев реагирования на инциденты.
Регулярно проводите тестирование, проверку и повторное тестирование, чтобы выявить уязвимости, несоответствующие системы и неправильную конфигурацию. Убедитесь, что процессы реагирования на инциденты не зависят от ИТ-систем, которые могут быть затронуты атаками ransomware или недоступны в случае серьезного инцидента.
№ 4: Резервное копирование, тестирование, реагирование на ransomware
Создавайте резервные копии не только данных, но и всех нестандартных приложений и поддерживающей их ИТ-инфраструктуры. Поддерживайте частые и надежные возможности резервного копирования и восстановления. Если используются онлайн-резервные копии, убедитесь, что они не могут быть зашифрованы ransomware. Укрепляйте компоненты инфраструктуры резервного копирования и восстановления предприятия от атак, регулярно проверяя приложения резервного копирования, хранилища и доступ к сети и сравнивая их с ожидаемой или базовой активностью.
Подготовьтесь к восстановлению критически важных приложений при общесистемной атаке ransomware, создав конкретные параметры времени восстановления (RTO) и точки восстановления (RPO), защитив носители резервных копий и доступ к ним.
№ 5: Реализуйте принцип наименьших привилегий
Ограничьте права доступа и запретите несанкционированный доступ к устройствам. Лишите конечных пользователей прав локального администратора и заблокируйте установку приложений обычными пользователями, заменив это централизованным управлением дистрибуцией программного обеспечения.
Руководители ИТ-департамента и службы безопасности должны внедрить многофакторную аутентификацию везде, где это возможно, особенно для привилегированных учетных записей. Усилить протоколирование аутентификации на всех критически важных серверах, сетевых устройствах и службах каталогов и обеспечить, чтобы журналы не удалялись. Сообщайте безопасникам о любой неожиданной активности, чтобы они активно искали необычные входы в систему/неудачные попытки аутентификации.
№ 6: Обучайте и тренируйте пользователей действиям по реагированию на ransomware
Изучите методички и рекомендации о том, как организации могут укрепить свою сетевую инфраструктуру против ransomware. Руководители ИТ-департамента и отдела информационной безопасности могут использовать подобные рекомендации для создания базовой программы обучения для всех сотрудников организации. Однако для достижения лучших результатов обучение готовности к ransomware должно быть адаптировано к специфике организации.
Используйте инструменты моделирования киберицнидентов для проведения учений и тренингов, приближенных к реальным ситуациям, чтобы повысить готовность конечных пользователей к борьбе с ransomware.
Сложность ransomware и других форм вредоносного ПО заключается в постоянно меняющихся тактиках и планах хакеров. Наличие стратегии готовности может помочь сдержать потери и защитить организацию.
