Как подготовиться к атакам программ-вымогателей (ransomware)
Основные проблемы
Уязвимости и неправильная конфигурация протоколов удаленного рабочего стола, "BYOD" и виртуальных частных сетей становятся наиболее распространенной точкой входа для злоумышленников. Это усугубляется ростом количества удаленных сотрудников.
Стоимость восстановления и простоев после атаки ransomware, а также репутационный ущерб могут в 10-15 раз превышать сумму выкупа.
Рекомендации
Руководители служб безопасности, управления рисками и ИТ-отделов, отвечающие за безопасность конечных точек и сетей, должны уделять внимание всем трем этапам атаки программ-вымогателей:
1. Будьте готовы к атакам вирусов-шифровальщиков, разработав стратегию подготовки к инциденту, которая включает резервное копирование, управление активами и ограничение привилегий пользователей. Определите, готова ли организация в конечном итоге заплатить выкуп.
2. Реализуйте меры по обнаружению, внедряя технологии обнаружения поведенческих аномалий для выявления атак типа ransomware.
3. Разработайте процедуры реагирования после инцидента путем обучения персонала
Введение
Атаки Ransomware (программ-вымогателей)продолжает представлять значительный риск для организаций. Недавние атаки эволюционировали от атак с автоматическим распространением, таких как Wannacry и NotPetya, к более целевым примерам, которые атакуют организацию, а не отдельные конечные точки.
Влияние этих атак на организации возросло до такой степени, что некоторые организации прекратили свою деятельность, а в случае со здравоохранением под угрозой оказались жизни людей.
Руководители ИТ и ИБ служб должны адаптироваться к этим изменениям и искать способы защиты от ransomware не только в средствах контроля безопасности конечных точек. Недавние кампании вирусов-шифровальщиков, такие как REvil и Ryuk, стали "человекоуправляемыми ransomware", когда атака контролируется оператором, а не распространяется автоматически.
Такие атаки часто используют известные уязвимсоти в системе безопасности для получения доступа. Например, считается, что ряд недавних инцидентов с вымогательством начался с плохо настроенных или уязвимых конфигураций протокола удаленного рабочего стола (RDP). Для получения доступа к учетным записям также используются ранее скомпрометированные учетные данные.
Попав внутрь периметра, злоумышленник перемещается по сети, определяет ценные данные и оценивает используемые средства защиты, часто отключая средства защиты конечных точек и удаляя резервные копии. Затем, когда знаимые данные будут обнаружены, они могут быть либо загружены и впоследствии использованы для вымогательства (Doxing), либо будет запущена программа-вымогатель для шифрования данных.
Типичное время между первыми признаками вредоносной активности и развертыванием программы-выкупа составляет три дня.
Цель - максимально увеличить вероятность выплаты выкупа, часто включая угрозы обнародовать данные.
Защита организаций от этих атак выходит за рамки защиты конечных точек и включает в себя множество различных инструментов и средств контроля безопасности. Важно изучить все этапы жизненного цикла вируса-шифровальщика, предположить, что атака будет успешной, и спланировать ответные действия соответствующим образом.
Разработка стратегии подготовки к инциденту
Руководители ИТ и ИБ департаментов должны исходить из того, что атака ransomware будет успешной, и гарантировать, что организация готова к обнаружению как можно раньше и восстановлению как можно быстрее.
Первый и самый распространенный вопрос: "Нужно ли платить выкуп?". В конечном счете, это должно быть деловое решение. Оно должно приниматься на уровне совета директоров с учетом мнения юристов. Правоохранительные органы рекомендуют не платить, поскольку это поощряет продолжение преступной деятельности. В некоторых случаях выплата выкупа может рассматриваться как незаконная, поскольку она обеспечивает финансирование преступной деятельности. Даже если выкуп уплачен, зашифрованные файлы зачастую невозможно восстановить.
Отлаженный процесс и стратегия резервного копирования - это главная линия защиты от программ-вымогателей. Убедитесь, что решение для резервного копирования устойчиво к атакам ransomware, и постоянно контролируйте состояние и целостность резервных копий. В частности, большинство поставщиков решений для резервного копирования предоставляют механизм создания неизменяемых вторых копий резервных копий или неизменяемых моментальных снимков.
Восстановление не ограничивается восстановлением данных. Программы-вымогатели эффективно блокируют машину с помощью выкупа, и восстановление машин до заведомо исправного состояния может быть сложнее, чем восстановление данных. Наличие инструментов и процессов для восстановления конечных точек до исходного образа может ускорить время восстановления. Некоторые организации прибегают к использованию USB-устройств для удаленных точек. Иногда наблюдает, как клиенты даже не пытаются очистить или восстановить машину. Вместо этого событие, связанное с вымогательством, становится поводом для обновления аппаратного обеспечения. Каким бы ни был процесс, он должен регулярно моделироваться для выявления недостатков.
Осведомленность пользователей о безопасности также важна. Постоянно информируйте пользователей о типах атак, регулярно публикуя предупреждения и "информационные бюллетени" по вопросам безопасности. Создайте простой набор сообщений о безопасности, которые регулярно повторяются. Предупрежденный пользователь не только с меньшей вероятностью попадется на уловки социальной инженерии, но и может выступить в качестве раннего предупреждения.
Обеспечьте регулярное обучение пользователей, в частности, тому, как распознавать вредоносные электронные письма. Предоставьте простой механизм для сообщения о подозрительных письмах и подкрепите его подтверждением того, что пользователь поступил правильно. Рассмотрите возможность использования инструментов автоматизации и реагирования, ориентированных на безопасность электронной почты (SOAR), таких как M-SOAR, для автоматизации и улучшения реагирования на атаки по электронной почте (
Кибергигиена имеет решающее значение для защиты от "управляемых человеком" программ-вымогателей, поэтому требуется целостный взгляд на всю организацию в целом. Руководители ИТ и ИБ подразделений должны включить в свою стратегию защиты от вирусом-шифровальщиков следующее:
Построить надежный процесс управления активами, чтобы определить, что должно быть защищено и кто несет за это ответственность. Особое внимание следует уделить устаревшим системам
Внедрите процесс управления уязвимостями на основе оценки рисков, который включает в себя анализ угроз. Программы-вымогатели часто используют непропатченные системы для латерального перемещения. Этот процесс должен быть непрерывным. Риск, связанный с уязвимостями, меняется по мере использования уязвимостей злоумышленниками
Удалите локальные административные привилегии пользователей на конечных точках и ограничьте доступ к наиболее важным бизнес-приложениям, включая электронную почту, чтобы предотвратить компрометацию учетных записей
Внедрите сканирование на соответствие нормативным требованиям для выявления неправильно настроенных и несоответствующих систем, а также средства тестирования на проникновение и моделирования атак на нарушение
Внедрите надежную аутентификацию для привилегированных пользователей, таких как администраторы баз данных и инфраструктуры, а также учетные записи служб. Ведите журнал активности. Злоумышленники часто используют известные, обнаруженные вредоносные программы для получения доступа к учетным данным привилегированных учетных записей.
Руководители ИТ и ИБ подразделений должны согласовывать свои стратегии безопасности с шаблонами и методами, используемыми злоумышленниками.
Атака начинается с проникновения, т.е. с начальной точки атаки. Это часто принимает форму скомпрометированного веб-сайта, созданного с помощью фишинговой или целевой атаки. Шлюзы электронной почты (SEG) и защищенные веб-шлюзы (SWG) могут обеспечить надлежащую безопасности.
Как обсуждалось ранее, еще одним распространенным методом атаки является использование уязвимых портов RDP. Тестирование на проникновение может быть крайне эффективным для обнаружения брешей в защите.
После обнаружения бреши в защите следует использовать платформы обнаружения, реагирования и защиты конечных точек и защиты от мобильных угроз . Средства EDR предназначены для обнаружения действий шифровальщика и предотвращения их продолжения. Скомпрометированные машины получают инструкции по командным каналам и каналам управления. Средства защиты DNS, SWG и другие сетевые решения для обнаружения и реагирования (NDR) могут обнаруживать и блокировать эти каналы. Дальнейшее туннелирование или боковое перемещение происходит, когда злоумышленник пытается перемещаться по организации. Межсетевые экраны и сегментация сетей, а также эффективное управление уязвимостями и исправлениями ограничивают возможности злоумышленника.
Внедрение мер обнаружения программ-вымогателей
Вполне возможно, что вирус-шифровальщик может обойти вашу защиту. Тогда вопрос заключается в том, как быстро вы сможете обнаружить инцидент.
Многие инструменты защиты, также предоставляют данные и для обнаружения. В частности, средства EDR собирают индикаторы компрометации (IOCs) и события, которых может быть недостаточно для конкретной идентификации и предотвращения атаки, но они могут показать, что "возможно" идет атака. EDR также может помочь выявить, когда атака затихает, в то время как происходит дальнейший сбор скомпрометированных учетных записей и привилегий.
Для понимания, интерпретации и расследования этих событий, как правило, требуется более высокий уровень квалификации. Все чаще такие услуги приобретаются как часть решения EDR или как более широкое решение MDR или управляемое решение. Использование таких услуг может быть полезным для организаций, не имеющих собственного операционного центра безопасности (SOC).
На этапе обнаружения в игру вступают и другие инструменты безопасности. Системы предотвращения вторжений (IPS), а также решения NDR и анализа сетевого трафика (NTA) могут помочь обеспечить раннее обнаружение. Средства типа honeypot также могут быть эффективными. Это может быть простая установка поддельных учетных записей, которые на самом деле никогда не используются, так что при попытке их использования может быть отправлено предупреждение. В рамках стратегии защиты от ransomware можно использовать и другие виды приманок.
В дополнение к индикаторам компроментации и предупреждениям, поступающим от инструментов безопасности, важно также обратить внимание на то, что "не происходит". Если расписание резервного копирования изменено или остановлено, объем резервного копирования или скорость изменений неожиданно возрастают. Теневые копии, отключенные на определенных машинах, а также инструменты безопасности, больше не работающие на машинах, могут указывать на то, что злоумышленник находится внутри организации.
После обнаружения атаки программы-вымогателя необходимо минимизировать ее последствия. Наиболее распространенным методом является изоляция. Существует множество методов изоляции, и многие средства EDR предоставляют функции изоляции на устройстве, позволяющие специалистам по реагированию на инциденты изолировать машины от остальной сети, обеспечивая при этом удаленный доступ для проведения восстановительных работ.
Изоляция на основе сети требует запрета подозрительных устройств на основе MAC-адреса на аппаратном уровне (отсюда важность зрелого управления активами). Это применяется к коммутаторам локальной сети, виртуальным частным сетям (VPN), контролю доступа к сети (NAC) и точкам доступа Wi-Fi организации. Часто это превращается в лихорадочное протягивание сетевых кабелей. Однако это может замедлить фазы восстановления, так как требует физического доступа к устройствам для устранения последствий.
Многим организациям потребуется помощь для смягчения последствий атаки и восстановления после нее. Важную роль могут сыграть специализированные команды по реагированию на инциденты, а заключение договора о предоставлении услуг по реагированию на инциденты может снизить стоимость и скорость реагирования
Тактические шаги по восстановлению будут отличаться в зависимости от организации и степени распространения вымогательского ПО, но они будут включать в себя: Восстановление данных из резервных копий, включая проверку целостности этих резервных копий и понимание того, какие данные, если таковые имеются, были потеряны.
Если данные скомпрометированы, EPP и EDR, а также решения MTD должны использоваться как часть мер по устранению последствий для устранения угрозы и отката любых изменений. Как отмечалось ранее, восстановление не ограничивается восстановлением данных; зараженные машины могут быть "заблокированы" и могут потребовать физического доступа. На этапе подготовки важно понять и спланировать, как это будет достигнуто.
1. Проверка целостности устройства до того, как оно будет допущено обратно в сеть.
2. Обновление или удаление скомпрометированных учетных данных; без этого злоумышленник сможет снова получить доступ.
3. Тщательный анализ первопричины того, как и что произошло, включая любые данные, которые были удалены (doxing). Доксинг происходит, когда злоумышленники угрожают обнародовать украденную информацию. Это все чаще становится вторичным методом вымогательства, если жертва решает не платить выкуп.
4. Среды инфраструктура как услуга (IaaS) и платформа как услуга (PaaS) одинаково подвержены атакам ransomware. Концептуально они должны решаться одинаково. Меняются лишь тактические действия, которые необходимо выполнить для изоляции пораженных устройств/сегментов сети.
5. Разработка процедур реагирования после инцидента путем обучения персонала и планирования учений
ИТ и ИБ отделы должны быть готовы к атаке вируса-шифровальщика и иметь планы, процессы и процедуры. Эти планы должны включать ИТ-аспекты, а также планы коммуникации как с внутренним персоналом, так и с партнерами-поставщиками. Для восстановления важно, чтобы сотрудники быстро и четко сообщили о проблеме. Регулярно предоставляйте информацию о статусе и сроках восстановления систем до состояния, когда их можно будет использовать. Инструменты моделирования киберинцидента могут помочь выявить пробелы в процедурах, ролях и обязанностях.
Атака вируса-шифровальщика может затронуть лишь небольшую часть организации, и ее воздействие может быть минимальным. При более крупных атаках воздействие может выйти за пределы организации и затронуть клиентов и партнеров. В рамках подготовки полезно регулярно проводить учебные тренировки или настольные учения для отработки ответных действий. После восстановления необходимо собрать достаточно информации, чтобы понять первопричину атаки и понять, какие меры контроля не сработали или не были приняты. И в этом случае важную роль в анализе играют специализированные службы кибер криминалистики и реагирования на инциденты. После восстановления систем очень важно применить полученные уроки и использовать их на этапе подготовки.
