Ransomware: 11 kroków, które powinieneś podjąć, aby chronić się przed katastrofą

Ransomware: 11 kroków, które powinieneś podjąć, aby chronić się przed katastrofą

Stanie się ofiarą oprogramowania ransomware może narazić Twoje ważne biznesowe lub osobiste dane na bezpowrotną utratę. Te kroki mogą pomóc wzmocnić Twoją obronę.

Ransomware: rośnie liczba ataków siłowych


Oprogramowanie ramsomware pozostaje jednym z największych zagrożeń w Internecie. Kliknięcie w niewłaściwy link może wystarczyć, aby rozpocząć sekwencję zdarzeń, która kończy się zaszyfrowaniem wszystkich danych przez oszustów, którzy odblokują je tylko w zamian za duży okup - zwykle w bitcoinie lub innej trudnej do wyśledzenia kryptowalucie.

Jeden z najgorszych rodzajów oprogramowania ransomware właśnie wrócił do życia


Oprogramowanie ransomware jako usługa umożliwia potencjalnym hakerom zarabianie na cyber wymuszeniach. Teraz oprogramowanie ransomware atakuje sieci biznesowe. Przestępcze gangi ransomware są dobrze finansowane (dzięki okupom bitcoinowym) i stosują coraz bardziej wyrafinowane taktyki. Nowy niepokojącym trendem są wspierane przez państwo grupy hakerskie, które również wykorzystywały oprogramowanie ransomware do tworzenia chaosu i generowania zysków dla swoich zwolenników. To, co obserwujemy, to wyścig zbrojeń między oszustami szukającymi nowych sposobów na złamanie zabezpieczeń systemów i firmami próbującymi wypełnić każdą lukę w ich obronie. Ten poziom zagrożenia oznacza, że ​​nie ma sposobu, aby całkowicie chronić siebie lub swoją firmę przed oprogramowaniem ransomware lub jakimkolwiek innym rodzajem złośliwego oprogramowania. Istnieje jednak kilka kroków, które możesz podjąć, aby zminimalizować możliwość ataku.

11. UPEWNIJ SIĘ, ŻE TWOJE OPROGRAMOWANIE ANTYWIRUSOWE JEST AKTUALNE


Wydaje się to oczywiste, ale czasami jest pomijane przez mniejsze organizacje. Wiele pakietów antywirusowych oferuje teraz funkcje wykrywania oprogramowania ransomware lub dodatki, które próbują wykryć podejrzane zachowanie, które jest wspólne dla wszystkich programów ransomware: szyfrowanie plików. Te aplikacje monitorują Twoje pliki pod kątem nieoczekiwanego zachowania - na przykład dziwnego nowego oprogramowania próbującego je wszystkie. Niektóre pakiety bezpieczeństwa będą nawet tworzyć kopie plików zagrożonych przez oprogramowanie ransomware.

10. SPRAWDŹ, CO SIĘ DZIEJE W SIECI


Istnieje szereg powiązanych narzędzi bezpieczeństwa - od systemów zapobiegania włamaniom i wykrywania włamań po pakiety informacji bezpieczeństwa i zarządzania zdarzeniami (SIEM) - które mogą zapewnić wgląd w ruch w Twojej sieci. Te produkty zapewniają aktualny wgląd w Twoją sieć i powinny pomóc wykryć pewien rodzaj anomalii ruchu, które mogą sugerować, podejrzaną aktywność, niezależnie od tego, czy hakerzy zamierzają zainfekować Twoje systemy oprogramowaniem ransomware, czy mają coś inny na uwadze. Jeśli nie widzisz, co się dzieje w sieci, nie możesz powstrzymać ataku.

9. SKANUJ I FILTRUJ E-MAILE, ZANIM ZNAJDĄ SIĘ U TWOICH UŻYTKOWNIKÓW


Najłatwiejszym sposobem powstrzymania pracowników przed klikaniem odsyłaczy do oprogramowania ransomware w wiadomościach e-mail jest to, aby wiadomość e-mail nigdy nie dotarły do ich skrzynki odbiorczej. Korzystaj ze skanowania treści i filtrowania wiadomości e-mail, które powinny przefiltrować zagrożenia typu phishing i ransomware, zanim dotrą one do personelu.

8. ZBUDUJ PLAN JAK REAGOWAĆ NA ATAK RANSOMWARE I PRZETESTUJ GO


Plan odzyskiwania, który obejmuje wszystkie rodzaje katastrof technicznych, powinien być standardową częścią planowania biznesowego i powinien obejmować reakcję oprogramowania ransomware. To nie tylko odpowiedź techniczna - czyszczenie komputerów i ponowna instalacja danych z kopii zapasowych - ale także szersza reakcja biznesowa. To co powinno znaleźć się w takim planie to: m.in. wyjaśnienie sytuacji klientom, dostawcom i ew. mediom. Zastanów się, czy należy powiadomić organy regulacyjne UODO, czy powinieneś wezwać policję .Posiadanie samej dokumentacji nie wystarczy: musisz też przetestować przyjęte założenia, ponieważ niektóre z nich będą błędne.

7. POMYŚL, ZANIM ZAPŁACISZ OKUP


Oszuści ransomware znaleźli drogę przez twoje zabezpieczenia i teraz każdy komputer w firmie jest zaszyfrowany. Możesz przywrócić dane z kopii zapasowych jeśli ją masz, ale zajmie to kilka dni, a przestępcy chcą tylko kilku tysięcy dolarów. Czas zapłacić?

Dla niektórych może to być oczywisty wniosek… Jeśli atakujący chcą tylko stosunkowo niewielkiej kwoty, w krótkim okresie opłacenie może mieć sens biznesowy, ponieważ oznacza to, że firma może szybko wznowić działalność. Istnieją jednak powody, dla których możesz nie chcieć płacić. Po pierwsze, nie ma gwarancji, że przestępcy przekażą klucz szyfrowania, gdy zapłacisz - w końcu są oszustami. Jeśli Twoja organizacja jest skłonna zapłacić, prawdopodobnie zachęci to do większej liczby ataków, czy to tej samej grupy, czy innych. Należy również wziąć pod uwagę szerszy wpływ. Zapłacenie okupu z własnych środków lub poprzez ubezpieczenie cybernetyczne ma na celu wynagrodzenie tych gangów. Będzie to oznaczać, że są one jeszcze lepiej finansowane i mogą prowadzić jeszcze bardziej wyrafinowane kampanie przeciwko Tobie lub innym organizacjom.

6. ZROZUM, JAKIE SĄ NAJWAŻNIEJSZE DANE I STWÓRZ SKUTECZNĄ STRATEGIĘ BACKUPu


Posiadanie bezpiecznych i aktualnych kopii zapasowych wszystkich krytycznych informacji biznesowych jest kluczową ochroną, szczególnie przed oprogramowaniem ransomware. W przypadku, gdy oprogramowanie ransomware zagraża niektórym urządzeniom, posiadanie najnowszej kopii zapasowej oznacza, że ​​można przywrócić te dane i szybko odzyskać sprawność. Ważne jest jednak, aby zrozumieć, gdzie faktycznie przechowywane są te krytyczne dla biznesu dane. Czy najważniejsze dane dyrektora finansowego znajdują się w arkuszu kalkulacyjnym na komputerze i nie są archiwizowane w chmurze, jak myślisz? Nie warto mieć kopii zapasowej, jeśli tworzysz kopię zapasową niewłaściwych rzeczy lub tworzysz ją tak rzadko, że jest bezużyteczna.

5. CO POŁĄCZONO Z TWOJĄ SIECIĄ


Komputery i serwery mogą być miejscem, w którym znajdują się Twoje dane, ale nie są to jedyne urządzenia, o które musisz się martwić. Dzięki biurowemu Wi-Fi, Internetowi Rzeczy i pracy z domu, istnieje teraz szeroka gama urządzeń łączących się z siecią firmową, z których wiele będzie pozbawionych wbudowanych zabezpieczeń, których można oczekiwać od urządzeń firmowych . Im więcej urządzeń, tym większe ryzyko, że ktoś zaoferuje hakerom tylne wejście do Twojej sieci, a następnie użyje tego dostępu, aby przejść przez swoje systemy do bardziej lukratywnych celów niż źle zabezpieczona drukarka lub inteligentny automat sprzedający. Zastanów się również, kto jeszcze ma dostęp do Twoich systemów: czy Twoi dostawcy są świadomi potencjalnego ryzyka związanego z oprogramowaniem ransomware i innym złośliwym oprogramowaniem?

4. UTRZYMAJ BEZPIECZEŃSTWO W SWOJE SIECI


Gangi ransomware coraz częściej szukają jak największej „nagrody”. Szyfrowanie danych na jednym komputerze nie uczyni ich bogatymi, więc chcą uzyskać dostęp do sieci, a następnie rozprzestrzenić swoje złośliwe oprogramowanie tak daleko, jak to możliwe, przed naciśnięciem przycisku i zaszyfrowaniem wszystkiego. Utrudnij to, segmentując sieci, a także ograniczając i zabezpieczając liczbę kont administratorów, które mają szeroki dostęp. Wiadomo, że ataki phishingowe są wymierzone w programistów po prostu dlatego, że mają szeroki dostęp do wielu systemów.

3. SZKOLENIE PRACOWNIKÓW, ABY ROZPOZNAĆ PODEJRZANE E-MAILE


Jedną z klasycznych dróg przedostania się oprogramowania ransomware do Twojej organizacji jest poczta e-mail. Dzieje się tak dlatego, że rozsyłanie złośliwego oprogramowania na tysiące adresów e-mail jest tanim i łatwym sposobem dla gangów ransomware na próby rozprzestrzeniania złośliwego oprogramowania. Pomimo podstawowego charakteru tej taktyki, jest ona nadal przygnębiająco skuteczna.

Szkolenie personelu w zakresie rozpoznawania podejrzanych wiadomości e-mail może pomóc w ochronie przed oprogramowaniem ransomware i innymi zagrożeniami związanymi z pocztą elektroniczną, takimi jak phishing. Podstawowa zasada: nie otwieraj e-maili od nadawców, których nie rozpoznajesz. I nie klikaj łączy w wiadomości e-mail, jeśli nie masz całkowitej pewności, że jest ona uzasadniona. O ile to możliwe, unikaj załączników i uważaj na załączniki proszące o włączenie makr, ponieważ jest to klasyczna droga do infekcji złośliwym oprogramowaniem. Rozważ użycie uwierzytelniania dwuskładnikowego jako dodatkowej warstwy zabezpieczeń.

2. ZMIANA DOMYŚLNYCH HASEŁ WE WSZYSTKICH PUNKTACH DOSTĘPU


Kliknięcie złego linku w wiadomości e-mail jest prawdopodobnie najbardziej znanym sposobem zarażenia się złośliwym oprogramowaniem, ale nie jest to jedyny sposób. Według badań przeprowadzonych przez firmę F-Secure, prawie jedna trzecia oprogramowania ransomware była rozpowszechniana za pomocą ataków brute force i protokołu zdalnego pulpitu (RDP). Ataki siłowe to próby hakerów uzyskania dostępu do serwerów i innych urządzeń poprzez wypróbowanie jak największej liczby haseł, zwykle przy pomocy botów.

Ponieważ wielu firmom nie udaje się zmienić domyślnych haseł lub użyć łatwych do odgadnięcia kombinacji, ataki brute force są bardziej skuteczne. RDP umożliwia zdalne sterowanie komputerami i jest kolejną popularną metodą ataku ransomware. Istnieją kroki, które należy podjąć, aby zmniejszyć ryzyko ataku za pośrednictwem protokołu RDP, począwszy od zapewnienia stosowania silnych haseł, poprzez zmianę portu RDP, aż po ograniczenie jego dostępności tylko do tych urządzeń, które naprawdę go potrzebują.

1. STOSUJ ŁATKI DO OPROGRAMOWANIA, ABY UTRZYMAĆ AKTUALNOŚCI SYSTEMÓW


Naprawianie błędów w oprogramowaniu to bolesna, czasochłonna i żmudna praca. Jest to również istotne dla Twojego bezpieczeństwa . Gangi ransomware wykorzystają wszelkie luki w oprogramowaniu i spróbują wykorzystać je jako sposób na dostęp do sieci, zanim firmy zdążą przetestować i wdrożyć poprawki. Klasycznym przykładem tego, co się stanie, jeśli nie zearagujesz wystarczająco szybko, jest WannaCry. To oprogramowanie ransomware wywołało chaos latem 2017 r., znacząco zakłócając działanie NHS w Wielkiej Brytanii. Łata dla bazowego exploita protokołu Windows Server Message Block, który umożliwił WannaCry rozprzestrzenianie się, została wydana kilka miesięcy przed atakiem ransomware. Jednak niewystarczająca liczba organizacji zastosowała tę poprawkę do swojej infrastruktury i przez to zainfekowano ponad 300 000 komputerów. To lekcja, której wiele organizacji wciąż musi się nauczyć.

DODATKOWA WSKAZÓWKA: NIE PODŁĄCZAJ NIEZNANYCH URZĄDZEŃ/NOŚNIKÓW USB ...


... np. ten, który znalazłeś na ulicy obok biura. Chyba nie musimy ostrzegać przed takimi rzeczami? ?