Kako se lahko brani pred odkupi

Vsi vemo, da je odkupna programska oprema ena najbolj uničujočih različic zlonamerne programske opreme. Govorite o kliku na napačni povezavi in ​​o tem, da bodo podatki vaše organizacije izginili v močvirje šifriranega spleta ali celo njegovih strežniških operacijskih sistemov (OS) in drugih kritičnih datotek, ki preprosto nekega dne izginejo. Odkupnino lahko plačate, vendar to ni lahko samo drago, ampak tudi ne jamči, da vam bodo negativci vrnili podatke.

Ko ste prizadeti, so vaše odločitve nejasne: bodisi upate, da boste lahko z uporabo varnostnih kopij, ki temeljijo na oblaku, ponovno vzpostavili delovanje sistemov ali plačali odkupnino in upali, da bo ključ za dešifriranje deloval. Ampak to je samo, če ste prizadeti. Boljša izbira je, da preprečite, da bi se vaše datoteke najprej šifrirale ali, če so nekatere datoteke prizadete, preprečile širjenje napada. Ključno je, da izboljšate varnostno igro vašega podjetja, da preprečite napad.

Kako se izogniti napadu z izplačilom

Prvi korak je tisto, kar Izrael Barak, glavni uradnik za varnost informacij (CISO), razvijalca programske opreme za odkrivanje in odziv končnih točk Cybereason, imenuje "IT in varnostna higiena." To pomeni izogibanje ranljivosti in filtriranje e-poštnega in spletnega prometa. Pomeni tudi usposabljanje uporabnikov in zagotovitev, da so popravki za vaš OS, aplikacije in varnostne izdelke popolnoma posodobljeni.

Drugi korak je oblikovanje strategije neprekinjenega poslovanja in okrevanja. To pomeni, da v resnici naredite načrt, kdaj bodo stvari slabe, namesto da bi samo upali, da se ne bodo. Barak je dejal, da to vključuje vzpostavitev varnostnih kopij in preizkušanje, veste, kako boste obnovili prizadete storitve, vedeli, kje boste dobili sredstva za računalništvo za obnovitev, in veste, da bo celoten načrt obnovitve deloval, ker ste ga dejansko preizkusili.

Tretji korak je vzpostavitev zaščite pred zlonamerno programsko opremo. Barak je dejal, da to vključuje zaščito pred zlonamerno programsko opremo, ki vstopa v vaše omrežje, in zaščito pred izvajanjem zlonamerne programske opreme, ko je v vaših sistemih. Na srečo je večino zlonamerne programske opreme dokaj enostavno opaziti, saj avtorji zlonamerne programske opreme pogosto delijo uspešne rutine.

Zakaj je Ransomware drugačna

Žal ransomware ni kot druga škodljiva programska oprema. Barak je dejal, da ker odkupna programska oprema na računalniku prebiva le kratko, se ni težko izogniti odkrivanju, preden konča šifriranje in je poslala sporočilo o odkupi. Poleg tega lahko, za razliko od drugih vrst zlonamerne programske opreme, zlonamerna programska oprema, ki dejansko šifrira datoteko, na računalnike žrtve prispe samo nekaj trenutkov pred začetkom šifriranja.

Dve relativno novi vrsti zlonamerne programske opreme - Ryuk in SamSam - vstopata v vaše sisteme pod vodstvom človeškega operaterja. V primeru Ryuka je ta operater najverjetneje v Severni Koreji, pri SamSamu pa v Iranu. V vsakem primeru se napad začne z iskanjem poverilnic, ki omogočajo vstop v sistem. Ko tam operater pregleda vsebino sistema, se odloči, katere datoteke šifrirati, poviša privilegije, išče in izključi programsko opremo proti zlonamerni programski opremi in povezave do varnostnih kopij, ki jih je treba tudi šifrirati, ali v nekaterih primerih deaktivira varnostne kopije. Nato se po večmesečnih pripravah zlonamerna programska oprema naloži in zažene; svoje delo lahko konča v nekaj minutah - prehitro, da bi človeški operater posredoval.

"V SamSamu niso uporabljali običajnega lažnega predstavljanja, " je pojasnil Carlos Solari, podpredsednik razvijalca rešitev za kibernetsko varnost Comodo Cybersecurity in nekdanji direktor CIO Bele hiše. "Uporabljali so spletna mesta in ukradli poverilnice ljudi ter uporabljali grobo silo, da so dobili gesla."

Solari je dejal, da teh vdorov pogosto ne zaznamo, ker zlonamerna programska oprema ni vpletena do samega konca. Vendar je dejal, da, če je pravilno izvedeno, obstajajo načini, kako ustaviti napad na tej točki. Ponavadi, po njegovem mnenju, bodo kriminalci iskali po imeniških omrežjih in jih napadli, da bodo lahko pridobili privilegije na upravni ravni, potrebne za njihovo uprizoritev. Na tej točki lahko sistem za zaznavanje vdorov (IDS) zazna spremembe in če omrežni operaterji vedo, kaj naj iščejo, potem lahko sistem zaklenejo in izženejo vsiljivce.

"Če bodo pozorni, bodo potem ugotovili, da je nekdo v notranjosti, " je dejala Solari. "Pomembno je najti notranjo in zunanjo obveščevalno nevarnost. Iščete nepravilnosti v sistemu."

Kako se zaščititi

Za manjša podjetja Solari predlaga, da podjetja kot storitev najdejo Varnostno operacijski center za zaznavanje in odziv (MDR). Dodal je, da bodo večja podjetja morda želela najti upravljanega ponudnika varnostnih storitev (MSSP). Vsaka rešitev bo omogočila spremljanje pozornosti na varnostne dogodke, vključno z uprizoritvijo pred velikim napadom z odkupi.

Poleg spremljanja vašega omrežja je pomembno tudi, da omrežje naredite tako, da bo čim bolj neprimerno za kriminalce. Po besedah ​​Adama Kujawe, direktorja Malwarebyte Labs, je eden ključnih korakov, da segmentirate svoje omrežje, da se vsiljivec ne more preprosto premikati po vašem omrežju in imeti dostop do vsega. "Ne bi smeli hraniti vseh svojih podatkov na istem mestu, " je dejal Kujawa. "Potrebujete globljo raven varnosti."

Če pa se izkaže, da invazivne faze niste napadli pred napadom ransomware, je tu še en sloj ali odziv, ki je odkrivanje zlonamerne programske opreme ob zagonu šifriranja datotek.

"Dodali smo vedenjski mehanizem, ki se opira na vedenje, značilno za odkupno programsko opremo, " pojasnjuje Barak. Dejal je, da takšna programska oprema gleda, kaj lahko počne izsiljevalna programska oprema, na primer šifriranje datotek ali brisanje varnostnih kopij, nato pa ukrepa, da ubije postopek, preden lahko naredi škodo. "Učinkovitejši je proti še nikoli videnim sevom odkupne programske opreme."

Zgodnja opozorila in zaščita

Da bi zagotovil obliko zgodnjega opozorila, je Barak dejal, da je Cybereason še en korak. "Kar smo storili, je uporaba mehanizma izjem, " je dejal. "Ko je programska oprema Cybereason končna, ustvari niz osnovnih datotek, ki so nameščene v mapah na trdem disku, zaradi katerih bi ransomware poskušali najprej šifrirati." Povedal je, da se spremembe teh datotek zaznajo takoj, Nato bo programska oprema Cybereason ali podobna programska oprema iz Malwarebytes postopek končala in v mnogih primerih zlonamerno programsko opremo posodobila zlonamerno programsko opremo, da ne bo naredila dodatne škode.

Torej, obstaja več slojev obrambe, ki lahko preprečijo napad z odvzemom programske opreme, in če imate vse funkcionalne in na svojem mestu, bi uspešen napad moral slediti vrsti neuspehov, da bi se to zgodilo. In te napade lahko zaustaviš kjerkoli po verigi.

Bi morali plačati odkupnino?

A predpostavimo, da se odločite, da želite takoj plačati odkupnino in obnoviti operacije? "Za nekatere organizacije je to izvedljiva možnost, " je dejal Barak.

Oceniti bi morali stroške prekinitve poslovanja, da bi ugotovili, ali so stroški za začetek obratovanja boljši od stroškov obnove. Barak je dejal, da pri poslovnih napadih z odkupi "v večini primerov datoteke dobite nazaj."

Toda Barak je dejal, da če plačilo odkupnine obstaja, potem imate druge pomisleke. "Kako se vnaprej pripravimo na mehanizem za pogajanja o stroških vračila storitev? Kako jih plačamo? Kako oblikujemo mehanizem za posredovanje te vrste plačila?"

Po Barakovih besedah ​​skoraj vsak napad z odvzemom programske opreme vključuje sredstvo za komunikacijo z napadalcem, večina podjetij pa se poskuša dogovoriti za posel, v katerem so ponavadi napadalci ransomwarea odprti. Lahko se na primer odločite, da potrebujete samo del šifriranih strojev in se samo pogajate za vrnitev teh strojev.

• Najboljša zaščita pred Ransomware za 2019 Najboljša zaščita pred Ransomware za leto 2019
• Hekserji SamSam Ransomware rake v vrednosti 5, 9 milijona dolarjev Samski Ramerski hekerji rake v vrednosti 5, 9 milijona dolarjev
• 2 Iranci za SamSam Ransomware Attacks, ZDA zahteva 2 Iračani za SamSam Ransomware Attacks, zahtevki ZDA

"Načrt je treba pripraviti pred časom. Kako se boste odzvali, kdo bo komuniciral, kako boste plačali odkupnino?" Je rekel Barak.

Čeprav je plačilo izvedljiva možnost, za večino organizacij ostaja možnost zadnjega jarka in ne odziv. Obstaja veliko spremenljivk, ki jih v tem scenariju ne morete nadzorovati. Poleg tega, ko plačate enkrat, nikoli ne morete zagotoviti, da v prihodnosti ne boste napadli več denarja. Boljši načrt je uporaba trdne obrambe, ki je dovolj težko odvrniti večino napadov zlonamerne programske opreme in premagati tistih nekaj, ki jim uspe. Karkoli se boste odločili, ne pozabite, da praktično vsaka rešitev zahteva, da jo varnostno varnostno kopirate. Naredite to zdaj, to storite pogosto in pogosto tudi preizkusite, da se prepričate, da bodo stvari nemoteno delovale v ščepcu.