Kako zaščititi in obnoviti svoje podjetje pred odkupi

ZDA si prizadevajo za popoln vpliv svetovne epidemije odkupa, ki temelji na sevu zlonamerne programske opreme Wanna Decryptor. Pomembno je, da svoje podjetje in podatke zaščitite pred to hitro grožnjo, a ko bomo že pretekli, se morate spomniti, da je Wanna Decryptor le najhujši primer težave z odkupno programsko opremo.

V zvezi z odkupi je treba vedeti tri stvari: strašljivo je, hitro raste in je velik posel. Po podatkih FBI-jevega centra za pritožbe proti kriminalu (IC3) je bilo med aprilom 2014 in junijem 2015 prejetih več kot 992 pritožb, povezanih s kriptovalutami, kar je povzročilo več kot 18 milijonov dolarjev izgube. Ta maligni uspeh se odraža v stopnji rasti odkupne programske opreme z indeksom grožnje Infoblox DNS, ki je v prvem četrtletju 2016 (v primerjavi s četrtim četrtletjem 2015) poročil o 35-kratnem povečanju novih domen, ustvarjenih za ransomware.

Na splošno ransomware pade šifrirano steno med podjetjem in notranjimi podatki in aplikacijami, ki jih podjetje potrebuje za delovanje. Toda ti napadi so lahko veliko resnejši kot preprosto nedostopnost podatkov. Če niste pripravljeni, bi lahko vaše podjetje ustavilo.

Samo vprašajte Hollywood Presbyterian Medical Center. Dolgo pred Wannom Decryptorjem se je bolnišnica naučila boleče lekcije, ko je osebje med izbruhom odkupne programske opreme v začetku leta 2016 izgubilo dostop do svojih osebnih računalnikov. Bolnišnica je plačala 17.000 dolarjev odkupnine, potem ko so zaposleni 10 dni zanašali na telefaks in papirne karte. Ali pa vprašajte policijsko upravo Tewksbury. Aprila 2015 so plačali odkupnino za povrnitev dostopa do šifriranih zapisnikov o aretacijah in incidentih.

Kako se okužijo podjetja?

Če je na kateri koli ravni srebrna podloga Wanna Decryptor, potem to brez dvoma dokazuje, da je grožnja, ki jo predstavlja izsiljevalnica, resnična. Noben podjetnik ali uslužbenec ni zaščiten pred možnim napadom odkupa. Pomembno je razumeti, kako ransomware okuži računalnike, preden se pogovorite, kako zaščititi svoje podjetje pred njim ali kako se odzvati, če ste ogroženi. Razumevanje izvora in načina okužbe omogoča vpogled v to, da ostajamo varni.

Ransomware običajno prihaja iz enega od dveh virov: ogroženih spletnih mest in e-poštnih prilog. Ogroženo zakonito spletno mesto lahko gosti komplet za izkoriščanje, ki okuži vaš računalnik, običajno s pomočjo brskalniškega izkoriščanja. Ista metodologija lahko uporablja spletna stran za lažno predstavljanje. Po nalogu za prenos namestite odkupno programsko opremo in začne šifrirati datoteke.

V primeru zlonamerne e-poštne priloge se uporabniki preizkusijo v odpiranju priloge, ki nato namesti odkupno programsko opremo. To je lahko tako preprosto kot ponarejeno e-poštno sporočilo z izvršljivo prilogo, okužena datoteka programa Microsoft Word, ki vas napelje k ​​omogočanju makrov, ali datoteka s preimenovano pripono, kot je datoteka, ki se konča v "PDF", vendar je res EXE datoteka (izvedljiv).

"V obeh primerih se uporablja nekakšen socialni inženiring, da uporabnika zvabi, da se okuži, " pravi Luis Corrons, tehnični direktor PandaLabs v Panda Security. "To podjetjem ponuja odlično priložnost za izobraževanje svojih uporabnikov, da se izognejo tem tveganjem, vendar na žalost večina malih podjetij to zanemarja in izpusti priložnost, da si prihranijo velik glavobol."

Trenutno ni srebrne krogle, ki bi vaši organizaciji zagotavljala varnost pred ransomware. Vsako podjetje mora narediti pet korakov, ki lahko drastično zmanjšajo možnosti za okužbo - in tudi lajšajo bolečino, če napad napada uspe.

Pripravite se

Ključna sestavina za pripravo napada na izsiljevalsko programsko opremo je razvoj močne strategije varnostnega kopiranja in redne varnostne kopije. "Trdne varnostne kopije so ključni sestavni del strategije proti ransomware, " je dejal Philip Casesa, strateg za razvoj izdelkov v ISC2, svetovni nepridobitni organizaciji, ki certificira varnostne strokovnjake. "Ko so vaše datoteke šifrirane, je vaša edina sposobna možnost obnoviti varnostno kopijo. Druge druge možnosti so plačilo odkupnine ali izguba podatkov."

"Morate imeti nekakšno varnostno kopijo. Prava varnostna rešitev sredstev, ki ste jih določili, je bistvenega pomena za vaše podjetje, " je nadaljeval Casesa. "Varnostno kopiranje ali sinhronizacija datotek bo ustvarila varnostno kopijo vaših šifriranih datotek. Potrebujete trden postopek varnostnega kopiranja, kamor se lahko vrnete nekaj dni nazaj in obnovite lokalne in strežniške aplikacije in podatke."

Paro Security's Corrons ponuja dodatno previdnost: varnostne kopije so "ključne, če obramba ne uspe, vendar se prepričajte, da ste odstranili programsko opremo pred obnovitvijo varnostnih kopij. Na PandaLabs smo opazili, da šifrirajo varnostne datoteke z odkupno programsko opremo."

Dobra strategija, ki jo je treba upoštevati, je večplastna ali porazdeljena varnostna rešitev, ki hrani več kopij datotek varnostnih kopij na različnih lokacijah in na različnih medijih (tako da okuženo vozlišče nima takoj dostopa tako do trenutnih skladišč datotek kot do arhivov varnostnih kopij). Takšne rešitve so na voljo pri številnih spletnih prodajalcih varnostnih kopij za mala in srednje velika podjetja (SMB), pa tudi pri večini prodajalcev DRaaS (Disaster-Recovery-as-a-Service).

Preprečiti

Kot smo že omenili, je izobraževanje uporabnikov močno, vendar pogosto prezrto orožje v vašem arzenalu proti ransomware. Naučite uporabnike, da prepoznajo tehnike socialnega inženiringa, se izogibajo kliki in nikoli ne odpirajo priloge od nekoga, ki ga ne poznajo. Priloge ljudi, ki jih poznajo, je treba gledati in odpirati previdno.

"Razumevanje, kako se širi ransomware, prepozna vedenja uporabnikov, ki jih je treba spremeniti, da bi zaščitili vaše podjetje, " je dejal Casesa. "E-poštne priloge so tveganje številka ena za okužbo, prenosi, ki jih povzroči prenos, so številka dve, zlonamerne povezave v e-pošti pa so številka tri. Ljudje igrajo pomemben dejavnik okužbe z odkupno programsko opremo."

Izobraževanje uporabnikov, da upoštevajo grožnjo ransomware, je lažje, kot si mislite, zlasti za mala in srednja podjetja. Seveda je lahko v tradicionalni obliki dolgotrajnega internega seminarja, lahko pa gre tudi preprosto za skupinska kosila, na katerih IT dobi priložnost za obveščanje uporabnikov z interaktivno razpravo - za nizko ceno nekaj pizz. Razmislite o najemu zunanjega varnostnega svetovalca za usposabljanje z nekaj dodatnimi videoposnetki ali primeri iz resničnega sveta.

Zaščititi

Najboljše mesto za začetek zaščite vašega SMB pred odkupovalno programsko opremo je s temi štirimi strategijami za ublažitev posledic: bela seznamov aplikacij, popravki aplikacij, popravljanje operacijskih sistemov (operacijskih sistemov) in zmanjšanje administrativnih privilegijev. Casesa je hitro opozoril, da "ti štirje nadzorniki skrbijo za 85 ali več groženj zlonamerne programske opreme."

Za mala in srednje velika podjetja, ki se še vedno zanašajo na posamezen računalniški antivirus (AV) zaradi varnosti, prehod na varno rešitev za končno točko omogoča IT centraliziranje varnosti za celotno organizacijo in popoln nadzor nad temi ukrepi. To lahko drastično poveča učinkovitost AV in anti-malware.

Ne glede na izbrano rešitev, se prepričajte, da vključuje zaščito, ki temelji na vedenju. Vsi trije naši strokovnjaki so se strinjali, da anti-malware, ki temelji na podpisih, ni učinkovit proti sodobni grožnji s programsko opremo.

Ne plačaj

Če se še niste pripravili in se zaščitili pred odkupno programsko opremo in se okužite, je morda skušnja plačati odkupnino. Na vprašanje, ali je to pametna poteza, pa so bili naši trije strokovnjaki enotni v svojem odgovoru. Corrons je hitro poudaril, da je "plačevanje tvegano. Zdaj zagotovo izgubljate denar in morda datoteke vračate nešifrirane." Konec koncev, zakaj bi zločinec postal častitljiv, potem ko ste ga plačali?

S plačevanjem kriminalcev jim dajete spodbudo in sredstva za razvoj boljše odkupne programske opreme. "Če plačaš, toliko slabše narediš za vse druge, " pravi Casesa. "Slabi fantje porabijo vaš denar za razvoj nastirne zlonamerne programske opreme in okužbo drugih."

Zaščita bodočih žrtev morda ni najbolj v mislih, ko poskušate voditi podjetje z njegovimi podatki kot talci, ampak glejte na to iz te perspektive: da bi lahko bila naslednja žrtev vi vedno znova, tokrat pa se še bolj borite učinkovita zlonamerna programska oprema, ki ste jo pomagali plačati pri razvoju.

Casesa poudarja, da ste "s plačilom odkupnine postali kriminalistična tarča, saj vedo, da boste plačali." V prodajnem jeziku postanete kvalificirani vodja. Tako kot med tatovi ni časti, tudi ni zagotovila, da se odkupi v celoti odstranijo. Kriminalec ima dostop do vašega računalnika in lahko odšifrira vaše datoteke in na njem pusti zlonamerno programsko opremo, da spremlja vaše dejavnosti in ukrade dodatne informacije.

Ostanite produktivni

Če je škoda, ki jo povzroča ransomware, povzročila motnje v vašem podjetju, zakaj potem s premikom v oblak ne ukrepate za povečanje neprekinjenosti poslovanja? "Raven zaščite in splošna varnost, ki jo dobite iz oblaka, je veliko večja od tistega, kar bi si lahko privoščilo majhno podjetje, " poudarja Brandon Dunlap, globalni CISO iz Black & Veatch. "Ponudniki v oblaku imajo skeniranje zlonamerne programske opreme, izboljšano preverjanje pristnosti in številne druge zaščite, zaradi katerih so možnosti za napad z odkupno programsko opremo zelo nizke."

Vsaj premaknite e-poštne strežnike v oblak. Dunlap poudarja, da je "e-pošta velikanski napad na ransomware. Premaknite se v oblak, kjer ponudniki združijo več varnostnih kontrol, kot so skeniranje zlonamerne programske opreme in DLP." Dodatne varnostne plasti, kot so ugled spletnega mesta, ki temelji na proxyju, in pregledovanje prometa, se lahko dodajo prek številnih storitev v oblaku in lahko dodatno omejijo vašo izpostavljenost odkupi.

Dunlap je navdušen nad zaščito, ki jo oblak ponuja pred ransomware. "Smo v fantastičnem trenutku tehnološke zgodovine z množico rešitev z nizkim trenjem za številne težave, s katerimi se soočajo mala podjetja, " je dejal Dunlap. "Zaradi tega so mala podjetja spretnejša z vidika IT."

Če se vaš lokalni stroj okuži z odkupno programsko opremo, morda sploh ne bo pomembno, ali so vaši podatki v oblaku. Obrišite svoj lokalni stroj, ga znova slikajte, se ponovno povežite s storitvami v oblaku in spet ste v poslu.

Ne čakajte, da se čevelj spusti

To ni ena tistih situacij, v katerih je pristop čakajočih najboljša taktika. Wanna Decryptor jasno kaže, da je odkupna programska oprema tam zunaj; raste v velikanskih skokih, tako v prefinjenosti kot v priljubljenosti slabih fantov - in zagotovo te išče. Tudi potem, ko ta trenutna grožnja prevlada, je zelo pomembno, da sprejmete ukrepe za zaščito podatkov in končnih točk pred okužbo.

Ustvarite redne varnostne kopije, usposabljajte zaposlene, da se izognejo okužbam, popravite aplikacije in operacijske sisteme, omejite privilegije skrbnika in zaženite programsko opremo proti zlonamerni programski opremi, ki ne temelji na podpisu. Če sledite tem nasvetom, lahko preprečite vse okužbe, razen najbolj krvavih (in tiste, ki najverjetneje ne ciljajo na SMB). V primeru, da napad napada prek vaše obrambe, imejte jasen in preizkušen načrt za IT, da očistite okužbo, obnovite varnostne kopije in nadaljujete z običajnim poslovanjem.

Če ne sledite tem najboljšim praksam in se okužite, vedite, da plačilo odkupnine ne daje nikakršnih garancij, vas kvalificira kot zanič kriminalcem in jim daje sredstva za razvoj še bolj zahrbtne odkupne programske opreme (in spodbude da jo uporabljate na sebi čim pogosteje). Ne bodi žrtev. Namesto tega si vzemite čas, da pozneje izkoristite koristi: pripravite se, preprečite, zaščitite in ostanite produktivni.