Domov obchodné Ako sa dokáže brániť proti ransomware

Ako sa dokáže brániť proti ransomware

Obsah:

Video: Did a Ransomware Virus Encrypt Your Files? Are You Looking For Ransomware Decryption Tools? ☣️🚫📁 (November 2024)

Video: Did a Ransomware Virus Encrypt Your Files? Are You Looking For Ransomware Decryption Tools? ☣️🚫📁 (November 2024)
Anonim

Všetci vieme, že ransomware je jednou z najničivejších variantov škodlivého softvéru. Hovoríte o tom, že kliknete na nesprávny odkaz a necháte údaje svojej organizácie zmiznúť v bažine šifrovaného bláznovstva alebo dokonca jeho operačných systémov pre servery (OS) a ďalších kritických súborov, ktoré jedného dňa jednoducho zmiznú. Môžete zaplatiť výkupné, ale to môže byť nielen drahé, ale tiež nezaručuje, že vám zlí ľudia vrátia vaše údaje.

Keď ste zasiahnutí, vaše voľby sú chmúrne: buď dúfajte, že môžete obnoviť prevádzku svojich systémov pomocou zálohovania v cloude alebo zaplatiť výkupné a dúfajte, že dešifrovací kľúč funguje. Ale to je len vtedy, ak ste zasiahnutí. Lepšou voľbou je zabrániť šifrovaniu súborov na prvom mieste alebo, ak dôjde k zasiahnutiu niektorých súborov, potom zabráni šíreniu útoku. Kľúčom je zvýšiť bezpečnostnú hru vašej spoločnosti, aby nedošlo k útoku.

Ako sa vyhnúť útoku Ransomware

Prvým krokom je to, čo Israel Barak, hlavný úradník pre bezpečnosť informácií (CISO) vývojového softvéru pre detekciu koncových bodov a reakciu na softvér, Cybereason nazýva „IT a bezpečnostná hygiena“. To znamená vyhnúť sa zraniteľnostiam a filtrovať e-maily a webový prenos. Znamená to tiež zabezpečenie školenia používateľov a zaistenie úplnosti aktuálnosti opráv pre váš operačný systém, aplikácie a bezpečnostné produkty.

Druhým krokom je stratégia kontinuity činnosti a obnovy. To znamená, že v skutočnosti urobíme plán, kedy sa situácia zhorší, namiesto toho, aby sme len dúfali. Barak uviedol, že to zahŕňa zálohovanie a testovanie, vedieť, ako obnovíte ovplyvnené služby, vedieť, kde získate počítačové prostriedky na obnovenie, a vedieť, že váš úplný plán obnovy bude fungovať, pretože ste ho skutočne otestovali.

Tretím krokom je zavedenie ochrany pred škodlivým softvérom. Barak uviedol, že to zahŕňa ochranu pred vstupom škodlivého softvéru do vašej siete a ochranu pred vykonaním škodlivého softvéru počas vašich systémov. Našťastie väčšina škodlivého softvéru sa dá ľahko zistiť, pretože autori škodlivého softvéru často zdieľajú úspešné postupy.

Prečo je Ransomware iný

Bohužiaľ, ransomware nie je ako iný malware. Barak povedal, že pretože ransomware je v počítači iba krátky čas, nie je ťažké vyhnúť sa detekcii skôr, ako sa dokončí jeho šifrovanie a odošle správa ransomware. Okrem toho sa na rozdiel od iných typov škodlivého softvéru môže malware, ktorý skutočne vykonáva šifrovanie súborov, dostať do počítačov obete iba krátko pred začiatkom šifrovania.

Dva relatívne nedávne typy škodlivého softvéru - Ryuk a SamSam - vstupujú do vašich systémov pod vedením ľudského operátora. V prípade spoločnosti Ryuk sa tento operátor pravdepodobne nachádza v Severnej Kórei a so SamSam v Iráne. V každom prípade útok začína nájdením poverení, ktoré umožňujú vstup do systému. Len čo tam operátor skontroluje obsah systému, rozhodne, ktoré súbory zašifruje, zvýši oprávnenia, vyhľadá a deaktivuje softvér proti malvéru a odkazy na zálohy sa zašifruje alebo v niektorých prípadoch zálohy deaktivuje. Potom, asi po mesiacoch prípravy, sa načíta a spustí šifrovací malware; môže dokončiť svoju prácu v priebehu niekoľkých minút - príliš rýchlo na to, aby zasahoval ľudský operátor.

„V SamSam nepoužívali konvenčné phishing, “ vysvetlil Carlos Solari, viceprezident vývojových riešení pre kybernetickú bezpečnosť Comodo Cybersecurity a bývalý CIO Bieleho domu. „Používali webové stránky a ukradli poverenia ľudí a na získanie hesiel použili hrubú silu.“

Solari povedal, že tieto vniknutia sa často nedetegujú, pretože do samého konca nie je zapojený žiadny škodlivý softvér. Povedal však, že ak sa to urobí správne, existujú spôsoby, ako zastaviť útok. Zločinci spravidla pôjdu po adresárových službách v sieti a zaútočia na nich, aby mohli získať oprávnenia na administratívnej úrovni, ktoré sú potrebné na ich uskutočnenie pri útoku. V tomto okamihu môže systém detekcie narušenia (IDS) detekovať zmeny a ak sieťoví operátori vedia, čo majú hľadať, potom môžu systém uzamknúť a vyhodiť votrelcov.

„Ak dávajú pozor, uvedomia si, že niekto je vo vnútri, “ povedal Solari. „Je dôležité nájsť inteligenciu interných a externých hrozieb. Hľadáte anomálie v systéme.“

Ako sa chrániť

Pokiaľ ide o menšie spoločnosti, spoločnosť Solari navrhuje, aby spoločnosti považovali za službu operačné centrum spravovania detekcie a reakcie (MDR) (SOC). Dodal, že väčšie spoločnosti môžu chcieť nájsť poskytovateľa spravovaných bezpečnostných služieb (MSSP). Obidve tieto riešenia umožnia sledovať bezpečnostné udalosti vrátane inscenovania pred hlavným útokom s ransomware.

Okrem monitorovania vašej siete je tiež dôležité, aby vaša sieť bola čo najviac nehostinná pre zločincov. Podľa Adama Kujawu, riaditeľa Malwarebyte Labs, je jedným z kritických krokov segmentácia vašej siete tak, aby sa útočník nemohol jednoducho pohybovať v celej sieti a mať prístup ku všetkému. „Nemali by ste uchovávať všetky svoje údaje na rovnakom mieste, “ povedal Kujawa. „Potrebujete hlbšiu úroveň bezpečnosti.“

Ak sa však ukáže, že ste pred útokom ransomware nezistili invazívne fázy, existuje ďalšia vrstva alebo reakcia, ktorou je detekcia správania škodlivého softvéru pri začatí šifrovania súborov.

„Pridali sme mechanizmus správania, ktorý sa spolieha na správanie, ktoré je typické pre ransomware, “ vysvetľuje Barak. Povedal, že takýto softvér sleduje, čo by mohol robiť ransomware, napríklad šifrovanie súborov alebo vymazanie záloh, a potom podnikne kroky na zabitie procesu skôr, ako spôsobí akékoľvek poškodenie. "Je to účinnejšie proti doteraz nevídaným kmeňom ransomware."

Včasné varovania a ochrany

S cieľom poskytnúť formu včasného varovania Barak uviedol, že Cybereason urobil ďalší krok. „To, čo sme urobili, je použitie mechanizmu výnimky, “ povedal. „Keď softvér Cybereason pokračuje v koncovom bode, vytvára sériu základných súborov, ktoré sú umiestnené v priečinkoch na pevnom disku, vďaka čomu ich ransomware pokúsi šifrovať ako prvý.“ Povedal, že zmeny v týchto súboroch sa zistia okamžite, Softvér spoločnosti Cybereason alebo podobný softvér od spoločnosti Malwarebytes potom proces ukončí av mnohých prípadoch škodlivý softvér usporiada do kontajnerov, aby nemohol spôsobiť žiadne ďalšie poškodenie.

Existuje teda niekoľko úrovní obrany, ktoré môžu zabrániť útoku ransomware, a ak ich všetky máte funkčné a na svojom mieste, úspešný útok by musel nasledovať sériu zlyhaní, aby sa tak stalo. A tie útoky môžete zastaviť kdekoľvek v reťazci.

Mali by ste platiť výkupné?

Ale predpokladajme, že sa rozhodnete platiť výkupné a okamžite obnoviť operácie? „Pre niektoré organizácie je to realizovateľná alternatíva, “ povedal Barak.

Museli by ste vyhodnotiť náklady na prerušenie podnikania, aby ste zistili, či sú náklady na opätovné uvedenie do prevádzky lepšie ako náklady na reštaurovanie, berúc do úvahy všetky veci. Barak povedal, že pri podnikových útokoch s ransomware „vo väčšine prípadov súbory dostanete späť.“

Ale Barak povedal, že ak je zaplatenie výkupného možné, máte ďalšie úvahy. „Ako sa vopred pripravíme na mechanizmus dohodnutia nákladov na vrátenie služieb? Ako ich platíme? Ako vytvoríme mechanizmus sprostredkovania tohto typu platby?“

Podľa Baraka obsahuje takmer každý útok na ransomware prostriedky na komunikáciu s útočníkom a väčšina podnikov sa snaží vyjednávať dohodu, pre ktorú sú útočníci ransomware zvyčajne otvorení. Napríklad sa môžete rozhodnúť, že budete potrebovať iba časť počítačov, ktoré boli šifrované, a len sa dohodnete na vrátení týchto počítačov.

  • Najlepšie Ransomware ochrana pre rok 2019 Najlepšie Ransomware ochrana pre rok 2019
  • Hackeri SamSam Ransomware dosahujú 5, 9 milióna dolárov Hackeri SamSam Ransomware dosahujú 5, 9 milióna dolárov
  • 2 Iránci za útokmi SamSam Ransomware, USA Tvrdenia 2 Iránci za útokmi SamSam Ransomware, USA

„Plán musí byť zavedený v predstihu. Ako budete reagovať, kto bude komunikovať, ako zaplatíte výkupné?“ Povedal Barak.

Aj keď je platenie uskutočniteľnou možnosťou, pre väčšinu organizácií ostáva poslednou možnosťou priekopy, nie odpoveďou. V tomto scenári existuje veľa premenných, ktoré nemôžete ovládať, a navyše, keď raz zaplatíte, nikdy nemôžete zaručiť, že v budúcnosti nebudete za viac peňazí napadnutí. Lepším plánom je použitie spoľahlivej obrany, ktorá je dosť ťažká na to, aby odvrátila väčšinu útokov škodlivého softvéru a porazila tých pár, ktorí uspeli. Ale nech sa rozhodnete čokoľvek, nezabudnite, že prakticky každé riešenie si vyžaduje, aby ste sa nábožensky zálohovali. Urobte to teraz, robte to často a tiež často testujte, aby ste sa uistili, že veci budú v štipke hladko fungovať.

Ako sa dokáže brániť proti ransomware