Ako chrániť a obnoviť svoje podnikanie z ransomware

USA sa pripravujú na plný dopad globálnej epidémie ransomwaru založenej na škodlivom kmeni Wanna Decryptor. Je dôležité chrániť vaše podnikanie a údaje pred touto rýchlo sa šíriacou hrozbou, ale akonáhle ju prekonáme, musíte si uvedomiť, že Wanna Decryptor je iba najhlučnejším príkladom problému s ransomware.

Existujú tri veci, ktoré by sme mali vedieť o ransomware: je to desivé, rýchlo rastie a je to veľký biznis. Podľa Centra pre sťažnosti na internete (FBI) pre internetové zločiny (IC3) bolo medzi aprílom 2014 a júnom 2015 prijatých viac ako 992 sťažností týkajúcich sa CryptoWall, čo malo za následok straty viac ako 18 miliónov dolárov. Tento malígny úspech sa odráža v tempe rastu ransomware pomocou indexu hrozieb DNS Infoblox, ktorý zaznamenal 35-násobný nárast nových domén vytvorených pre ransomware v prvom štvrťroku 2016 (v porovnaní so štvrtým štvrťrokom 2015).

Všeobecne platí, že ransomware ruší šifrovanú stenu medzi firmou a internými údajmi a aplikáciami, ktoré musí podnik prevádzkovať. Tieto útoky však môžu byť omnoho závažnejšie ako jednoducho nedostupnosť údajov. Ak nie ste pripravení, vaše podnikanie sa môže zastaviť.

Stačí sa opýtať hollywoodske presbyteriánske lekárske centrum. Dlho pred Wanna Decryptorom sa nemocnica dozvedela bolestnú lekciu, keď personál stratil prístup k svojim počítačom počas prepuknutia ransomware začiatkom roku 2016. Nemocnica zaplatila výkupné vo výške 17 000 dolárov potom, čo zamestnanci strávili 10 dní spoliehaním sa na faxy a papierové mapy. Alebo sa opýtajte policajného oddelenia Tewksbury. V apríli 2015 zaplatili výkupné za opätovný prístup k šifrovaným záznamom o zadržaní a incidente.

Ako sa firmy nakazia?

Ak má Wanna Decryptor na akejkoľvek úrovni striebornú podšívku, potom slúži na preukázanie, že hrozba, ktorú predstavuje ransomware, je reálna. Žiadny podnik ani zamestnanec nie sú imúnne voči možnému útoku na ransomware. Je dôležité porozumieť tomu, ako ransomware infikuje počítače, pred tým, ako sa bude diskutovať o tom, ako chrániť vašu firmu pred tým, alebo ako reagovať, ak ste kompromitovaní. Pochopenie pôvodu a spôsobu infekcie poskytuje informácie o tom, ako zostať v bezpečí.

Ransomware zvyčajne pochádza z jedného z dvoch zdrojov: kompromitované webové stránky a e-mailové prílohy. Na napadnutých legitímnych webových stránkach sa môže nachádzať exploitačná súprava, ktorá infikuje váš počítač, zvyčajne prostredníctvom zneužitia prehliadača. Rovnakú metodológiu môžu používať webové stránky phishingu. Stiahnutie pomocou jednotky nainštaluje ransomware a začne šifrovať vaše súbory.

V prípade škodlivej prílohy e-mailu sú používatelia podvedení v otvorení prílohy, ktorá potom nainštaluje ransomware. Môže to byť rovnako jednoduché ako falošná e-mailová správa s spustiteľnou prílohou, infikovaným súborom programu Microsoft Word, ktorý vás naláka na povolenie makier, alebo súbor s premenovanou príponou, ako je napríklad súbor, ktorý končí na „PDF“, ale v skutočnosti ide o súbor EXE. (spustiteľný súbor).

„V obidvoch týchto prípadoch sa používa určitý druh sociálneho inžinierstva, ktorý naláka používateľa na infikovanie, “ hovorí Luis Corrons, technický riaditeľ PandaLabs v spoločnosti Panda Security. „Podnikom to poskytuje skvelú príležitosť vzdelávať svojich používateľov, aby sa im vyhli týmto rizikám, ale, bohužiaľ, väčšina malých firiem to zanedbáva a vynecháva možnosť zachrániť si veľké bolesti hlavy.“

Momentálne neexistuje žiadna strieborná strela na zaistenie bezpečnosti vašej organizácie pred ransomware. Každý podnik by mal podniknúť päť krokov, ktoré môžu drasticky znížiť šance na infekciu - a tiež zmierniť bolesť v prípade, že útok uspeje.

pripraviť

Kľúčovou súčasťou prípravy na útok na ransomware je vývoj robustnej stratégie zálohovania a pravidelné zálohovanie. „Robustné zálohy sú kľúčovou súčasťou stratégie boja proti ransomwaru, “ uviedol Philip Casesa, produktový rozvojový stratég spoločnosti ISC2, globálnej neziskovej organizácie, ktorá certifikuje odborníkov v oblasti bezpečnosti. „Keď sú vaše súbory zašifrované, jedinou realizovateľnou možnosťou je obnovenie zálohy. Vaše ďalšie možnosti sú zaplatenie výkupného alebo stratu údajov.“

„Musíte mať nejakú zálohu, skutočné riešenie zálohy majetku, ktorý ste určili, je nevyhnutné pre vaše podnikanie, “ pokračoval Casesa. „Zálohovanie alebo synchronizácia súborov v reálnom čase jednoducho zálohujú vaše šifrované súbory. Potrebujete robustný proces zálohovania, v ktorom sa môžete vrátiť o niekoľko dní späť, a obnoviť lokálne a serverové aplikácie a údaje.“

Koróny spoločnosti Panda Security ponúkajú ďalšiu opatrnosť: zálohy „sú rozhodujúce v prípade zlyhania vašej obrany, ale pred obnovením zálohy je potrebné úplne odstrániť ransomware. V spoločnosti PandaLabs sme videli šifrovacie súbory ransomware.“

Dobrá stratégia, ktorú je potrebné zvážiť, je vrstvené alebo distribuované riešenie zálohy, ktoré uchováva niekoľko kópií súborov zálohy na rôznych miestach a na rôznych nosičoch (takže infikovaný uzol nemá okamžitý prístup k aktuálnym archívom súborov a archívom záloh). Takéto riešenia sú k dispozícii od niekoľkých malých a stredných podnikových dodávateľov zálohovania online (SMB), ako aj od väčšiny predajcov DRaaS (Disaster-Recovery-as-a-Service).

zabrániť

Ako už bolo spomenuté, vzdelávanie používateľov je silná, ale často prehliadaná zbraň vo vašom arzenáli proti ransomware. Trénujte používateľov na rozpoznávanie techník sociálneho inžinierstva, vyhnite sa klikaniu a nikdy neotvárajte prílohu od niekoho, koho nepoznajú. Prílohy od ľudí, ktorých poznajú, by sa mali prezerať a otvárať opatrne.

„Pochopenie toho, ako sa ransomware šíri, identifikuje správanie používateľov, ktoré je potrebné zmeniť, aby sa chránilo vaše podnikanie, “ uviedla Casesa. „Prílohy k e-mailu predstavujú riziko číslo jedna pre infekciu, počet stiahnutí z jednotky je číslo dva a škodlivé odkazy v e-maile sú číslo tri. Ľudia zohrávajú dôležitý faktor pri nakazení ransomware.“

Školenie používateľov, aby zvážili hrozbu ransomware, je jednoduchšie, ako si myslíte, najmä pre malé a stredné podniky. Iste, môže to mať tradičnú formu zdĺhavého interného seminára, ale tiež to môže byť jednoducho séria skupinových obedov, pri ktorých IT dostane šancu informovať používateľov prostredníctvom interaktívnej diskusie - za nízku cenu niekoľkých pizze. Môžete dokonca zvážiť najatie externého bezpečnostného poradcu, ktorý by školenie poskytol, s niektorými doplnkovými videami alebo príkladmi z reálneho sveta.

chrániť

Najlepšie miesto, kde môžete začať chrániť svoj SMB pred ransomware, je s týmito štyrmi stratégiami zmierňovania: zoznam povolených aplikácií, opravy aplikácií, opravy operačných systémov (OS) a minimalizovanie administratívnych oprávnení. Casesa rýchlo poukázal na to, že „tieto štyri ovládacie prvky sa starajú o 85% alebo viac malware hrozieb“.

Pre malé a stredné podniky, ktoré sa stále spoliehajú na zabezpečenie jednotlivých počítačových antivírusov (AV), prechod na spravované riešenie zabezpečenia koncových bodov umožňuje centralizovať zabezpečenie IT pre celú organizáciu a prevziať plnú kontrolu nad týmito opatreniami. To môže drasticky zvýšiť účinnosť AV a anti-malware.

Nech si vyberiete akékoľvek riešenie, uistite sa, že zahŕňa ochranu založenú na správaní. Všetci traja naši experti sa zhodli na tom, že anti-malware založený na podpise nie je účinný proti moderným softvérovým hrozbám.

Neplaťte

Ak ste sa na ransomware nepripravili a neochránili a nakazili ste sa, môže byť lákavé zaplatiť výkupné. Na otázku, či to bol múdry krok, sa však naši traja odborníci spojili. Corrons rýchlo poukázal na to, že „platenie je riskantné. Teraz určite strácate svoje peniaze a možno vaše súbory sú nezašifrované.“ Prečo by sa zločinca stal čestným potom, čo ste mu zaplatili?

Platením zločincov im dávate podnet a prostriedky na vývoj lepšieho ransomwaru. „Ak platíte, pre všetkých ostatných to bude oveľa horšie, “ hovorí Casesa. "Zlí ľudia používajú vaše peniaze na vývoj nastier škodlivého softvéru a infikovanie ostatných."

Ochrana budúcich obetí nemusí byť na prvom mieste, keď sa snažíte podnikať so svojimi údajmi ako rukojemníkmi, ale len sa na to pozerajte z tohto hľadiska: ďalšou obeťou by ste mohli byť všetci znova, tentoraz ešte viac bojovať efektívny malware, ktorý ste pomohli zaplatiť za vývoj.

Casesa poukazuje na to, že „zaplatením výkupného ste sa stali zločincom pre zločincov, pretože vedia, že zaplatíte.“ Stávate sa v predajnom jazyku kvalifikovaným potenciálom. Rovnako ako zlodeji nemajú česť, neexistuje žiadna záruka, že ransomware bude úplne odstránený. Zločinec má prístup k vášmu počítaču a môže šifrovať vaše súbory a nechať na ňom škodlivý softvér, aby monitoroval vaše činnosti a ukradol ďalšie informácie.

Zostaňte produktívni

Ak je škoda spôsobená ransomware príčinou narušenia vášho podnikania, tak prečo nepodniknúť kroky na zvýšenie kontinuity podnikania presunom do cloudu? „Úroveň ochrany a celková bezpečnosť, ktorú získate z cloudu, je oveľa vyššia ako úroveň, ktorú si môžu malé podniky dovoliť, “ zdôrazňuje Brandon Dunlap, globálny CISO spoločnosti Black & Veatch. „Poskytovatelia cloudu majú skenovanie škodlivého softvéru, vylepšenú autentifikáciu a množstvo ďalších ochranných opatrení, vďaka ktorým je veľmi nízka pravdepodobnosť, že trpia útokom ransomware.“

Prinajmenšom presuňte e-mailové servery do cloudu. Dunlap poukazuje na to, že „e-mail je obrovským útočným vektorom pre ransomware. Presuňte ho do cloudu, kde poskytovatelia spájajú do služby viacero bezpečnostných ovládacích prvkov, ako je napríklad skenovanie škodlivého softvéru a DLP.“ Prostredníctvom mnohých cloudových služieb je možné pridať ďalšie úrovne zabezpečenia, ako napríklad reputácia stránok založených na serveri proxy a skenovanie premávky, ktoré môžu ďalej obmedziť vašu expozíciu voči ransomware.

Dunlap je nadšený ochranou, ktorú ponúka cloud pred ransomware. „Sme vo fantastickom okamihu v technologickej histórii s množstvom riešení s nízkym trením, ktoré čelia mnohým problémom, ktorým čelia malé podniky, “ povedal Dunlap. „Vďaka tomu sú malé podniky atraktívnejšie z pohľadu IT.“

Ak je váš miestny počítač napadnutý ransomware, nemusí ani záležať na tom, či sú vaše údaje v cloude. Utrite miestny počítač, znova ho image, znova sa pripojte k cloudovým službám a ste späť v podnikaní.

Nečakajte, kým topánka klesne

Toto nie je jedna z tých situácií, v ktorých prístup „počkajte a uvidíte“ je vašou najlepšou taktikou. Wanna Decryptor jasne ukazuje, že ransomware je tam; rastie v obrovských skokoch a medziach, v sofistikovanosti a popularite zloduchov - a rozhodne vás hľadá. Aj po prepuknutí tejto súčasnej hrozby je veľmi dôležité, aby ste podnikli kroky na ochranu údajov a koncových bodov pred infekciou.

Vytvárajte pravidelné zálohy, školite zamestnancov, aby sa vyhýbali infekciám, opravovali aplikácie a OS, obmedzovali oprávnenia správcu a spúšťali softvér proti škodlivému softvéru založený na podpisoch. Ak sa budete riadiť týmito pokynmi, môžete predchádzať všetkým infekciám s najväčšou pravdepodobnosťou krvácania (a tým, ktoré pravdepodobne nie sú zacielené na malé a stredné podniky). V prípade, že sa útok dostane cez vašu obranu, mať jasný, testovaný plán pre IT na vyčistenie infekcie, obnovenie zálohy a obnovenie bežných obchodných operácií.

Ak nebudete postupovať podľa týchto osvedčených postupov a nakazíte sa, vedzte, že vyplatenie výkupného nie je zaručené, kvalifikuje vás ako hlupáka pre zločincov a dáva im prostriedky na vývoj ešte zákernejšieho ransomwaru (a stimulu) aby ste ho mohli používať tak často, ako je to možné). Nebuď obeťou. Namiesto toho venujte čas tomu, aby ste mohli ťažiť neskôr: pripravte sa, predchádzajte im, chránite ich a zostaňte produktívni.