Поиск по сайту:

Как подготовиться к атаке программ-вымогателей и бороться с ней

Программы-вымогатели разрушительны, дороги и их число растет. Защитите себя от заражения с помощью нашего руководства, но готовьтесь и к худшему. Убедитесь, что вы можете быстро и чисто восстановить данные в случае атаки программы-вымогателя.

Программы-вымогатели на подъеме

Атаки программ-вымогателей происходят с пугающей скоростью. Согласно полугодовому отчету Bitdefender за 2020 год, количество сообщений о программах-вымогателях по всему миру увеличилось на 715% в годовом исчислении. В рейтинге по количеству атак США выходят на первое место. Великобритания находится на втором месте.

Атака программы-вымогателя шифрует ваши файлы и данные, поэтому вы не можете вести бизнес. Чтобы вернуть ваши системы в нормальное рабочее состояние, необходимо очистить ваши серверы и компьютер и восстановить их из резервных копий или использовать ключ дешифрования для разблокировки ваших файлов и данных. Чтобы получить ключ дешифрования, вам нужно заплатить выкуп.

Программы-вымогатели оказывают огромное влияние, нарушают бизнес-операции и могут привести к безвозвратной потере данных. Программы-вымогатели вызывают:

  • Время простоя бизнеса.
  • Потери производительности.
  • Потеря дохода.
  • Потеря репутации.
  • Утеря, уничтожение или обнародование конфиденциальной бизнес-информации.

Если вы заплатите выкуп, у вас будут дополнительные расходы, и у вас, вероятно, будут остаточные заражения вредоносным ПО и сбои после атаки.

Вы можете подумать, что с вами этого не произойдет. Вы можете рационализировать это убеждение, сказав себе, что вы слишком малы, а у злоумышленников есть более крупные и лучшие цели, которые нужно поразить. Зачем им связываться с такой компанией, как ваша? К сожалению, это не так.

Все являются целевыми. Электронная почта по-прежнему является основным механизмом доставки программ-вымогателей, намного превосходящим любой другой метод доставки. Фишинговые атаки, которые доставляют вредоносные электронные письма, рассылаются программным обеспечением, которое использует списки рассылки с миллионами записей.

Все адреса электронной почты со всех утечек данных, которые произошли за последние десять лет или около того, доступны в Даркнете. На сайте Have I was Pwned перечислено более 10 миллиардов из них. Новые адреса электронной почты собираются каждый день и добавляются в эти списки рассылки. Это адреса электронной почты, на которые приходят фишинговые письма. Злоумышленникам все равно, кому они принадлежат, и им все равно.

Выборочно нацелены лишь немногие атаки программ-вымогателей. Все остальные атаки, а их 99 процентов, не преследуют своих жертв, а проводят глубокую разведку. Плохие парни не снайперы. Это пулеметчики, которые даже не удосуживаются прицелиться. Они волей-неволей рассылают электронные письма, а затем бездельничают, чтобы посмотреть, кого им удалось поразить.

Выкуп или восстановление?

Киберпреступники — злоумышленники — берут выкуп за предоставление ключа. Выкуп выплачивается в криптовалюте, как правило, в биткойнах, хотя злоумышленники могут указать и другие криптовалюты. На момент написания, по данным CoinMarketCap, существует более 7500 активных криптовалют.

Несмотря на то, что настроиться на торговлю биткойнами относительно просто, установка электронных кошельков и всего остального может занять несколько дней. И весь этот период вы не можете работать как бизнес или, по крайней мере, эффективно работать.

И даже если вы заплатите выкуп, нет никакой гарантии, что вы получите свои данные обратно. Сторона дешифрования программ-вымогателей часто написана небрежно, и она может просто не сработать для вас. Даже если он расшифрует ваши файлы, вы, вероятно, все еще заражены вредоносными программами, такими как руткиты, трояны удаленного доступа и кейлоггеры.

Таким образом, может пройти несколько дней, прежде чем вы сможете заплатить выкуп — даже дольше, если они просят оплату в криптовалюте, которую можно купить только с помощью другой криптовалюты, — и ваша система не будет чистой. и заслуживает доверия после расшифровки. Очевидно, что лучше стиснуть зубы и восстановить свои системы из резервных копий. В конце концов, и в Соединенном Королевстве, и в Соединенных Штатах нам советуют не платить выкуп.

Восстановить из резервных копий то есть. Но не так быстро. Это возможно только в том случае, если у вас есть надежная процедура резервного копирования, эта процедура соблюдается, а ваши резервные копии проверены на пробных прогонах и смоделированных инцидентах.

Кроме того, у злоумышленников, стоящих за самыми изощренными программами-вымогателями, есть способы гарантировать заражение ваших резервных копий. Как только вы стираете и восстанавливаете свои серверы и компьютеры, вы уже заражены.

Тем не менее, резервные копии по-прежнему являются решением. Но вам необходимо планировать и защищать свои резервные копии таким образом, чтобы защитить их и обеспечить их целостность, когда они вам понадобятся.

Профилактика лучше лечения

Никто не хочет несчастных случаев на работе: травмированные люди, куча бумажной волокиты, возможные претензии по ответственности. Но у вас все еще есть аптечка в помещении. Да, профилактика лучше, чем лечение, но вы все равно должны исходить из того, что рано или поздно вам понадобится эта аптечка и обученные спасатели.

То же самое касается кибербезопасности. Никто не хочет стать жертвой программ-вымогателей, и вы делаете все возможное, чтобы предотвратить это. Но у вас должен быть план реагирования на инциденты, к которому вы можете обратиться в случае атаки вредоносного ПО. Вам нужна команда людей, знакомых с планом, отрепетировавших план и действительно выполняющих план.

Слишком легко отказаться от плана в пылу момента. Этого не может быть — все ваши реакции на инцидент должны быть методичными и скоординированными. Этого можно достичь, только следуя вашему плану реагирования на инциденты.

У всех нас есть автомобильная страховка, и мы все надеемся, что нам не понадобится ее использовать. План реагирования на инциденты таков. Он вам нужен, но вы не хотите оказаться в ситуации, когда его нужно развернуть. Поддержание вашего автомобиля в исправном состоянии и допуск за руль только обученных водителей снижает вероятность того, что вы попадете в аварию.

Следующие пункты снизят риск того, что вам потребуется развернуть план реагирования на инциденты.

Обучение персонала

Большинство заражений программами-вымогателями происходит из-за того, что кто-то попался на фишинговую атаку. Ваши сотрудники — это те, кто находится на передовой электронной почты. Они открывают и работают с электронными письмами и вложениями весь день каждый день. Иногда сотни писем. Достаточно одного фишингового письма, чтобы прокрасться незамеченным, и вы заражены.

Очевидно, что ваши сотрудники должны пройти обучение по вопросам кибербезопасности, чтобы они могли выявлять фишинговые электронные письма и другие виды мошенничества и угроз, связанных с электронной почтой. И это необходимо периодически дополнять и усиливать. Программа-вымогатель должна быть в вашем реестре оценки рисков кибербезопасности, и обучение персонала по повышению осведомленности должно быть одним из ваших действий по смягчению последствий.

Один из способов уменьшить объемы электронной почты — попытаться уменьшить объем внутренней электронной почты. Чем меньше внутренней электронной почты, тем легче сосредоточиться и уделить внимание внешней электронной почте. Риски несут внешние электронные письма. Приложения для бизнес-чата, такие как Microsoft Teams и Slack, прекрасно справляются с этой задачей.

Тестирование восприимчивости персонала

Тренировки — это здорово, но вишенка на торте — испытания. Легко найти охранную фирму или онлайн-сервис, который проведет безопасную фишинговую кампанию.

Сотрудники, которые не могут распознать фальшиво-вредоносное электронное письмо, являются очевидными претендентами на повторное занятие в рамках обучения. Помимо измерения восприимчивости вашего персонала к фишинговым электронным письмам, он также является мерой эффективности обучения вашего персонала повышению осведомленности.

Принцип наименьших привилегий

Убедитесь, что процессам и пользователям предоставлены минимальные права доступа для выполнения их ролевых функций. Принцип наименьших привилегий ограничивает ущерб, который может нанести вредоносное ПО, если учетная запись пользователя скомпрометирована.

Ограничьте доступ к учетным записям администратора и убедитесь, что эти учетные записи никогда не используются ни для чего, кроме администрирования. Управляйте доступом к общим ресурсам и серверам, чтобы люди, у которых нет определенной роли, не могли получить доступ к конфиденциальным областям.

Спам-фильтры

Спам-фильтры не будут задерживать каждое вредоносное письмо, но они поймают некоторые из них, что является большим преимуществом. Они обнаружат и поместят в карантин большую часть регулярного, безопасного, но раздражающего спама. Это еще больше снизит объем электронной почты, с которой приходится иметь дело вашим сотрудникам. Уменьшение размера стога сена облегчает обнаружение иголки.

Защита конечной точки

Конечно, антивирусные и антивредоносные пакеты или комбинированный пакет защиты конечной точки должны быть развернуты, должны управляться централизованно и должны быть настроены для регулярного обновления сигнатур. Пользователи не должны иметь возможности отказаться или отложить обновления.

Патч, Патч, Патч

Операционные системы, микропрограммы и приложения должны находиться в пределах цикла поддержки производителя, а не в конце срока службы. Они должны быть обновлены с помощью исправлений безопасности и исправления ошибок. Если патчи больше не доступны, прекратите их использовать.

Сетевая архитектура

Для всех сетевых схем, кроме самых простых, сегментируйте свои сети, чтобы изолировать критически важные компьютеры, отделы и команды. Они не строят подводные лодки в виде длинных труб открытого плана. Они включают в себя переборки с водонепроницаемыми дверями переборок, чтобы они могли герметизировать секции, в которых есть утечка.

Используйте топологию сети с отдельными областями, чтобы аналогичным образом ограничить распространение вредоносных программ. Зараженным сегментом намного проще управлять, чем всей сетью.

Стратегии резервного копирования

Резервные копии являются основой надежного плана обеспечения непрерывности бизнеса. Вы должны создавать резервные копии своих данных, используя схему, которая может справиться с любым обозримым кризисом, независимо от того, связан ли он с кибербезопасностью или нет. Старой мантрой резервного копирования было правило 3-2-1.

  • У вас должно быть три копии данных: работающая система и две резервные копии.
  • Две резервные копии должны быть на разных носителях.
  • Одну из этих резервных копий следует хранить за пределами предприятия.

Чтобы было ясно, наличие еще одной копии ваших данных не является резервной копией. Это лучше, чем ничего, но резервные копии настолько важны, что они должны быть лучшим, что вы можете сделать при любом бюджете, который у вас есть. Реальная резервная копия будет создана программным обеспечением для резервного копирования и будет иметь возможности управления версиями. Управление версиями позволяет восстановить файл с определенного момента времени. Таким образом, вы можете восстановить файл в том состоянии, в котором он был вчера в час дня. Или где-то на прошлой неделе, или в прошлом месяце. Ваш период хранения и емкость хранилища резервных копий будут определять, насколько далеко в прошлое вы сможете вернуться и с какой степенью детализации.

Резервные копии должны быть зашифрованы.

Резервные копии на основе образов создают образ всего жесткого диска, включая рабочий. Изменения в действующей системе могут передаваться в образ резервной копии каждые пару минут, поэтому резервная копия очень близка к моментальному снимку действующей системы в реальном времени. Все решения для резервного копирования высшего уровня могут преобразовывать образ резервной копии в образ виртуальной машины. Виртуальную машину можно развернуть на новом оборудовании в случае аварии. Это позволяет вам развернуть новое серверное оборудование или решить любую проблему, вызвавшую остановку работающей системы, в то время как ваша резервная копия работает как временная работающая система, а ваша компания остается в рабочем состоянии.

И, конечно же, существуют решения для удаленного резервного копирования, которые позволяют выполнять резервное копирование в место, безопасно удаленное от вашего помещения. Таким образом, правило 3-2-1 можно переписать, используя любые числа. Имейте столько копий своих резервных копий, сколько вам нужно, чтобы чувствовать себя комфортно, распределенных по разным местам и хранящихся на разных аппаратных устройствах.

Однако ничто из этого не спасет вас, если злоумышленникам удастся заразить ваши резервные копии. Предположим, программа-вымогатель настроена на 28 дней, прежде чем сработает. Вы будете делать резервные копии много раз, во все свои резервные копии.

Для борьбы с этим можно использовать неизменяемые резервные копии. Это резервные копии, которые не могут быть записаны после их создания. Это означает, что они не могут быть заражены программами-вымогателями или любыми другими вредоносными программами. Надежное решение для резервного копирования использует многоуровневый и разнообразный подход.

  • Вы можете создавать версионные резервные копии на локальном сетевом хранилище (NAS) для быстрого восстановления случайно удаленных файлов.
  • Вашим вторым уровнем может быть резервное копирование на основе образов в локальное и внешнее хранилище. Вы можете быстро восстановить отказавший сервер в случае полного отказа сервера или аппаратного сбоя.
  • Если вы дополните свой режим резервного копирования неизменяемыми резервными копиями, которые никогда не будут заражены вредоносными программами, вы получите надежную и комплексную систему резервного копирования.

В зависимости от размера и сложности вашей сети это может быстро стать дорогостоящим. Но по сравнению с ценой неудачи это дешево. Не думайте об этом как о плате за резервное копирование. Думайте об этом как об инвестировании в непрерывность бизнеса.

План реагирования на инциденты

План реагирования на инциденты является не только жизненно важным инструментом для обеспечения скоординированного и эффективного реагирования на киберинциденты, но и в зависимости от вашей коммерческой деятельности он может быть обязательным. Если вы принимаете платежи по кредитным картам, скорее всего, вы должны соблюдать Стандарт безопасности данных индустрии платежных карт (PCI DSS). Стандарт PCI DSS содержит несколько требований к планам реагирования на инциденты.

Типичный план реагирования на инциденты будет содержать эти разделы, каждый из которых должен быть подробным и точным.

  • Подготовка. Все пункты, упомянутые выше, вместе с любыми другими средствами защиты, которых заслуживают ваши обстоятельства. Репетиция плана с пробными инцидентами познакомит вашу группу реагирования с планом и выявит недостатки или проблемы, что позволит уточнить план. Чем лучше подготовлена ваша группа реагирования, тем лучше они будут работать в случае необходимости.
  • Идентификация. Процесс распознавания происходящего инцидента и определения его типа. Что происходит, кого и что задевает, каковы масштабы проблемы, произошла ли утечка данных?
  • Сдерживание. Сдержите инфекцию и остановите ее распространение. Поместить зараженные системы в карантин.
  • Искоренение. Сотрите зараженные системы. Убедитесь, что вредоносное ПО удалено со всех компрометированных компьютеров. Примените все исправления или шаги по усилению безопасности, принятые в вашей организации.
  • Восстановление. Какие системы являются приоритетными и должны быть возвращены в строй в первую очередь? Восстановите их из резервных копий и измените учетные данные аутентификации для всех учетных записей. Восстановление из неизменяемых резервных копий, если они у вас есть. Если нет, убедитесь, что резервные копии не содержат вредоносного ПО, прежде чем восстанавливать их.
  • Извлеченные уроки. Как произошло заражение и что могло его остановить? Была ли это использованная уязвимость или человеческая ошибка? Какие шаги закроют брешь в вашей безопасности?

Доложите об этом

Не забудьте сообщить о программах-вымогателях как о преступлении. Вам также может потребоваться сообщить об инциденте в ваш региональный или национальный орган по защите данных. В Европе из-за того, что вы потеряли контроль над данными, когда они были зашифрованы, атака программ-вымогателей считается утечкой данных в соответствии с Общими правилами защиты данных, даже если данные не были фактически украдены или потеряны. У вас может быть законодательство, которое регулирует вашу деятельность и поддерживает эту концепцию, например, Закон США о переносимости и подотчетности медицинского страхования от 1996 года (HIPAA).