Оглавление:
- Как предприятия заражаются?
- Подготовить
- Предотвращать
- защищать
- Не плати
- Оставаться продуктивным
- Не ждите, пока ботинок упадет
Видео: Как мы теряем и зарабатываем деньги? (Ноябрь 2024)
США готовятся к полному воздействию глобальной эпидемии вымогателей на основе вредоносного штамма Wanna Decryptor. Важно защитить свой бизнес и данные от этой быстро распространяющейся угрозы, но как только мы ее преодолеем, вам нужно помнить, что Wanna Decryptor - это только самый шумный пример проблемы с вымогателями.
Есть три вещи, которые нужно знать о вымогателей: это страшно, быстро растет, и это большой бизнес. По данным Центра жалоб на интернет-преступления ФБР (IC3), в период с апреля 2014 года по июнь 2015 года было получено более 992 жалоб, связанных с CryptoWall, в результате чего убытки составили более 18 миллионов долларов США. Этот злокачественный успех отражается в темпах роста вымогателей с помощью Infoblox DNS Threat Index, который сообщает о 35-кратном увеличении новых доменов, созданных для вымогателей, в первом квартале 2016 года (по сравнению с четвертым кварталом 2015 года).
В целом, вымогатели пропускают зашифрованную стену между бизнесом и внутренними данными и приложениями, которые нужны бизнесу для работы. Но эти атаки могут быть гораздо более серьезными, чем просто недоступность данных. Если вы не готовы, то ваш бизнес может остановиться.
Просто спросите Голливудский Пресвитерианский Медицинский Центр. Задолго до того, как Wanna Decryptor, больница усвоила мучительный урок, когда сотрудники потеряли доступ к своим ПК во время вспышки вымогателей в начале 2016 года. Больница заплатила выкуп в размере 17 000 долларов после того, как сотрудники потратили 10 дней, полагаясь на факсы и бумажные карты. Или спросите в отделе полиции Тьюксбери. В апреле 2015 года они выплатили выкуп за восстановление доступа к зашифрованным записям об арестах и инцидентах.
Как предприятия заражаются?
Если есть какая-то серебряная подкладка для Wanna Decryptor на любом уровне, то это то, что она служит для доказательства, без сомнения, что угроза со стороны вымогателей реальна. Ни один бизнес или сотрудник не застрахован от потенциальной атаки вымогателей. Важно понять, как вымогатели заражают компьютеры, прежде чем обсуждать, как защитить свой бизнес от него или как реагировать, если вы скомпрометированы. Понимание происхождения и способа заражения помогает понять, как оставаться в безопасности.
Ransomware обычно приходит из одного из двух источников: скомпрометированные веб-сайты и вложения электронной почты. Вредоносный веб-сайт, который был взломан, может содержать набор эксплойтов, который заражает ваш компьютер, обычно через эксплойт браузера. Та же методология может использоваться фишинговым сайтом. При загрузке с диска устанавливается программа-вымогатель, и она начинает шифровать ваши файлы.
В случае вредоносного вложения электронной почты пользователи обманываются, чтобы открыть вложение, которое затем устанавливает вымогателей. Это может быть простое поддельное сообщение электронной почты с исполняемым вложением, зараженный файл Microsoft Word, который обманывает вас при включении макросов, или файл с переименованным расширением, например файл, заканчивающийся на «PDF», но на самом деле это файл EXE. (исполняемый файл).
В настоящее время не существует серебряной пули, которая обеспечивала бы безопасность вашей организации от вымогателей. Но есть пять шагов, которые должен предпринять каждый бизнес, которые могут резко снизить вероятность заражения, а также облегчить боль в случае успеха атаки.
Подготовить
Ключевым компонентом для подготовки к атаке вымогателей является разработка надежной стратегии резервного копирования и регулярное резервное копирование. «Надежное резервное копирование является ключевым компонентом стратегии борьбы с вымогателями», - сказал Филипп Касеса, стратег по разработке продуктов в ISC2, глобальной некоммерческой организации, которая сертифицирует специалистов по безопасности. «После того, как ваши файлы зашифрованы, единственный возможный вариант - восстановить резервную копию. Другие ваши варианты - заплатить выкуп или потерять данные».
Corron от Panda Security предлагает еще одно предупреждение: резервное копирование «имеет решающее значение в случае сбоя защиты, но обязательно полностью удалите вымогателей перед восстановлением резервных копий. В PandaLabs мы видели, как вымогатели шифруют файлы резервных копий».
Хорошей стратегией для рассмотрения является многоуровневое или распределенное решение для резервного копирования, которое хранит несколько копий файлов резервных копий в разных местах и на разных носителях (поэтому зараженный узел не имеет немедленного доступа к текущим файловым хранилищам и архивам резервных копий). Такие решения доступны от нескольких поставщиков оперативного резервного копирования для малого и среднего бизнеса (SMB), а также от большинства поставщиков услуг аварийного восстановления как услуга (DRaaS).
Предотвращать
Как упоминалось ранее, обучение пользователей является мощным, но часто игнорируемым оружием в вашем арсенале против вымогателей. Обучите пользователей распознавать методы социальной инженерии, избегайте наживки и никогда не открывайте вложения от кого-то, кого они не знают. Приложения от знакомых людей следует рассматривать и открывать с осторожностью.
«Понимание того, как вымогатели распространяются, определяет поведение пользователей, которое необходимо изменить, чтобы защитить ваш бизнес», - сказал Касеса. «Вложения электронной почты - это риск номер один для заражения, скачивание с диска - второе, а вредоносные ссылки в электронном письме - третье. Люди играют важную роль в заражении вымогателями».
Научить пользователей учитывать угрозу вымогателей проще, чем вы думаете, особенно для малого и среднего бизнеса. Конечно, это может принять традиционную форму длительного внутреннего семинара, но это также может быть просто серия групповых обедов, на которых ИТ-специалисты получают возможность информировать пользователей посредством интерактивных обсуждений - за небольшую цену в несколько пицц. Вы можете даже подумать о найме внешнего консультанта по безопасности для проведения обучения с некоторыми дополнительными видео или примерами из реальной жизни.
защищать
Лучшее место для начала защиты вашего малого и среднего бизнеса от вымогателей - с помощью этих четырех лучших стратегий смягчения: белый список приложений, исправление приложений, исправление операционных систем (ОС) и минимизация административных привилегий. Касеса поспешил указать, что «эти четыре элемента управления устраняют 85 или более процентов угроз вредоносного ПО».
Для малых и средних предприятий, которые все еще полагаются на отдельные антивирусы ПК (AV) для обеспечения безопасности, переход на решение для безопасности управляемых конечных точек позволяет ИТ-отделу централизовать безопасность для всей организации и получить полный контроль над этими мерами. Это может значительно повысить эффективность антивирусного ПО и антивирусных программ.
Какое бы решение вы ни выбрали, убедитесь, что оно включает защиту на основе поведения. Все трое наших экспертов сошлись во мнении, что основанное на сигнатурах вредоносное ПО не эффективно против современных программных угроз.
Не плати
Если вы не подготовились и не защитились от вымогателей, а заразились, то выкупить может быть соблазнительно. Однако, когда его спросили, был ли это мудрый шаг, наши три эксперта были едины в своем ответе. Корронс быстро заметил, что «платить рискованно. Теперь вы наверняка теряете свои деньги и, возможно, возвращаете свои файлы в незашифрованном виде». В конце концов, почему преступник стал честным после того, как вы заплатили ему?
Платя преступникам, вы даете им стимул и средства для разработки лучшего вымогателя. «Если вы платите, вы делаете это намного хуже для всех остальных», - говорит Касеса. «Плохие парни используют ваши деньги для разработки более вредоносного вредоносного ПО и заражения других».
Защита будущих жертв может быть не самым важным делом, когда вы пытаетесь вести бизнес с заложенными в него данными, но просто посмотрите на это с этой точки зрения: следующей жертвой может быть вы снова и снова, на этот раз сражаясь еще больше эффективное вредоносное ПО, которое вы помогли заплатить за разработку.
Касеса указывает на то, что «заплатив выкуп, вы теперь стали преступной целью для преступников, потому что они знают, что вы заплатите». С точки зрения продаж, вы становитесь квалифицированным лидером. Так же как нет чести среди воров, нет гарантии, что вымогатель будет полностью удален. Преступник имеет доступ к вашему компьютеру и может расшифровать ваши файлы и оставить на нем вредоносное ПО для отслеживания ваших действий и кражи дополнительной информации.
Оставаться продуктивным
Если ущерб от вымогателей связан с нарушением работы вашего бизнеса, то почему бы не предпринять шаги для повышения непрерывности бизнеса, перейдя в облако? «Уровень защиты и общей безопасности, которую вы получаете из облака, намного выше, чем может себе позволить малый бизнес», - отмечает Брэндон Данлэп, глобальный CISO Black & Veatch. «Облачные провайдеры имеют сканирование на наличие вредоносных программ, расширенную аутентификацию и множество других средств защиты, которые снижают шансы на их атаку на вымогателей».
По крайней мере, переместите почтовые серверы в облако. Данлэп отмечает, что «электронная почта является огромным вектором атаки для вымогателей. Переместите это в облако, где поставщики объединяют в службу множество средств контроля безопасности, таких как сканирование на наличие вредоносных программ и DLP». Дополнительные уровни безопасности, такие как репутация сайта на основе прокси-сервера и сканирование трафика, могут быть добавлены через многие облачные сервисы и могут еще больше ограничить доступ к вымогателям.Dunlap с энтузиазмом относится к мерам защиты, которые предлагает облако от вымогателей. «Мы находимся в фантастическом моменте в истории технологий с множеством решений с низким коэффициентом трения для решения многих проблем, с которыми сталкивается малый бизнес», - сказал Данлэп. «Это делает малый бизнес более гибким с точки зрения ИТ».
Если ваша локальная машина заражена вымогателями, это может даже не иметь значения, если ваши данные находятся в облаке. Сотрите свой локальный компьютер, заново создайте образ, подключитесь к облачным сервисам, и вы снова в работе.
Не ждите, пока ботинок упадет
Это не одна из тех ситуаций, когда выжидательный подход - ваша лучшая тактика. Wanna Decryptor ясно показывает, что вымогателей есть; он растет гигантскими скачками, как в изощренности, так и в популярности плохих парней - и он определенно ищет вас. Даже после того, как эта текущая угроза исчезнет, очень важно предпринять шаги для защиты данных и конечных точек от заражения.
Создавайте регулярные резервные копии, обучайте сотрудников предотвращению заражения, исправляйте приложения и операционные системы, ограничивайте права администратора и запускайте антивирусное программное обеспечение, не основанное на сигнатурах. Если вы будете следовать этому совету, то сможете предотвратить все, кроме самых передовых инфекций (и те, которые, вероятно, не нацелены на малые и средние предприятия). В случае, когда атака проходит через ваши средства защиты, разработайте четкий, проверенный план, чтобы ИТ-специалисты могли вылечить инфекцию, восстановить резервные копии и возобновить обычные бизнес-операции.
Если вы не будете следовать этим передовым методам и заразитесь, то знайте, что выплата выкупа не дает никаких гарантий, квалифицирует вас как обманщика преступников и дает им средства для разработки еще более коварного вымогателя (и стимула использовать его на вас как можно чаще). Не будь жертвой. Вместо этого найдите время, чтобы пожинать плоды позже: готовьтесь, предотвращайте, защищайте и оставайтесь продуктивными.
