8 добри практики за предотвратяване на рансъмуер атака
През последните няколко години станахме свидетели на значителен брой инциденти с рансъмуер. От лятото на 2021 г. ще запомним атаките срещу американски петролопровод с национално значение и международна софтуерна компания, които засегнаха доставчици на услуги (MSP) и техните клиенти надолу по веригата.
Да припомним:
Рансъмуер е злонамерен софтуер, предназначен да криптира файлове върху вашите устройства, така че те да станат неизползваеми за системата ви. Традиционно, атакуващите искат паричен откуп в замяна на декриптиране. С течение на времето хакерите подобриха своите тактики, с което заплахите станаха още по-разрушителни. Злонамерените участници все по-често ексфилтрират данните ви и след това заплашват да ги продадат или пуснат безплатно в мрежата ако откупът не бъде платен.
Когато откраднатото включва чувствителна или лична информация или данни за достъп до засегнатите системи, дейността и репутацията на компанията ви може сериозно да пострадат.
Препоръки за предотвратяване на рансъмуер атаки
Каквато и да е организацията ви, съществува риск да станете жертва на инцидент с рансъмуер. Затова и отговорността за защитата на чувствителни и лични данни, съхранявани в системите ви, е ваша – като управляващ бизнеса или като отговарящ за киберсибурността.
Ето какво е добре да направите:
- Поддържайте офлайн криптирани архиви на данни и редовно ги тествайте.
Архивирането трябва да се извършва редовно. Важно е да поддържате офлайн копия, тъй като много варианти на рансъмуер се опитват да намерят и изтрият или криптират достъпни архиви.
- Създайте, поддържайте и упражнявайте основен план за реакция при киберинциденти, план за устойчивост и свързан с тях комуникационен план:
- Планът за реакция при киберинциденти трябва да включва процедури за реакция и уведомяване в случай на рансъмуер атака
- Планът за устойчивост трябва да предвижда начин на работа, ако загубите достъп или контрол над критични функции
- Обърнете особено внимание на уязвимости и неправилни конфигурации на всичките си критични системи. По този начин ще намалите възможността даден актив да бъде атакуван успешно:
- Прилагайте най-добрите практики за използване на протокол за отдалечен достъп (RDP). Атакуващите често получават първоначален достъп до мрежата чрез открити и лошо защитени отдалечени услуги, които дават възможност за разпространение на рансъмуер.
- Одитирайте мрежата за всички критични системи, използващи RDP; затваряйте неизползвани RDP портове; налагайте блокиране на акаунт след определен брой опити; прилагайте многофакторно удостоверяване (MFA); регистрирайте опитите за влизане в RDP
- Провеждайте редовно сканиране на уязвимости, за да ги идентифицирате и отстраните, особено тези на устройства с интернет. Възползвайки се от услуги на външни експертни екипи, за да намалите експозицията си и вероятността да станете жертва на рансъмуер.
- Актуализирайте своевременно софтуера, включително операционните системи, приложенията и фърмуера. Приоритизирайте своевременното закърпване на критични уязвимости и уязвимости на сървъри в интернет, както и софтуерна обработка на интернет данни, като уеб браузъри, приставки за браузъри и четци на документи. Ако бързото закърпване не е осъществимо, приложете съветите, предоставени от доставчика на съответния софтуер, за по-сигурна работа.
- Уверете се, че устройствата ви са правилно конфигурирани и функциите за защита са активирани. Например, деактивирайте портовете и протоколите, които не се използват за бизнес цели.
- Деактивирайте или блокирайте протокола за входящи и изходящи сървърни съобщения (SMB) и премахнете или забранете остарелите му версии.
- Намалете риска фишинг имейлите да достигнат до крайните потребители
- Активирайте силни филтри за спам
- Прилагайте програма за повишаване на осведомеността и обучение на потребителите в областта на киберсигурността, която включва насоки за това как да се идентифицират и докладват подозрителни дейности (например фишинг) или инциденти
- Практикувайте добра киберхигиена
- Осигурете си актуален антивирусен софтуер
- Приложете списък с разрешени приложения и забранете всички останали
- Ограничете използването на привилегировани акаунти чрез политики за използване, контрол и управление
- Използвайте MFA за всички услуги, доколкото е възможно, особено за уеб поща, виртуални частни мрежи (VPN) и акаунти, които имат достъп до критични системи
- Следете каква лична и чувствителна информация се съхранява във вашите системи и кой има достъп до нея
- Ограничете данните, като съхранявате само информация, необходима за бизнес операциите ви. Уверете се, че данните се унищожават правилно, когато вече не са необходими.
- Идентифицирайте компютрите и сървърите, на които се съхранява чувствителна лична информация. Не съхранявайте чувствителни или лични данни в системи или лаптопи, свързани с интернет, освен ако това не е от съществено значение за бизнес операциите ви. Ако лаптопите ви съдържат чувствителни данни, ги шифровайте и обучете служителите си на правилата за физическа сигурност на устройствата.
- Шифровайте чувствителната информация в покой и при транспортиране
- Внедрете защитни стени от ново поколение за елиминиране на злонамерен или ненужен мрежов трафик
- Обмислете прилагането на сегментиране на мрежата за допълнителна защита на системи, съхраняващи чувствителна или лична информация
- Уверете се, че вашите планове за реакция при киберинциденти и комуникационни планове включват процедури за реакция и уведомяване за инциденти при нарушаване на данни
В случай че все пак станете жертва на рансъмуер:
- Определете кои системи са засегнати и незабавно ги изолирайте. Ако повече от една система е засегната, веднага изолирайте цялата мрежа на ниво суич. Ако това не е възможно, намерете кабела на мрежата (например Ethernet) и изключете засегнатите устройства или ги премахнете от Wi-Fi, за да ограничите инфекцията.
- Само в краен случай, ако засегнатите устройства не могат да бъдат премахнати от мрежата или мрежата не може да бъде временно спряна, изключете засегнатите устройства, за да избегнете по-нататъшно разпространение на заразата
Забележка: Тази стъпка трябва да се извършва само ако е необходимо, тъй като може да доведе до загуба на артефакти на инфекцията и потенциални доказателства, съхранявани в паметта
- Ангажирайте вашите вътрешни и външни екипи и заинтересованите страни, като ги информирате как могат да ви помогнат да се възстановите от инцидента
- Сериозно обмислете да поискате помощ от реномиран доставчик на услуги по киберсигурност и реакция при инциденти
- Ако лична информация, съхранявана от името на други фирми, бъде открадната, уведомете тези фирми за нарушението
- Ако инцидента включва лична идентифицираща информация, уведомете засегнатите лица, за да могат те да предприемат стъпки за намаляване на вероятността с тяхната информация да се злоупотреби
Още по темата прочетете ТУК.