Съдържание:
- Как да избегнем атака на Ransomware
- Защо Ransomware е различен
- Как да се защитим
- Ранни предупреждения и защита
- Трябва ли да платите откуп?
Видео: ÐÑÐµÐ¼Ñ Ð¸ СÑекло Так вÑпала ÐаÑÑа HD VKlipe Net (Ноември 2024)
Всички знаем, че ransomware е един от най-разрушителните варианти на зловреден софтуер там. Говорите за щракване върху грешна връзка и за това данните на вашата организация да изчезнат в блатото от шифровани безсмислици или дори нейните сървърни операционни системи (ОС) и други критични файлове, които просто изчезват един ден. Можете да платите откупа, но това може да бъде не само скъпо, но и не гарантира, че лошите ще ви върнат данните.
Как да избегнем атака на Ransomware
Първата стъпка е това, което Израел Барак, Главен служител по сигурността на информацията (CISO) на разработчика на софтуер за откриване и реагиране на крайни точки Cybereason нарича „ИТ и хигиена на сигурността“. Това означава избягване на уязвимости и филтриране на имейл и уеб трафик. Това означава също така да осигурите обучение на потребителите и да се уверите, че пластирите за вашата ОС, приложения и продукти за сигурност са напълно актуални.
Втората стъпка е създаването на стратегия за непрекъснатост на бизнеса и възстановяване. Това означава всъщност да си направите план за това кога нещата се объркат, а не просто да се надявате, че няма. Барак каза, че това включва създаване на резервни копия на място и тестване, като знаете как ще възстановите засегнатите услуги, знаете къде ще получите изчислителни ресурси за възстановяване и знаете, че пълният ви план за възстановяване ще работи, защото всъщност сте го тествали.
Третата стъпка е да има защита срещу злонамерен софтуер. Барак каза, че това включва защита срещу злонамерен софтуер, който навлиза във вашата мрежа и защита срещу злонамерен софтуер, който се изпълнява по време на вашите системи. За щастие, повечето зловреден софтуер е доста лесно да се забележи, тъй като авторите на зловреден софтуер често споделят успешни процедури.
Защо Ransomware е различен
За съжаление ransomware не е като други зловредни програми. Барак каза, че, тъй като ransomware е постоянно пребиваващ на компютър, не е трудно да се избегне откриването, преди да завърши шифроването си и да изпрати съобщението за ransomware. Освен това, за разлика от други видове злонамерен софтуер, зловредният софтуер, който действително изпълнява криптирането на файла, може да пристигне на компютрите на жертвата само мигове преди да започне криптирането.
Два сравнително скорошни вида злонамерен софтуер - Ryuk и SamSam - влизат във вашите системи под ръководството на човешки оператор. В случая на Ryuk, този оператор вероятно се намира в Северна Корея, а в SamSam - в Иран. Във всеки случай атаката започва с намиране на идентификационни данни, които позволяват влизане в системата. След като там, операторът изследва съдържанието на системата, решава кои файлове да кодира, повишава привилегиите, търси и деактивира анти-зловреден софтуер и връзки към архиви, които също да бъдат криптирани, или в някои случаи деактивира архивирането. След това, след може би месеци на подготовка, зловредният софтуер за криптиране се зарежда и стартира; може да свърши работата си за минути - твърде бързо, за да се намеси човешки оператор.
„В SamSam те не използваха конвенционален фишинг“, обясни Карлос Солари, вицепрезидент на разработчика на решения за киберсигурност Комодо Киберсигурност и бивш CIO на Белия дом. „Те използваха уебсайтове и откраднаха идентификационни данни на хора и използваха груба сила, за да получат паролите.“
Солари каза, че тези посегателства често не се откриват, тъй като няма злонамерен софтуер до самия край. Но той каза, че ако се прави правилно, в този момент има начини да се спре атаката. Обикновено, каза той, престъпниците ще отидат след услугите на директории за мрежата и ще атакуват тези, така че да могат да получат привилегии на административно ниво, необходими за тяхното организиране на нападението. На този етап система за откриване на проникване (IDS) може да открие промените и ако мрежовите оператори знаят какво да търсят, тогава могат да блокират системата и да изгонят натрапниците.
"Ако обърнат внимание, тогава ще разберат, че някой е отвътре", каза Солари. "Важно е да намерите вътрешна и външна информация за заплахите. Търсите аномалии в системата."
Как да се защитим
За по-малките компании Solari предлага на компаниите да намерят Управляващ операционен център за сигурност (MDR) като услуга. Той добави, че по-големите компании може да искат да намерят управляван доставчик на услуги за сигурност (MSSP). Всяко решение ще даде възможност да се следят събитията в областта на сигурността, включително постановката преди сериозна атака с откуп.
Освен да следите мрежата си, важно е също така да направите мрежата си така, че да е възможно най-неприветлива за престъпниците. Според Адам Kujawa, директор на Malwarebyte Labs, една критична стъпка е да сегментирате вашата мрежа, така че натрапник да не може просто да се движи през вашата мрежа и да има достъп до всичко. „Не трябва да съхранявате всичките си данни на едно и също място“, каза Куява. „Имате нужда от по-дълбоко ниво на сигурност.“
Но ако се окаже, че не сте открили инвазивните етапи преди атаката с рансъмуер, тогава има друг слой или отговор, който е откриване на поведението на злонамерения софтуер, когато той започва да криптира файлове.
„Това, което добавихме, е поведенчески механизъм, който разчита на поведение, характерно за извличане на софтуер“, обяснява Барак. Той каза, че подобен софтуер наблюдава какво може да прави софтуерът за откупуване, като криптиране на файлове или изтриване на резервни копия, и след това предприема действия, за да убие процеса, преди да може да нанесе някаква вреда. "Той е по-ефективен срещу никога не виждани щамове от откупи."
Ранни предупреждения и защита
За да предостави форма на ранно предупреждение, Барак каза, че Киберизон предприема още една стъпка. „Това, което направихме, е да използваме механизъм за изключение“, каза той. "Когато софтуерът Cybereason премине към крайна точка, той създава серия от базови файлове, които са позиционирани в папки на твърдия диск, които биха накарали ransomware да се опита да ги шифрова първо." Той каза, че промените в тези файлове се откриват незабавно, Тогава софтуерът на Cybereason или подобен софтуер от Malwarebytes ще прекрати процеса и в много случаи съхранява злонамерения софтуер, така че да не може да нанесе допълнителни щети.
Така че, има няколко слоя отбрана, които могат да предотвратят атака за издирване и ако имате всички тях функционални и на мястото си, тогава успешната атака ще трябва да последва поредица от провали, за да се случи. И можете да спрете тези атаки навсякъде по веригата.
Трябва ли да платите откуп?
Но да предположим, че решите, че искате да платите откупа и да възстановите операциите веднага? "За някои организации това е жизнеспособна опция", каза Барак.
Ще трябва да оцените цената на прекъсването на бизнеса, за да определите дали разходите за връщане в експлоатация са по-добри от разходите за възстановяване, като се имат предвид всички неща. Барак каза, че за бизнес атаки за откуп, "в повечето случаи вие получавате файловете обратно".
Но Барак каза, че ако плащането на откупа е възможна, тогава имате други съображения. "Как да се подготвим предварително, за да разполагаме с механизма за договаряне на разходите за връщане на услугите? Как да ги платим? Как да формираме механизма за посредничество на този вид плащане?"
Според Барак почти всяка атака за извличане на софтуер включва средство за комуникация с нападателя и повечето предприятия се опитват да договарят сделка, за която обикновенните нападатели на откупи обикновено са отворени. Например, можете да решите, че се нуждаете само от част от машините, които са били шифровани и просто преговаряте за връщането на тези машини.
- Най-добрата защита от Ransomware за 2019 г. Най-добрата защита за Ransomware за 2019 г.
- Хакерите на SamSam Ransomware рейкуват в $ 5, 9 милиона
- 2 иранци зад SamSam Ransomware Attacks, US претенции 2 Iranians зад SamSam Ransomware Attacks, американски претенции
"Планът трябва да бъде изготвен преди време. Как ще отговорите, кой ще комуникира, как ще платите откупа?" - каза Барак.
Въпреки че плащането е жизнеспособна опция, за повечето организации тя остава опция за последен ров, а не отговор за получаване. Има много променливи, които не можете да контролирате в този сценарий, плюс плащането веднъж, никога не можете да гарантирате, че няма да бъдете атакувани за повече пари в бъдеще. По-добрият план е използването на солидна защита, която е достатъчно трудна, за да отклони повечето атаки на зловреден софтуер и да победи тези няколко, които успяват. Но каквото и да решите, не забравяйте, че на практика всяко решение изисква да направите резервно копие религиозно. Правете го сега, правете го често и тествайте често също, за да сте сигурни, че нещата ще работят безпроблемно.