Съдържание:
- Как се заразяват предприятията?
- приготви се
- Предотвратявам
- защитавам
- Не плащайте
- Останете продуктивни
- Не чакайте да изпусне обувката
Видео: SGLH Ransomeware Virus Data Recovery No Decryptor No Software (Ноември 2024)
САЩ се подготвят за пълното въздействие на глобална епидемия от откупи, базирана на щама от злонамерен софтуер Wanna Decryptor. Важно е да защитите вашия бизнес и данни от тази бързо разпространяваща се заплаха, но след като вече го подминем, трябва да запомните, че Wanna Decryptor е само най-шумният пример за проблема с извличането на софтуер.
Трябва да знаете три неща за откупния софтуер: страшно е, бързо се разраства и е голям бизнес. Според Центъра за жалби в Интернет на ФБР (IC3) над 992 жалби, свързани с криптовалута, са получени между април 2014 г. и юни 2015 г., което е довело до загуби от над 18 милиона долара. Този злокачествен успех се отразява в темповете на растеж на ransomware с Infoblox DNS Threat Index, отчитайки 35-кратно увеличение на нови домейни, създадени за ransomware през първото тримесечие на 2016 г. (в сравнение с четвъртото тримесечие на 2015 г.).
По принцип ransomware пуска криптирана стена между бизнес и вътрешните данни и приложения, които бизнесът трябва да оперира. Но тези атаки могат да бъдат много по-сериозни от просто недостъпността на данните. Ако не сте подготвени, тогава вашият бизнес може да спре.
Просто попитайте холивудския презвитериански медицински център. Много преди Wanna Decryptor, болницата научи болезнен урок, когато персоналът изгуби достъп до своите компютри по време на избухване на софтуер за изкупване в началото на 2016 г. Болницата плати откуп от 17 000 долара, след като служителите прекараха 10 дни, разчитайки на факс машини и хартиени таблици. Или да попитате полицейското управление на Tewksbury. През април 2015 г. те платиха откупа за възстановяване на достъпа до криптирани записи за арест и инциденти.
Как се заразяват предприятията?
Ако има сребърна подплата на Wanna Decryptor на което и да е ниво, то тя служи, за да докаже, без съмнение, че заплахата, представена от ransomware, е реална. Никой бизнес или служител не е имунизиран от потенциална атака за откуп. Важно е да разберете как ransomware заразява компютрите, преди да обсъдите как да защитите бизнеса си от него или как да реагирате, ако сте компрометирани. Разбирането на произхода и начина на заразяване дава информация за запазването на безопасността.
Ransomware обикновено идва от един от два източника: компрометирани уебсайтове и прикачени файлове по имейл. Законният уебсайт, който е компрометиран, може да хоства комплект за експлоатация, който заразява вашата машина, обикновено чрез експлоатация на браузъра. Същата методология може да се използва от фишинг уебсайт. При изтегляне на драйв инсталирате софтуер за извличане и той започва да криптира вашите файлове.
В случай на злонамерен прикачен имейл, потребителите са подмамени да отворят прикачения файл, който след това да инсталира откъм софтуер. Това може да бъде толкова просто като фалшиво имейл съобщение с изпълним прикачен файл, заразен файл на Microsoft Word, който ви подтиква да активирате макроси или файл с преименувано разширение, като например файл, който завършва в "PDF", но наистина е EXE файл (изпълним файл).
Понастоящем няма сребърен куршум, който да гарантира безопасността на вашата организация от ransomware. Но има пет стъпки, които всеки бизнес трябва да предприеме, което може драстично да намали шансовете им за инфекция - и също така да облекчи болката, ако атаката успее.
приготви се
Ключов компонент за подготовка за атака за извличане на софтуер е разработването на стабилна стратегия за архивиране и прави редовно архивиране. "Здравите резервни копия са ключов компонент на анти-рансъмуерската стратегия", казва Филип Касеса, стратег за развитие на продукти в ISC2, глобална организация с нестопанска цел, която сертифицира професионалисти по сигурността. "След като вашите файлове са шифровани, единствената ви жизнеспособна опция е да възстановите резервното копие. Другите ви възможности са да платите откупа или да загубите данните."
Corrons на Panda Security предлага допълнително внимание: архивирането „е от решаващо значение в случай, че защитата ви се провали, но не забравяйте да сте премахнали напълно софтуера преди възстановяване на архивирането. В PandaLabs видяхме, че криптофайловите файлове на рансъмуер криптират“.
Добра стратегия за разглеждане е многостепенно или разпределено архивно решение, което поддържа няколко копия на архивни файлове на различни места и на различни носители (така че заразеният възел няма незабавен достъп както до текущите файлови хранилища, така и до архивните архиви). Такива решения са достъпни от няколко малки и средни бизнес (SMB) онлайн резервни доставчици, както и повечето доставчици на бедствия и възстановяване като услуга (DRaaS).
Предотвратявам
Както беше споменато по-горе, образованието на потребителите е мощно, но често пренебрегвано оръжие в арсенала ви срещу ransomware. Обучете потребителите да разпознават техники за социално инженерство, избягвайте кликването и никога не отваряйте прикачен файл от някой, когото не познават. Приложенията от хора, които познават, трябва да се разглеждат и отварят с повишено внимание.
„Разбирането как разпространението на софтуер, идентифициращо поведението на потребителя, идентифицира поведението на потребителя, което трябва да бъде променено, за да се защити вашият бизнес“, каза Касеса. „Прикачените файлове за имейл са риск номер едно за заразяване, изтеглянията на драйверите са номер две, а злонамерените връзки в имейла са номер три. Хората играят важен фактор за заразяване с откупи.“
Обучението на потребителите да обмислят заплахата за извличане на софтуер е по-лесно, отколкото си мислите, особено за SMBs. Разбира се, той може да приеме традиционната форма на дълъг вътрешен семинар, но може също така да бъде просто поредица от групови обеди, при които ИТ получава възможността да информира потребителите чрез интерактивна дискусия - за ниската цена от няколко пици. Може дори да помислите да наемете външен консултант по сигурността, който да проведе обучението, с някои допълнителни видео или примери от реалния свят.
защитавам
Най-доброто място да започнете да защитавате вашия SMB от ransomware е с тези четири най-добри стратегии за смекчаване на последиците: бели списъци на приложения, приложения за кръпка, патчиране на операционни системи (ОС) и минимизиране на административни привилегии. Casesa бързо посочи, че „тези четири контрола се грижат за 85 или повече процента заплахи за злонамерен софтуер“.
За малки и средни предприятия, които все още разчитат на сигурност на индивидуален компютър антивирус (AV), преминаването към решение за сигурност на управляваната крайна точка позволява ИТ централизиране на сигурността за цялата организация и да поеме пълен контрол върху тези мерки. Това може драстично да увеличи ефективността на AV и анти-зловреден софтуер.
Което и решение да изберете, уверете се, че то включва защита, основана на поведение. И тримата наши експерти се съгласиха, че базираният на подпис анти-злонамерен софтуер не е ефективен срещу съвременните софтуерни заплахи.
Не плащайте
Ако не сте се подготвили и сте се предпазили срещу откуп и сте се заразили, може да е изкушаващо да платите откупа. На въпроса обаче дали това е мъдър ход, нашите трима експерти бяха обединени в отговора си. Корънс бързо посочи, че „плащането е рисковано. Сега със сигурност губите парите си и може би ще върнете файловете си нешифровани“. В крайна сметка, защо престъпник ще стане почетен, след като сте му платили?
Като плащате на престъпници, вие им давате стимул и средства за разработване на по-добър откуп. „Ако плащате, вие го правите много по-лошо за всички останали“, казва Касеса. „Лошите момчета използват парите ви, за да развият неприятен зловреден софтуер и заразяват другите.“
Защитата на бъдещите жертви може да не е най-добра, когато се опитвате да управлявате бизнес с неговите данни, държани като заложници, но просто погледнете на това от тази гледна точка: че следващата жертва може да бъдете вие отново, този път да се борите още повече ефективен зловреден софтуер, който сте помогнали да платите за разработване.
Casesa посочва, че "плащайки откупа, сега сте станали по-строга цел за престъпниците, защото те знаят, че ще платите". Вие ставате, на езика на продажбите, квалифициран лидер. Точно както няма чест сред крадците, така и няма гаранция, че откупният софтуер ще бъде напълно премахнат. Престъпникът има достъп до вашата машина и може да декриптира вашите файлове и да остави злонамерения софтуер на нея, за да следи вашите дейности и да открадне допълнителна информация.
Останете продуктивни
Ако повредите, причинени от ransomware, са свързани с нарушаване на бизнеса ви, тогава защо не предприемете стъпки за увеличаване на непрекъснатостта на бизнеса, като се преместите в облака? „Нивото на защита и цялостната сигурност, които получавате от облака, е много по-голямо от това, което би могъл да си позволи малък бизнес“, изтъква Брандън Дънлап, Global CISO на Black & Veatch. „Облачните доставчици имат сканиране на зловреден софтуер, подобрена автентификация и много други защити, които правят шансовете на тях да страдат от атака за откупи да са много ниски.“
Най-малкото, преместете имейл сървърите в облака. Dunlap посочва, че „имейлът е огромен вектор за атака за рансъмуер. Преместете го в облака, където доставчиците групират множество контроли за сигурност като сканиране на злонамерен софтуер и DLP в услугата“. Допълнителни слоеве за сигурност, като например прокси базирана репутация на сайта и сканиране на трафик, могат да бъдат добавени чрез много облачни услуги и могат допълнително да ограничат излагането ви на откупи.Dunlap е ентусиазиран от защитите, които облакът предлага срещу ransomware. „Ние сме във фантастичен момент от историята на технологиите с множество решения с ниско триене на много от проблемите, пред които е изправен малкият бизнес“, заяви Дънлап. "Това прави малкия бизнес по-пъргав от гледна точка на ИТ."
Ако вашата локална машина се зарази с откупи, може дори да няма значение дали вашите данни са в облака. Избършете вашата локална машина, преобразувайте я отново, свържете се отново с вашите облачни услуги и отново сте в бизнеса.
Не чакайте да изпусне обувката
Това не е една от онези ситуации, в които подходът на изчакване е най-добрата ви тактика. Wanna Decryptor ясно показва, че софтуерът за откуп е там; тя расте с гигантски скокове и граници, както в изискаността, така и в популярността на лошия човек и определено ви търси. Дори и след като тази настояща заплаха преодолее, е критично важно да предприемете стъпки за защита на данните и крайните точки от инфекция.
Създавайте редовни архиви, обучавайте служители за избягване на инфекции, кръпка приложения и ОС, ограничете привилегиите на администратора и стартирайте анти-злонамерен софтуер, базиран на неподписване. Ако следвате този съвет, тогава можете да предотвратите всички, освен най-кървавите инфекции (и тези, които вероятно не са насочени към SMB). В случай, че атака попадне през вашата защита, имайте ясен, тестван план за ИТ, за да изчистите инфекцията, да възстановите архивирането и да възобновите нормалните бизнес операции.
Ако не спазвате тези най-добри практики и се заразите, тогава знайте, че плащането на откупа идва без гаранции, квалифицира ви като нещастник на престъпниците и им дава средствата да развият още по-коварния откуп (и стимула да го използвате върху вас възможно най-често). Не ставай жертва. Вместо това отделете време, за да извлечете ползите по-късно: подгответе се, предотвратете, защитите и останете продуктивни.