Новое оружие в нескончаемой битве с программами-вымогателями

В последнее время программы-вымогатели часто упоминаются в новостях. Software AG, второй по величине поставщик программного обеспечения в Германии, недавно стал жертвой атаки программы-вымогателя. А ранее в этом году гигант ИТ-услуг Cognizant столкнулся с атакой программ-вымогателей, устранение которой может обойтись им в 70 миллионов долларов. Затем была попытка атаки вымогателей на Tesla, которая могла обернуться большой катастрофой для компании. И прямо здесь, в Канаде, где я живу, и в моем любимом городе Монреале совсем недавно пришло известие, что их система метро подверглась атаке программы-вымогателя.

Когда все это закончится?

Программы-вымогатели: нет волшебного решения

Программы-вымогатели — это проблема, которая ставит сложные задачи перед ИТ-менеджерами организаций всех типов и размеров. Это также тема, о которой мы часто говорили здесь, на TechGenix. Хотя не существует волшебного решения, способного отразить все типы атак программ-вымогателей, арсенал оборонительного оружия, которое ИТ-отделы могут использовать для смягчения или даже предотвращения успеха таких атак, растет. Одним из новых инструментов для борьбы с программами-вымогателями является ransomwiz, бесплатный онлайн-инструмент от Nyotron, который позволяет службам безопасности тестировать свою защиту от атак программ-вымогателей в полностью контролируемой среде. Обеспокоенный безопасностью нашего собственного бизнеса, я был рад возможности поговорить с Ниром Гайстом, основателем и техническим директором Nyotron, об их новом инструменте в частности и о ситуации с программами-вымогателями в целом.

Свой разговор с Ниром я начал с того, что спросил его о текущем состоянии ситуации с вымогателями, т. е. насколько она плоха и становится ли она лучше или хуже. «Поскольку «бизнес по программам-вымогателям» оказывается прибыльным с точки зрения злоумышленника, — говорит Нир, — он продолжает развиваться как в технологическом, так и в оперативном отношении. Средний спрос на выкуп за последние два года вырос более чем на 1100 процентов — с 10 000 до более 110 000 долларов. Хотя традиционные средства безопасности и средства безопасности нового поколения в некоторой степени помогают против распространенных атак, они практически неэффективны против постоянно меняющихся угроз. Когда дело доходит до программ-вымогателей — активно и быстро развивающихся — организация должна принять новый, более проактивный способ мышления. Должна быть реализована многоуровневая защита, где каждый уровень действительно добавляет новый подход к системе безопасности организации».

Затем я спросил его, почему компаниям так сложно справиться с программами-вымогателями и почему их нельзя просто заблокировать с помощью программного обеспечения, как это можно сделать с вирусами и другими вредоносными программами. Нир ответил, что «Большинство продуктов безопасности основаны на моделях Negative-Security. Это означает, что их методы обнаружения либо ищут конкретное известное вредоносное ПО (в большинстве случаев), либо, для известных плохих шаблонов, изучают на основе многих известных штаммов вредоносного ПО. В обоих случаях новый вымогатель (или любое вредоносное ПО), немного отличающийся от своих предшественников, сможет обойти практически любой продукт безопасности. Он не должен быть новым или более сложным. Просто «пахнет» немного по-другому. Да, это так просто. Фактически, недавнее исследование Nyotron показало, что изменение одного символа в существующем, очень старом вредоносном ПО делает невозможным его обнаружение всеми ведущими продуктами безопасности. Следовательно, для действительного обнаружения неизвестного вредоносного ПО необходим совершенно другой подход, который НЕ будет основан на изучении известного. Он должен быть независимым от угроз».

Затем я спросил его о том, какие подходы в настоящее время используют ИТ-отделы для борьбы с программами-вымогателями. «Эти времена, несомненно, являются поворотным моментом во многих отношениях, — говорит Нир, — и большинство специалистов по безопасности переоценивают свою нынешнюю позицию в области безопасности. Существуют отличные инструменты, которые позволяют профессионалу любого уровня по-настоящему оценить свою среду на предмет множества программ-вымогателей, сочетая различные методы уклонения и методы обработки файлов. Для этого необходимо заглянуть на ransomwiz.gg, если только ожидание фактического инцидента не является вашей оценочной стратегией. В конце концов, большинство ИТ-отделов и отделов безопасности приходят к выводу, что эшелонированная защита, если она реализована правильно, — это то, что нужно».

Новое оружие в вашем арсенале

Затем я задался вопросом, чего до сих пор не хватало в наборе ИТ-инструментов для преодоления угрозы, исходящей от программ-вымогателей. «Оценка эффективности среды безопасности сложна. Во многих случаях службы безопасности осознают свои недостатки только тогда, когда уже слишком поздно. Платформа ransomwiz.gg позволяет ИТ-специалистам любого уровня легко, практично и эффективно оценить свои возможности по борьбе с программами-вымогателями в организации и по-настоящему понять, могут ли они остановить их до того, как это произойдет. Используя ransomwiz, можно действительно генерировать множество различных вариантов программ-вымогателей с очень высокой вероятностью обнаружения слабых мест их среды. Итак, считаете ли вы, что все хорошо или нет — вы узнаете, какова ситуация на самом деле, и если вы уже ищете улучшения — вы узнаете, чего на самом деле не хватает. Такого уровня понимания давно не было в арсенале каждого».

Я закончил наш разговор, спросив Нира, может ли он объяснить, что такое его платформа для выкупа и как она работает. Нир ответил, что «ransomwiz.gg — это проект «общественных услуг» исследовательской группы Nyotron. Это бесплатный онлайн-инструмент, который дает специалистам по безопасности возможность бросить вызов своим продуктам безопасности против программ-вымогателей. Это позволяет специалистам по безопасности занять место водителя злоумышленника и генерировать реальные образцы программ-вымогателей, используя различные методы реальных атак. С ransomwiz любой специалист по безопасности любого уровня может «поэкспериментировать» с миллионом комбинаций методов обхода и методов обработки файлов для создания (безопасного, легко поддающегося отмене) вымогателя и запускать его против своей собственной архитектуры безопасности». В заключение Нир сказал: «Мы призываем любого специалиста по безопасности и ИТ протестировать свою среду и узнать ее реальные возможности до того, как появится следующая программа-вымогатель».

Не знаю, как вы, но мне, как ИТ-специалисту и профессиональному гику, нравится играть с бесплатными инструментами. Особенно, если они могут быть полезны для безопасности моего бизнеса.

А ты?