Программа-вымогатель — давайте дать отпор!
Люди по своей природе склонны быть импульсивными существами, и когда они сталкиваются с проблемой атаки программ-вымогателей, они обычно быстро реагируют, они хотят обеспечить безопасность своих данных. Выплата выкупа играет напрямую на руку преступнику, и возврат доступа к системе или получение данных никогда не гарантируется. Кроме того, это способствует продолжению такого рода киберпреступлений, поскольку преступники знают, что им относительно легко добиться успеха. Более того, распространенность криптовалют способствует этому прибыльному делу, поскольку отследить средства сложнее.
Кажется, что мы непреднамеренно способствуем эффективности этой преступной деятельности и поощряем ее продолжение. Мы знаем, что это происходит, и что у нас должны быть стратегии, чтобы наилучшим образом предотвратить атаки такого типа, но многие организации все еще не делают достаточно для защиты себя, своих систем и своих данных.
Обнаружить, защитить, но не реагировать должным образом
Наше понимание программ-вымогателей заключается в том, что они могут либо заблокировать целевой компьютер, либо зашифровать целевые файлы (что особенно неприятно и чаще всего используется в последнее время). Все, что требуется от пользователя, — это просмотреть зараженный веб-сайт, отреагировать на мошенническое программное обеспечение безопасности или мошенничество с технической поддержкой с помощью нагнетания страха или социальной инженерии. Реагирование на отклоненное электронное письмо (наиболее распространенная форма доставки программ-вымогателей) и нажатие на URL-ссылку или вложение, содержащее вредоносный макрос, также могут активировать это. Все эти пути доставки могут привести к заражению программами-вымогателями.
Программа-вымогатель может избежать обнаружения вредоносного ПО, поскольку вредоносное ПО всегда адаптируется и скрывается, чтобы избежать обнаружения. Только после того, как произошла атака со стороны совершенно нового варианта, мы можем начать защищаться от этого конкретного вредоносного ПО и, таким образом, обнаружить, что наша защита часто отстает, а злоумышленник остается на шаг впереди. Это позволяет вредоносному ПО пройти незамеченным. Поэтому так важны уровни защиты, но эта стратегия не всегда считается приоритетной.
Это повторяется снова и снова, если это вообще возможно, чтобы не реагировать так, как намереваются преступники. Не платите выкуп, а восстанавливайте из резервной копии. Столкнувшись с проблемой, большинство соглашается заплатить выкуп, даже полиция в некоторых странах платит за восстановление своих систем. В некоторых случаях, когда файлы были зашифрованы, а у предприятий нет актуальных резервных копий, у них не остается другого выбора, кроме как заплатить выкуп, если они хотят получить хоть какой-то шанс получить свои ценные данные. Однако нет никаких гарантий, что рассматриваемые файлы будут возвращены в незашифрованном виде. Ведь вы имеете дело с преступником! Более того, это может поставить вас в поле зрения жертвы, готовой платить, что подвергает вас риску атак в будущем.
В конце 2016 года был замечен новый тип программ-вымогателей, которые требуют оплаты в биткойнах или заражают двух ваших друзей или знакомых в обмен на ваши файлы. Преступники даже утверждают, что это единственный способ зарабатывать на жизнь.
Защитные меры, которые следует учитывать
Когда дело доходит до программ-вымогателей, важно действовать превентивно, а не реагировать. Так что же можно сделать для повышения безопасности? Существуют как технические, так и нетехнические меры, которые можно предпринять, чтобы лучше защитить себя, свой бизнес и наши ценные данные.
Использование нескольких форм смягчения последствий в унисон является лучшим подходом, чем использование какой-либо одной стратегии. Если один подход терпит неудачу, другой может иметь больший успех.
- Многоуровневая защита (глубокая защита)
Удивительно, как часто этот подход к безопасности игнорируется. Некоторые организации считают, что комбинации брандмауэра и антивируса будет не только достаточно, но и более чем достаточно для защиты их среды. Уровни защиты не являются новой стратегией, но необходимо сделать акцент на ее важности — она уже должна быть частью вашей глубокоэшелонированной защиты, но если нет, то она определенно должна иметь приоритет. Уровни должны включать приложения для обнаружения и защиты от вредоносных программ и программ-вымогателей, а также антивирусы с активным мониторингом.
- Мониторинг и управление сетевым трафиком
Это позволяет вам лучше контролировать трафик в вашей сети в любой момент времени. Важно, чтобы сети были правильно зонированы, а пользователи и устройства видели и взаимодействовали только с областями сети, с которыми они должны взаимодействовать. Также следует ограничить уровень привилегий, необходимых для выполнения конкретной работы.
- Брандмауэры
По возможности рекомендуется использовать брандмауэры прикладного уровня. Большинство брандмауэров имеют возможность проксирования, а также обратного прокси, поэтому, когда это возможно, службы должны публиковаться через обратные прокси, чтобы избежать прямого доступа к объекту. Это не только ограничивает ущерб, но и предотвращает прямой доступ к файлам и средам в случае атаки.
Брандмауэры также должны использоваться и включаться на конечной точке, чтобы гарантировать, что трафик, исходящий от хостов и от некорпоративного программного обеспечения, заблокирован.
- Проксируйте свой трафик
Хорошие прокси способны блокировать трафик, исходящий от недопустимых или ненадежных приложений. Вы также можете проксировать внутренний трафик на прикладном уровне для проверки.
- Ограниченные интерфейсы
Приложения удаленного доступа, заблокированные строгими политиками, помогают смягчить эту угрозу, поскольку для заражения сетевых машин необходимо запустить программу-вымогатель. Это может помочь ограничить воздействие.
- Белый список
Настоятельно рекомендуется использовать белый список приложений для создания белого списка корпоративных приложений, которым разрешено работать на компьютерах и в сети. Это сильная стратегия, и она работает, и чаще всего ее сложнее обойти.
- Исправление и обслуживание исправлений
Эта область часто ошибочно не считается приоритетной и часто игнорируется или не поддерживается. Исправление ваших приложений и вашей среды очень важно, более того, оно защищает вас. Некоторые программы-вымогатели используют неисправленные системы, и через эти векторы заражение может быть чрезвычайно серьезным.
- Правило наименьших привилегий
Всегда применяйте и постоянно пересматривайте правило наименьших привилегий. Политика «разрешить всем», позволяющая всем пользователям получать доступ к сетевым файлам и ресурсам, неразумна. Это может привести к тому, что программа-вымогатель откажет вам в доступе к файлам.
Уместно, чтобы файлы были тщательно сгруппированы и чтобы применялся правильный уровень доступа, применяя правило наименьших привилегий. Пользователи всегда должны иметь минимальное количество привилегий, необходимых им для выполнения своей работы.
- Разрешения
Убедитесь, что ваши разрешения установлены надлежащим образом и что для доступа требуется аутентификация, особенно к критически важным системам. Использование двухфакторной аутентификации для получения доступа к конфиденциальным системам всегда рекомендуется, и программы-вымогатели не могут легко обойти эти элементы управления.
- Восстанавливаемые резервные копии
Удивительно, но у многих предприятий нет базовой резервной копии, которую можно было бы правильно восстановить на определенный момент времени. Резервные копии необходимы и могут быть спасением. Регулярное создание безопасных резервных копий
нельзя упускать из виду. Можно использовать облачное хранилище, но при его использовании необходимо применять высокоуровневое шифрование и многофакторную аутентификацию.
- Повышение осведомленности о безопасности
Одним из наиболее важных аспектов безопасности, особенно при работе с программами-вымогателями, является информирование ваших пользователей (на регулярной основе), чтобы они держались подальше от подозрительного программного обеспечения и потенциально опасных веб-сайтов. Если это выглядит подозрительно - скорее всего так оно и есть. Будьте бдительны и руководствуйтесь здравым смыслом.
Обучение пользователей поможет им быть в курсе последних атак и угроз. Осведомленность и обучение сотрудников очень важны, чтобы все оставались в курсе. Убедитесь, что все сотрудники осведомлены о путях распространения угроз и о том, какую важную роль обычно может играть социальная инженерия. Сообщите им о фишинге и о том, на какие признаки следует обращать внимание на веб-сайтах, которые выявляют их подозрительность.
Стойте на страже и дайте отпор
Программы-вымогатели — это деньги, которые можно вымогать. Все больше организаций обнаруживают, что для них крайне важно поддерживать доступ к своим системам и данным, и злоумышленники знают об этом. Поскольку системы и данные становятся все более важными, вероятность того, что организация заплатит выкуп, увеличивается, что делает этот бизнес прибыльным для преступника. Сделайте резервную копию и убедитесь, что вы можете восстановить файлы вместе с другими рекомендациями в этой статье.
С программами-вымогателями сложно бороться; Злоумышленники будут продолжать искать уязвимости, которые можно использовать, а также жертв и предприятия, на которые можно нацелиться. Никто не застрахован от этого вектора атаки, и каждый должен убедиться, что он сделал все возможное, чтобы предотвратить атаку, так как лучшая защита — заблокировать/остановить или, если это не удается, обнаружить и сдержать угрозу. Компании должны проявлять инициативу, если они хотят иметь шанс противостоять программам-вымогателям и их последствиям.