Уменьшите риск быть пораженным атакой программ-вымогателей

Опубликовано: 30 Марта, 2023
Уменьшите риск быть пораженным атакой программ-вымогателей

Программы-вымогатели по-прежнему представляют значительный риск — их стало трудно остановить, поскольку они представляют собой эффективный вектор атаки против большинства средств защиты. И это становится еще хуже для бизнеса, потому что программы-вымогатели становятся более целенаправленными и склонны использовать комбинацию векторов атаки. Программы-вымогатели используют незакрытые уязвимости в сочетании с вредоносной рекламой, фишингом, социальной инженерией и другими целевыми векторами.

Он стал настолько изощренным, что злоумышленники даже знают, какой уровень киберстрахования имеет целевая компания, и иногда работают с инсайдерами для доставки полезной нагрузки. Dark Web даже используется для покупки программ-вымогателей как услуги. Принимая во внимание вышеизложенное, злоумышленники теперь могут развернуть сеть прибыльных атак без каких-либо знаний в области программирования.

Таким образом, по мере того, как количество атак с использованием программ-вымогателей продолжает увеличиваться, следует рассмотреть возможность сочетания защитных механизмов, которые помогут снизить риск.

Механизмы защиты от программ-вымогателей

  1. Иметь восстанавливаемую автономную резервную копию

Самый важный и простой способ обеспечить защиту от программ-вымогателей — это наличие восстанавливаемой резервной копии, которую можно использовать для полного восстановления. Очевидным моментом, который часто не воспринимается всерьез, является то, что резервная копия эффективна только в том случае, если ее можно использовать для восстановления. Резервная копия бессмысленна, если ее нельзя использовать для восстановления. Поэтому необходимо часто тестировать резервную копию.

Кроме того, резервная копия не должна быть доступна в цифровом виде, а это означает, что после создания резервной копии она должна быть изолирована от среды с цифровым подключением. Это гарантирует, что она не будет доступна для внутренних и внешних пользователей, что гарантирует изменение резервной копии в любое время и гарантирует, что она будет доступна только при необходимости. К сожалению, слишком часто при реагировании на инциденты резервные копии удалялись до того, как полезная нагрузка программы-вымогателя была доставлена через установленный злоумышленником удаленный доступ.

Таким образом, приоритетная защита от программ-вымогателей должна в первую очередь обеспечивать доступность и работоспособность восстанавливаемой, недоступной резервной копии в случае необходимости. Как только это будет достигнуто, можно рассмотреть другие варианты защиты для комбинированной защиты от программ-вымогателей. Не попадитесь в ловушку, когда во время инцидента становится понятно, что резервная копия, которая считалась работоспособной, не подлежит восстановлению или уязвима. Режим тестирования является ключом к тому, чтобы этого не произошло.

  1. Убедитесь, что конечные точки и серверы изолированы

Если у вас плоская сеть, а это означает, что все машины могут взаимодействовать друг с другом, вероятно, возможно горизонтальное перемещение от машины к устройству. Чтобы ограничить ущерб, который может нанести эта конфигурация, следует создать «противопожарную полосу». Противопожарная полоса — это сегмент сети, в котором каждая машина находится в отдельной сети. Эта сеть управляется набором правил, определяющих допустимое перемещение трафика. Таким образом, можно контролировать боковое движение трафика, не только пользователей, но и вредоносные программы, такие как программы-вымогатели.

Эта стратегия работает во многих типах сетей, включая локальные локальные сети, домашние сети для удаленных сотрудников и облачные сети, и помогает организациям обнаруживать вредоносные программы и программы-вымогатели.

Беспроводные сети особенно сложно защитить, и, используя этот метод, вы обнаружите, что у вас есть эффективный способ управления боковым движением во всех ваших сетях.

  1. Сканируйте свою электронную почту

Большинство заражений программами-вымогателями проникают в организации через векторы электронной почты. На момент написания статьи сканирование электронной почты Microsoft 365 было неэффективным в борьбе с программами-вымогателями. Таким образом, многие компании, использующие Microsoft 365, по-прежнему заражаются и остаются уязвимыми для атаки. Улучшенное решение, которое ограничит выполнение любой ссылки, отправляемой пользователям по электронной почте, необходимо для уменьшения угрозы. Доступно несколько систем для удаления ссылок из электронных писем и предоставления доступа только ссылкам из белого списка. Эти типы систем также устанавливают на машину агента, который может помещать ссылки в песочницу. Когда каждая ссылка потенциально является компрометацией, а каждое вложение может доставить полезную нагрузку, вы можете подумать, что это невыполнимая миссия, но надежда есть. В настоящее время большинство программ-вымогателей не могут легко выйти из «песочницы» (пока) и могут быть обнаружены и нейтрализованы с помощью приличных продуктов для сканирования. Любая основная технология менее эффективна, поскольку злоумышленники, стремящиеся нанести вред, также получают к ней доступ. Такие решения, как Microsoft 365, находятся в зачаточном состоянии, и в настоящее время, если их не использовать в сочетании с защитником или более совершенным средством защиты от вредоносных программ, организации останутся уязвимыми. Техника перезаписи ссылок и внесения в белый список URL-адресов, которые пользователи могут посещать, а также надежное сканирование вложений являются эффективным вариантом защиты от программ-вымогателей.

  1. Очистите свой веб-трафик

Когда пользователи получают целевое электронное письмо и нажимают на ссылку, они перенаправляются на веб-страницу, которая либо загружает вредоносное ПО, либо убеждает пользователей сделать то же самое. Разрешить непроверенный доступ ко всему Интернету — это то же самое, что позволить ребенку бегать в одиночестве по ночному городу. Лучше всего направлять пользователей, внося в белый список сайты, связанные с бизнесом, и разрешая доступ к этим сайтам только после их проверки. Если это невозможно, то такое решение, как HP Sure Click Enterprise, является отличным решением. Это решение создает песочницу, чтобы щелкнуть что-либо; песочницы как новый ноутбук каждый раз при перезагрузке машины. Программе-вымогателю будет сложно выйти из этой песочницы, и использование этого является хорошим сдерживающим фактором, пока существуют более легкие цели, злоумышленники выберут их. Поэтому убедитесь, что вы или ваша организация не стали легкой мишенью!

  1. Учетные записи администратора

В кибербезопасности всегда полезно удалить все привилегии администратора и использовать компьютеры с минимально возможными привилегиями. Это еще один барьер в борьбе с программами-вымогателями, который задерживает активность и помогает обнаруживать инциденты.

  1. Исправьте все, что можно быстро
Изображение 9914
Шаттерсток

Одним из наиболее распространенных способов распространения программ-вымогателей является использование червем уязвимости. Большинство червей используют старые уязвимости. Часто из-за того, что патчи обычно не развертываются. Благодаря тому, что у злоумышленников есть такие же хорошие среды разработки, как и у коммерческих компаний-разработчиков программного обеспечения, злоумышленники могут действовать быстро. Поэтому, как только они обнаруживают уязвимость, они могут адаптировать свой код для использования последней уязвимости в темпе. Это было очевидно при взломе Hafnium Exchange Server.

Установка исправлений, вероятно, останется одним из самых опасных путей атаки, потому что большинство компаний очень медленно устанавливают исправления, и на их исправление уходят дни, если не недели. Злоумышленники постоянно ищут брешь, и когда они это делают, они получают плацдарм, который они могут использовать, когда они будут готовы доставить полезную нагрузку. В качестве альтернативы они обменивают доступ к Dark Web на криптовалюту или «сидят на нем», пока не найдут лучший способ скомпрометировать цель, при этом цель ничего не знает.

Программы-вымогатели — прибыльный бизнес

По оценкам, сейчас индустрия программ-вымогателей оценивается более чем в полмиллиарда долларов; это простой вариант для злоумышленников и очень прибыльный для них. Благодаря его растущему успеху более крупные группы разрабатывают надежные наборы для атак, на которые люди могут подписаться или которые продаются как услуга.

Рост криптовалют также облегчает получение оплаты за «работу» и усложняет отслеживание (в результате злоумышленники не часто попадают). Таким образом, на растущем рынке программ-вымогателей есть много профессиональных злоумышленников.

Промышленность создает целевую группу для борьбы с этой растущей проблемой. Однако это немного похоже на игру в кошки-мышки, и, к сожалению, организации продолжают играть роль мышей.