Будинки Бізнес Як він може захищатися від викупу

Як він може захищатися від викупу

Зміст:

Відео: Время и Стекло Так выпала Карта HD VKlipe Net (Листопад 2024)

Відео: Время и Стекло Так выпала Карта HD VKlipe Net (Листопад 2024)
Anonim

Ми всі знаємо, що викупне програмне забезпечення - це один із найбільш руйнівних варіантів зловмисних програм. Ви говорите про натискання на неправильне посилання і про те, щоб дані вашої організації зникли в болоті зашифрованого безглуздя, або навіть його серверних операційних систем (ОС) та інших критичних файлів, які просто зникають одного дня. Ви можете платити викуп, але це може бути не тільки дорого, але й не гарантує, що погані хлопці повернуть вам ваші дані.

Коли ви потрапите, ваш вибір похмурий: або сподіваєтесь, що ви зможете відновити роботу системи за допомогою хмарних резервних копій, або заплатите викуп і сподіваєтесь, що ключ розшифровки працює. Але це лише в тому випадку, якщо тебе вдарили. Кращий вибір - це утримуватись від того, щоб ваші файли не були зашифровані в першу чергу, або, якщо деякі файли потрапили, то запобігти поширенню атаки. Ключовим моментом є підвищення рівня безпеки вашої компанії, щоб уникнути нападу.

Як уникнути нападу викупу

Перший крок - це те, що Ізраїль Барак, головний керівник інформаційної безпеки (CISO), розробник програмного забезпечення для виявлення та реагування кінцевих точок Cybereason називає "гігієною ІТ та безпеки". Це означає уникати вразливості та фільтрувати електронний лист та веб-трафік. Це також означає навчання користувачів та переконання, що патчі для вашої ОС, додатків та продуктів безпеки повністю оновлені.

Другий крок - створення стратегії безперервності та відновлення бізнесу. Це означає, що насправді складати план, коли все піде погано, а не просто сподіватися, що вони не стануть. Барак заявив, що це включає резервні копії на місці та пройшли тестування, знаючи, як ви відновите пошкоджені служби, знаєте, де ви отримаєте обчислювальні ресурси для відновлення, і знаючи, що ваш повний план відновлення буде працювати, оскільки ви його фактично протестували.

Третім кроком є ​​захист від зловмисного програмного забезпечення. Барак сказав, що це включає захист від зловмисного програмного забезпечення, що надходить у вашу мережу, та захист від виконання зловмисного програмного забезпечення під час роботи у ваших системах. На щастя, більшість шкідливих програм досить легко помітити, оскільки автори зловмисних програм часто діляться успішними процедурами.

Чому Ransomware відрізняється

На жаль, вимога програмного забезпечення не схожа на інші шкідливі програми. Барак сказав, що, оскільки викупне програмне забезпечення залишається на комп'ютері лише коротко, не важко уникнути виявлення, перш ніж воно завершить його шифрування і надішле повідомлення про викуп. Крім того, на відміну від інших типів зловмисного програмного забезпечення, зловмисне програмне забезпечення, яке фактично виконує шифрування файлів, може надходити на комп’ютери жертви лише за моменти до початку шифрування.

Два відносно останніх типи зловмисного програмного забезпечення - Ryuk та SamSam - входять у ваші системи під керівництвом оператора людини. У випадку з Рюком цей оператор, ймовірно, знаходиться в Північній Кореї, а в СамСам - в Ірані. У кожному випадку атака починається з пошуку облікових даних, які дозволяють входити в систему. Потрапивши туди, оператор вивчає вміст системи, вирішує, які файли шифрувати, підвищує привілеї, шукає та деактивує програмне забезпечення проти зловмисного програмного забезпечення та посилання на резервні копії, щоб також бути зашифрованими, або в деяких випадках дезактивує резервні копії. Потім, після, можливо, місяців підготовки, зловмисне програмне забезпечення для шифрування завантажується та запускається; він може закінчити свою роботу за лічені хвилини - занадто швидко, щоб людський оператор втрутився.

"У SamSam вони не використовували звичайний фішинг", - пояснив Карлос Соларі, віце-президент розробника рішень з кібербезпеки Комодо Кібербезпеки та колишній керівник директора Білого дому. "Вони використовували веб-сайти та крали дані людей та застосовували грубу силу, щоб отримати паролі".

Соларі заявив, що ці втручання часто не виявляються, оскільки шкідливе програмне забезпечення не задіяне до самого кінця. Але він сказав, що, зроблено належним чином, є способи зупинити атаку в цей момент. Зазвичай, за його словами, злочинці підуть за послугами каталогів для мережі та атакуватимуть їх, щоб вони могли отримати привілеї адміністративного рівня, необхідні для їх постановки для нападу. У цей момент система виявлення вторгнень (IDS) може виявити зміни, і якщо оператори мережі знають, що шукати, вони можуть заблокувати систему та вигнати зловмисників.

"Якщо вони звернуть увагу, то вони зрозуміють, що хтось знаходиться зсередини", - сказала Соларі. "Важливо знайти розвідку щодо внутрішньої та зовнішньої загрози. Ви шукаєте аномалії в системі".

Як захистити себе

Для менших компаній Solari пропонує компаніям знайти Центр безпеки оперативного виявлення та реагування (MDR) як сервіс. Він додав, що більші компанії, можливо, захочуть знайти постачальника керованих служб безпеки (MSSP). Будь-яке рішення дозволить стежити за подіями безпеки, включаючи постановку перед великою атакою викупних програм.

Крім моніторингу вашої мережі, важливо також зробити свою мережу такою, якою вона буде максимально непривітною для злочинців. За словами Адама Куяви, директора лабораторій Malwarebyte, одним із важливих кроків є сегментація вашої мережі, щоб зловмисник не міг просто переміщатися по вашій мережі та мати доступ до всього. "Ви не повинні зберігати всі свої дані в одному місці", - сказав Куява. "Вам потрібен більш глибокий рівень безпеки."

Але якщо виявиться, що ви не виявили інвазивні стадії перед атакою викупового програмного забезпечення, то є ще один шар або відповідь, це виявлення поведінки зловмисного програмного забезпечення, коли воно починає шифрувати файли.

"Ми додали, що це поведінковий механізм, який покладається на поведінку, характерну для викупу", - пояснює Барак. Він сказав, що таке програмне забезпечення спостерігає за тим, що може бути зроблено програмним забезпеченням, таким як шифрування файлів або стирання резервних копій, а потім вживає заходів, щоб знищити процес, перш ніж він може завдати шкоди. "Це ефективніше проти ніколи не бачених штамів викупових програм".

Ранні попередження та захист

Для надання форми раннього попередження, Барак сказав, що Кіберосон робить ще один крок. "Що ми зробили - це використовувати механізм виключень", - сказав він. "Коли програмне забезпечення Cybereason переходить до кінцевої точки, воно створює низку базових файлів, розміщених у папках на жорсткому диску, які б змусили програму-сканер спробувати зашифрувати їх спочатку." Він сказав, що зміни в цих файлах виявляються негайно,

Тоді програмне забезпечення Cybereason або подібне програмне забезпечення від Malwarebytes припинять процес, і в багатьох випадках контейнери зловмисне програмне забезпечення таким чином не зможе завдати подальшої шкоди.

Таким чином, існує кілька шарів захисту, які можуть запобігти атаці викупових програм, і якщо у вас всі вони функціональні і на місці, то для успішної атаки доведеться слідувати ряду невдач, щоб це сталося. І ви можете зупинити ці атаки де завгодно по ланцюгу.

Якщо ви повинні виплатити викуп?

Але припустимо, ви вирішили, що хочете сплатити викуп і відновити операції негайно? "Для деяких організацій це життєздатний варіант", - сказав Барак.

Вам доведеться оцінити вартість перерви в бізнесі, щоб визначити, чи краща вартість повернення в експлуатацію, ніж вартість реставрації. Барак заявив, що для бізнес-атак викупу "у більшості випадків ви отримуєте файли назад".

Але Барак сказав, що якщо платити викуп - це можливість, то у вас є інші міркування. "Як ми заздалегідь підготуємося до того, щоб мати механізм узгодження вартості повернення послуг? Як ми їх оплачуємо? Як ми формуємо механізм для посередництва цього виду платежів?"

За словами Барака, майже кожна атака з викуповим програмним забезпеченням включає засоби спілкування з нападником, і більшість підприємств намагаються домовитись про угоду, щодо якої зловмисники з викупними програмами зазвичай відкриті. Наприклад, ви можете вирішити, що вам потрібна лише частина машин, які були зашифровані, і просто домовитися про повернення цих машин.

  • Найкращий захист від компенсації за 2019 рік
  • Хакери SamSam Ransomware заграбують 5, 9 мільйонів доларів, Хакери для викупу SamSam Ransomware розграбують у $ 5, 9 мільйона
  • 2 іранців за атаками викупу SamSam, претензії США 2 Іранці за атаками викупу SamSam Ransomware, претензії США

"План слід скласти достроково. Як ви відповісте, хто буде спілкуватися, як ви сплатите викуп?" - сказав Барак.

Хоча оплата є життєздатним варіантом, для більшості організацій вона залишається варіантом останнього канаву, а не відповіддю. Є багато змінних, які ви не можете контролювати в цьому сценарії, плюс, заплативши один раз, ви ніколи не можете гарантувати, що в майбутньому ви не будете атаковані за більше грошей. Кращий план - використання міцної оборони, достатньо складної для відхилення більшості атак зловмисного програмного забезпечення та перемоги тих небагатьох, які досягли успіху. Але що б ви не вирішили, пам’ятайте, що практично кожне рішення вимагає резервного копіювання. Робіть це зараз, робіть це часто, і тестуйте часто теж, щоб переконатися, що речі будуть працювати без проблем.

Як він може захищатися від викупу