Як захистити та відновити свій бізнес від викупу

США підтримують повний вплив глобальної епідемії викупового програмного забезпечення, заснованої на штамі Wanna Decryptor. Важливо захистити свій бізнес та дані від цієї швидко поширюваної загрози, але, як тільки ми його пройдемо, вам потрібно пам’ятати, що Wanna Decryptor - це лише найшумніший приклад проблеми викупу.

Про викупне програмне забезпечення потрібно знати три речі: це страшно, швидко зростає, і це великий бізнес. За даними Центру розгляду скарг на Інтернет-злочинність ФБР (IC3), за період з квітня 2014 року по червень 2015 року надійшло понад 992 скарги, пов’язані з криптовалютою, що призвело до збитків понад 18 мільйонів доларів. Цей злоякісний успіх відображається на темпах зростання викупних програм за допомогою індексу загрози DNS Infoblox, який повідомляє про збільшення в 35 разів нових доменів, створених для програм для викупу в першому кварталі 2016 року (порівняно з четвертим кварталом 2015 року).

Взагалі, викупне програмне забезпечення забиває зашифровану стіну між бізнесом та внутрішніми даними та програмами, якими бізнес повинен працювати. Але ці напади можуть бути набагато серйознішими, ніж просто недоступність даних. Якщо ви не готові, то ваш бізнес може зупинитися.

Просто запитайте Голівудський пресвітеріанський медичний центр. Задовго до Wanna Decryptor лікарня засвоїла хворобливий урок, коли персонал втратив доступ до своїх ПК під час спалаху викупних програм на початку 2016 року. Лікарня заплатила викуп у розмірі 17 000 доларів після того, як працівники 10 днів покладалися на факсимільні машини та паперові картки. Або запитайте відділ поліції Тевксбері. У квітні 2015 року вони заплатили викуп за відновлення доступу до зашифрованих записів про арешт та інциденти.

Як заражаються підприємства?

Якщо у Wanna Decryptor є срібна підкладка на будь-якому рівні, то це те, що вона служить доказом, без сумніву, що загроза, яку представляє вимога, справжня. Жоден бізнес чи працівник не застраховані від потенційної атаки на викуп. Важливо зрозуміти, як викупне програмне забезпечення заражає комп’ютери, перш ніж обговорити, як захистити свій бізнес від нього або як реагувати, якщо ви піддаєтеся компромету. Розуміння походження та способу зараження дає зрозуміти, як залишатися в безпеці.

Ransomware зазвичай надходить з одного з двох джерел: компрометованих веб-сайтів та вкладень електронної пошти. Правовий веб-сайт, який був порушений, може розміщувати комплект експлуатації, який заражає вашу машину, як правило, за допомогою браузера. Цю ж методологію може використовувати фішинг-сайт. За допомогою завантажувального файлу встановлюється викупне програмне забезпечення, і воно починає шифрувати ваші файли.

У випадку зловмисного вкладення електронної пошти користувачі натякають на відкриття вкладеного файлу, який потім встановлює програмне забезпечення. Це може бути настільки просто, як підроблене повідомлення електронної пошти із виконаним вкладеним файлом, заражений файл Microsoft Word, який вводить вас у ввімкнення макросів, або файл із перейменованим розширенням, наприклад, як файл, який закінчується у "PDF", але насправді є файлом EXE (виконуваний файл).

"В обох цих випадках використовується якась соціальна інженерія, щоб заманювати користувача заразити себе", - каже Луїс Корронс, технічний директор PandaLabs в Panda Security. "Це надає бізнесу чудову можливість навчити своїх користувачів уникати цих ризиків, але, на жаль, більшість малих підприємств нехтують цим і втрачають шанс врятувати себе від головного болю".

Наразі немає срібної кулі, яка б гарантувала безпеку вашої організації від викупу. Але є п'ять кроків, які повинен зробити кожен бізнес, що може різко знизити шанси на зараження - а також полегшити біль у разі успіху нападу.

Підготуватися

Ключовим компонентом для підготовки до атаки, що вимагається, є розробка надійної стратегії резервного копіювання та регулярне резервне копіювання. "Надійна резервна копія є ключовою складовою стратегії боротьби з викупом", - сказав Філіп Касеса, стратег з розвитку продуктів в ISC2, глобальній неприбутковій організації, яка сертифікує фахівців з безпеки. "Після того, як ваші файли зашифровані, ваш єдиний життєздатний варіант - відновити резервну копію. Ваші інші варіанти - сплатити викуп або втратити дані."

"У вас має бути якесь резервне копіювання, справжнє резервне рішення активів, які ви визначили, є важливими для вашого бізнесу", - продовжував Касеса. "Резервне копіювання в режимі реального часу або синхронізація файлів просто створить резервну копію зашифрованих файлів. Вам потрібен надійний процес резервного копіювання, де ви зможете відкотитись на кілька днів і відновити локальні та серверні програми та дані."

Paro Security's Corrons пропонує ще одну обережність: резервні копії "є критичними у випадку, якщо ваші захисні сили не вдаються, але обов'язково вилучіть програмне забезпечення вимкнення повністю перед відновленням резервних копій. У PandaLabs ми бачили, що шифрування файлів резервного копіювання".

Хорошою стратегією слід вважати багатоярусне або розподілене резервне рішення, яке зберігає кілька копій файлів резервної копії в різних місцях і на різних носіях (тому заражений вузол не одразу має доступ як до поточних сховищ файлів, так і до архівів резервного копіювання). Такі рішення доступні від декількох онлайн-постачальників резервних копій малого та середнього бізнесу (SMB), а також у більшості постачальників DRAaS (Disaster-Recovery-as-a-Service).

Запобігати

Як уже згадувалося, освіта користувачів - це потужна, але часто недооцінена зброя у вашому арсеналі проти викупового програмного забезпечення. Навчіть користувачів розпізнавати методи соціальної інженерії, уникати натискань і ніколи не відкривати вкладення у когось, кого вони не знають. Додатки людей, яких вони знають, слід розглядати і відкривати з обережністю.

"Розуміння того, як розповсюдження програм, що розповсюджується, визначає поведінку користувачів, яку потрібно змінити, щоб захистити ваш бізнес", - сказала Касеса. "Вкладення електронної пошти - це ризик номер один для зараження. Завантаження завантажуваних файлів - це номер два, а шкідливі посилання в електронній пошті - номер три. Люди відіграють важливий фактор зараження викупними програмами."

Навчити користувачів розглядати загрозу, яка вимагається, - простіше, ніж ви думаєте, особливо для малих і середніх підприємств. Звичайно, він може прийняти традиційну форму тривалого внутрішнього семінару, але він також може бути просто серією групових обідів, на яких ІТ отримує можливість інформувати користувачів за допомогою інтерактивної дискусії - за низьку ціну кількох піц. Ви можете навіть розглянути можливість залучення зовнішнього консультанта з питань безпеки, щоб пройти навчання, з деякими додатковими відео або прикладами реального світу.

Захищати

Найкраще почати захищати SMB від викупу програмного забезпечення - це чотири найпопулярніші стратегії пом'якшення наслідків: список додатків, виправлення програм, виправлення операційних систем (ОС) та мінімізація адміністративних привілеїв. Casesa швидко зазначив, що "ці чотири елементи контролюють 85% або більше загроз зловмисних програм".

Для SMB, які досі покладаються на індивідуальний антивірус ПК (AV) для безпеки, перехід до керованого рішення щодо захисту кінцевих точок дозволяє ІТ централізувати безпеку для всієї організації та повністю контролювати ці заходи. Це може різко підвищити ефективність AV та анти-шкідливих програм.

Яке б рішення ви не вибрали, переконайтеся, що воно включає захист, заснований на поведінці. Усі троє наших експертів погодилися з тим, що анти-шкідливі програми на основі підписів не ефективні проти сучасних програмних загроз.

Не плати

Якщо ви ще не підготувались і не захистилися від викупу, і заразитеся, то виплатити викуп може бути спокусою. Однак на запитання, чи це розумний крок, наші три експерти об'єдналися у своїй відповіді. Корронс швидко зазначив, що "оплата - це ризиковано. Тепер ти, звичайно, втрачаєш гроші і, можливо, ти повертаєш свої файли незашифрованими". Зрештою, чому злочинець стане почесним після того, як ви заплатили йому?

Оплачуючи злочинців, ви надаєте їм стимул та засоби для розробки кращого викупу. "Якщо ви платите, ви робите це набагато гірше для всіх інших", - каже Касеса. "Погані хлопці використовують ваші гроші, щоб розвивати небезпечні шкідливі програми та заражати інших."

Захист майбутніх жертв може бути не першочерговим, коли ви намагаєтесь вести бізнес із заручниками даних, але просто погляньте на це з цієї точки зору: наступною жертвою ви можете стати знов, на цей раз бореться ще більше ефективне зловмисне програмне забезпечення, яке ви допомогли заплатити за розробку.

Casesa зазначає, що "сплативши викуп, ви тепер стали жорсткою ціллю для злочинців, оскільки вони знають, що ви заплатите". Ви стаєте, говорячи з продажу, кваліфікованим лідером. Так само, як серед злодіїв немає честі, так і немає гарантії, що викупництво буде повністю знято. Злочинець має доступ до вашої машини і може розшифрувати ваші файли та залишити на ньому зловмисне програмне забезпечення для контролю вашої діяльності та викрадення додаткової інформації.

Будьте продуктивними

Якщо збиток, заподіяний вимогами, пов'язаний з порушенням вашого бізнесу, то чому б не вжити заходів для підвищення безперервності бізнесу, перемістившись у хмару? "Рівень захисту та загальна безпека, яку ви отримуєте від хмари, набагато вищий, ніж те, що малий бізнес міг собі дозволити", - вказує Брендон Данлап, Global CISO з Black & Veatch. "Хмарні провайдери мають сканування зловмисного програмного забезпечення, посилену аутентифікацію та численні інші засоби захисту, які роблять шанси на те, що вони страждають від нападу викупних програм дуже низькими".

Як мінімум, перемістіть сервери електронної пошти до хмари. Данлап вказує, що "електронна пошта - це величезний вектор атаки для викупу. Перемістіть його до хмари, де постачальники вбудовують у службу безліч засобів захисту, таких як сканування зловмисних програм та DLP". Додаткові шари безпеки, такі як репутація веб-сайтів на основі проксі та сканування трафіку, можуть бути додані через багато хмарних сервісів і можуть додатково обмежити вашу експозицію до викупу.

Данлап захоплений захистом, який пропонує хмара від викупу. "Ми перебуваємо у фантастичний момент в історії технологій з безліччю рішень із низьким тертям для багатьох проблем, з якими стикається малий бізнес", - сказав Данлап. "Це робить малий бізнес більш спритним з точки зору ІТ".

Якщо ваша локальна машина заразиться програмою для викупу, це може навіть не мати значення, якщо ваші дані знаходяться у хмарі. Протріть локальну машину, перетворіть її на зображення, підключіться до хмарних служб, і ви знову розпочали свою справу.

Не чекайте, коли взуття впаде

Це не одна з тих ситуацій, коли підхід очікування - найкраща тактика. Хочеш розшифрувач чітко показує, що викупне обладнання там; вона зростає з гігантськими стрибками і межею, як в витонченості, так і в популярності поганих хлопців - і це точно шукає вас. Навіть після того, як ця поточна загроза перекриється, критично важливо вжити заходів щодо захисту даних та кінцевих точок від зараження.

Створюйте регулярні резервні копії, навчайте працівників, щоб уникнути зараження, виправляти програми та ОС, обмежувати права адміністратора та запускати програмне забезпечення, яке не базується на підписах. Якщо ви будете дотримуватися цієї поради, тоді ви зможете запобігти всім, окрім найбільш кровотечаних інфекцій (і, швидше за все, не націлених на SMB). У випадку, коли атака потрапляє через вашу оборону, створіть чіткий перевірений план ІТ для очищення інфекції, відновлення резервних копій та відновлення звичайних ділових операцій.

Якщо ви не дотримуєтесь цих кращих практик і заражаєтесь, то знайте, що сплата викупу не дає гарантій, кваліфікує вас як злочинця злочинців і дає їм засоби для розробки ще більш підступних викупових програм (і стимулів використовувати його на вас якомога частіше). Не будь жертвою. Натомість знайдіть час, щоб пізніше отримати переваги: ​​підготуйтеся, запобігайте, захищайте та залишайтеся продуктивними.