Kā aizsargāt un atgūt savu biznesu no izpirkuma programmatūras

ASV ir norūpējusies par globālās rensomware epidēmijas pilnīgu ietekmi, kuras pamatā ir Wanna Decryptor ļaundabīgo programmu celms. Ir svarīgi aizsargāt savu biznesu un datus no šiem strauji izplatošajiem draudiem, taču, tiklīdz mēs tam garām esam, jums jāatceras, ka Wanna Decryptor ir tikai trokšņainākais rensomware problēmas piemērs.

Ir trīs lietas, kas jāzina par izpirkuma programmatūru: tas ir biedējoši, tas strauji pieaug un tas ir liels bizness. Saskaņā ar FBI Sūdzību internetā par noziegumiem internetā (IC3) laikā no 2014. gada aprīļa līdz 2015. gada jūnijam tika saņemtas vairāk nekā 992 ar CryptoWall saistītas sūdzības, kuru rezultātā tika nodarīti zaudējumi vairāk nekā 18 miljonu ASV dolāru apmērā. Šie ļaundabīgie panākumi atspoguļojas ransomware pieauguma tempā, izmantojot Infoblox DNS draudu indeksu, ziņojot par ransomware izveidoto jauno domēnu pieaugumu 35 reizes (2016. gada pirmajā ceturksnī) (salīdzinājumā ar 2015. gada ceturto ceturksni).

Parasti ransomware nolaiž šifrētu sienu starp biznesu un iekšējiem datiem un lietojumprogrammām, kuras biznesam jādarbojas. Bet šie uzbrukumi var būt daudz nopietnāki nekā vienkārši datu nepieejamība. Ja neesat gatavs, tad jūsu bizness varētu apstāties.

Vienkārši jautājiet Holivudas Presbiteriāņu medicīnas centram. Ilgi pirms Wanna Decryptor, slimnīca apguva sāpīgu nodarbību, kad darbinieki 2016. gada sākumā rensomware uzliesmojuma laikā zaudēja piekļuvi saviem datoriem. Slimnīca samaksāja USD 17 000 izpirkuma maksu pēc tam, kad darbinieki 10 dienas pavadīja, paļaujoties uz faksa aparātiem un papīra diagrammām. Vai arī jautājiet Tewksbury policijas departamentam. 2015. gada aprīlī viņi samaksāja izpirkuma maksu, lai atgūtu piekļuvi šifrētiem aresta un incidentu ierakstiem.

Kā uzņēmumi inficējas?

Ja Wanna Decryptor jebkurā līmenī ir sudraba oderējums, tas nozīmē, ka tas bez šaubām pierāda, ka ransomware radītie draudi ir reāli. Neviens bizness vai darbinieks nav aizsargāts pret iespējamu ransomware uzbrukumu. Pirms apspriest, kā no tā pasargāt savu biznesu vai kā reaģēt, ja jūs esat apdraudēts, ir svarīgi saprast, kā ransomware inficē datorus. Izpratne par infekcijas izcelsmi un veidu sniedz ieskatu drošībā.

Ransomware parasti nāk no diviem avotiem: apdraudētām vietnēm un e-pasta pielikumiem. Likumīgā vietnē, kas ir kompromitēta, var atrasties ekspluatācijas komplekts, kas inficē jūsu mašīnu, parasti izmantojot pārlūka utilītu. To pašu metodiku var izmantot pikšķerēšanas vietne. Veicot lejupielādi, tiek instalēta ransomware, un tā sāk jūsu failu šifrēšanu.

Ļaunprātīga e-pasta pielikuma gadījumā lietotājiem tiek pievilts atvērt pielikumu, kas pēc tam instalē ransomware. Tas var būt tikpat vienkāršs kā viltus e-pasta ziņojums ar izpildāmu pielikumu, inficēts Microsoft Word fails, kas liek jums iespējot makro aktivizēšanu, vai fails ar pārdēvētu paplašinājumu, piemēram, fails, kura gals ir “PDF”, bet kas tiešām ir EXE fails (izpildāms).

"Abos šajos gadījumos kāda veida sociālā inženierija tiek izmantota, lai pievilinātu lietotāju sevi inficēt, " saka Luis Corrons, PandaLabs Panda Security tehniskais direktors. "Tas uzņēmumiem sniedz lielisku iespēju izglītot savus lietotājus, lai izvairītos no šiem riskiem, bet diemžēl vairums mazo uzņēmumu to atstāj novārtā un palaiž garām iespēju ietaupīt lielas galvassāpes."

Pašlaik nav sudraba lodes, kas nodrošinātu jūsu organizācijas drošību no izpirktās programmatūras. Bet katram uzņēmumam jāveic pieci soļi, kas var krasi samazināt viņu inficēšanās iespējas un atvieglot sāpes, ja uzbrukums izdodas.

Pagatavojiet

Galvenais komponents, lai sagatavotos izpirkuma programmatūras uzbrukumam, ir stabilas rezerves stratēģijas izstrāde un regulāru dublējumu veidošana. "Izturīgas dublējumkopijas ir galvenā pretošanās programmatūras sastāvdaļa, " sacīja Filips Kazešs, ISC2, pasaules bezpeļņas organizācijas, kas sertificē drošības profesionāļus, produktu attīstības stratēģis. "Kad faili ir šifrēti, vienīgā reālā iespēja ir atjaunot dublējumu. Citas iespējas ir maksāt izpirkuma maksu vai zaudēt datus."

"Jums ir jābūt sava veida rezerves kopijām. Reāls jūsu izvēlēto aktīvu rezerves risinājums ir būtisks jūsu biznesam, " turpināja Casesa. "Reāllaika dublējums vai failu sinhronizācija tikai dublēs jūsu šifrētos failus. Jums ir nepieciešams spēcīgs dublēšanas process, kurā dažas dienas varat atgriezties un atjaunot vietējās un servera lietotnes un datus."

Panda Security's Corrons piedāvā papildu piesardzību: dublējumi "ir kritiski svarīgi, ja jūsu aizsardzība neizdodas, taču pirms dublējumu atjaunošanas pārliecinieties, vai esat pilnībā noņemis ransomware. Vietnē PandaLabs mēs esam redzējuši, ka ransomware šifrē dublējuma failus."

Laba stratēģija, kas jāapsver, ir daudzpakāpju vai izplatīts rezerves risinājums, kas vairākas rezerves failu kopijas glabā dažādās vietās un dažādos datu nesējos (tātad inficētam mezglam uzreiz nav piekļuves gan pašreizējām failu krātuvēm, gan rezerves arhīviem). Šādi risinājumi ir pieejami no vairākiem maziem līdz vidēja lieluma biznesa (SMB) tiešsaistes rezerves pārdevējiem, kā arī lielākajai daļai katastrofu seku novēršanas pakalpojumu (DRaaS) pārdevēju.

Novērst

Kā jau iepriekš minēts, lietotāju izglītība ir jaudīgs, taču bieži aizmirsts ierocis jūsu arsenālā pret ransomware. Apmāciet lietotājus atpazīt sociālās inženierijas paņēmienus, izvairieties no klikšķināšanas un nekad neatveriet pielikumu no personas, kuru viņi nepazīst. Pielikumi no cilvēkiem, kurus viņi pazīst, ir jāapskata un jāatver piesardzīgi.

"Izpratne par to, kā izplatās ransomware, identificē lietotāju uzvedību, kas jāmaina, lai aizsargātu jūsu biznesu, " sacīja Casesa. "E-pasta pielikumi ir inficēšanās risks numur viens, lejupielāde pēc kārtas ir otrā, bet ļaunprātīgās saites e-pastā ir trešās. Cilvēkiem ir būtisks faktors, lai inficētos ar ransomware."

Apmācīt lietotājus apsvērt ransomware draudus ir daudz vieglāk, nekā jūs domājat, it īpaši MVU. Protams, tas var notikt ilgstošā iekšējā semināra tradicionālajā formā, bet tas var būt arī grupu pusdienu sērija, kurā IT saņem iespēju interaktīvās diskusijās informēt lietotājus par dažu picu zemo cenu. Jūs pat varētu apsvērt iespēju nolīgt ārēju drošības konsultantu apmācības organizēšanai ar dažiem papildu video vai reālās pasaules piemēriem.

Aizsargājiet

Vislabākā vieta, kur sākt aizsargāt savu mazo un vidējo uzņēmumu no ransomware, ir šīs četras galvenās mazināšanas stratēģijas: lietotņu iekļaušana baltajā sarakstā, lietotņu labošana, operētājsistēmu (OS) labošana un administratīvo privilēģiju samazināšana. Casesa ātri norādīja, ka "šīs četras kontroles rūpējas par 85 vai vairāk procentiem no ļaunprātīgas programmatūras draudiem".

SMB, kuru drošība joprojām ir atkarīga no atsevišķa datora antivīrusa (AV), pāreja uz pārvaldītu parametru drošības risinājumu ļauj IT centralizēt visas organizācijas drošību un pilnībā kontrolēt šos pasākumus. Tas var krasi palielināt AV un anti-ļaundabīgo programmu efektivitāti.

Neatkarīgi no tā, kuru risinājumu izvēlēsities, pārliecinieties, vai tajā ir iekļautas uz rīcību balstītas aizsardzības. Visi trīs mūsu eksperti bija vienisprātis, ka pret parakstu balstīta ļaunprogrammatūra nav efektīva pret mūsdienu programmatūras draudiem.

Nemaksā

Ja neesat gatavojies un nav pasargājis sevi no izpirkšanas programmatūras un jūs inficējaties, iespējams, ir vilinoši maksāt izpirkuma maksu. Tomēr, kad mums jautāja, vai tas ir bijis saprātīgs solis, mūsu trīs eksperti savā atbildē bija vienoti. Corrons ātri norādīja, ka "maksāt ir riskanti. Tagad jūs noteikti pazaudējat savu naudu un, iespējams, jūs atkal šifrējat failus." Galu galā, kāpēc noziedznieks kļūtu par godpilnu pēc tam, kad esat viņam samaksājis?

Maksājot noziedzniekiem, jūs viņiem sniedzat stimulu un līdzekļus labākas izpirkuma programmatūras izstrādei. "Ja jūs maksājat, jūs to darāt daudz sliktāk visiem citiem, " saka Casesa. "Slikti puiši izmanto jūsu naudu, lai izstrādātu nejaukāku ļaunprogrammatūru un inficētu citus."

Nākotnes upuru aizsardzībai, iespējams, nav liela nozīme, mēģinot vadīt biznesu, kura dati ir ķīlnieki, bet paskatieties uz to no šī viedokļa: ka nākamais upuris varētu būt jūs atkal, šoreiz cīnoties vēl vairāk efektīva ļaunprogrammatūra, kuras attīstīšanai jūs palīdzējāt maksāt.

Casesa norāda, ka, "samaksājot izpirkuma maksu, jūs tagad esat kļuvis par noziedznieku nobriedušāku mērķi, jo viņi zina, ka maksāsit." Pārdošanas izteiksmē jūs kļūstat par kvalificētu vadītāju. Tāpat kā zagļu vidū nav goda, nav arī garantijas, ka izpirkuma programmatūra tiks pilnībā noņemta. Noziedzniekam ir pieeja jūsu mašīnai, un viņš var atšifrēt jūsu failus un atstāt tajā ļaunprātīgu programmatūru, lai uzraudzītu jūsu darbības un nozagtu papildu informāciju.

Palieciet produktīvi

Ja ransomware radītais kaitējums ir saistīts ar traucējumiem jūsu biznesā, kāpēc gan neveikt pasākumus, lai palielinātu uzņēmējdarbības nepārtrauktību, pārejot uz mākoni? "Aizsardzības un vispārējās drošības līmenis, ko jūs saņemat no mākoņa, ir daudz augstāks nekā tas, ko mazie uzņēmumi varētu atļauties sev, " norāda Brendons Dunlaps, Black & Veatch globālā CISO. "Mākoņu pakalpojumu sniedzējiem ir ļaunprātīgas programmatūras skenēšana, uzlabota autentifikācija un daudzas citas aizsardzības, kuru dēļ viņu izredzes ciest no izpirkuma programmatūras uzbrukumiem ir ļoti zemas."

Vismaz pārvietojiet e-pasta serverus uz mākoni. Dunlaps norāda, ka "e-pasts ir milzīgs uzbrukuma vektors ransomware. Pārvietojiet to uz mākoni, kur pakalpojumu sniedzēji pakalpojumā apvieno vairākas drošības kontroles, piemēram, ļaunprātīgas programmatūras skenēšanu un DLP." Izmantojot daudzus mākoņa pakalpojumus, var pievienot papildu drošības slāņus, piemēram, uz proxy balstītu vietņu reputāciju un trafika skenēšanu, un tie var vēl vairāk ierobežot jūsu pakļautību ransomware.

Dunlap ir entuziasma pilns ar mākoņu piedāvātajām aizsardzības iespējām pret izpirkuma programmatūru. "Mēs esam fantastiskā brīdī tehnoloģiju vēsturē ar daudziem zemas berzes risinājumiem daudzām problēmām, ar kurām saskaras mazais bizness, " sacīja Dunlaps. "Tas no IT viedokļa padara mazos uzņēmumus izveicīgākus."

Ja jūsu vietējā mašīna tiek inficēta ar izpirkuma programmatūru, iespējams, pat nav svarīgi, vai jūsu dati atrodas mākonī. Noslaukiet vietējo mašīnu, atkārtoti izveidojiet tās attēlu, izveidojiet savienojumu ar mākoņa pakalpojumiem un atkal esat biznesā.

Negaidiet, kamēr apavi nokrīt

Šī nav viena no tām situācijām, kurā labākā taktika ir nogaidīt. Wanna Decryptor skaidri parāda, ka ransomware ir pieejams; tas pieaug, pateicoties milzīgiem lēcieniem un izsmalcinātībai, kā arī sliktu puišu popularitātei - un tas noteikti jūs meklē. Pat pēc tam, kad šie pašreizējie draudi ir pārgājuši, ir kritiski svarīgi veikt pasākumus, lai aizsargātu datus un parametrus no inficēšanās.

Izveidojiet regulāras dublējumkopijas, apmāciet darbiniekus, lai izvairītos no inficēšanās, savāciet lietotnes un operētājsistēmas, ierobežojiet administratora privilēģijas un palaidiet programmatūru, kas nav balstīta uz parakstu. Ja sekojat šim ieteikumam, jūs varat novērst visas infekcijas, izņemot vis asiņojošākās infekcijas (un tās, kuras, iespējams, nav mērķētas uz MVU). Gadījumā, ja uzbrukums tiek veikts caur jūsu aizsardzību, izveidojiet skaidru, pārbaudītu IT plānu, lai attīrītu infekciju, atjaunotu dublējumus un atsāktu normālu uzņēmējdarbību.

Ja jūs neievērosit šo paraugpraksi un inficēsities, tad zināt, ka izpirkuma maksājums netiek nodrošināts, tiek kvalificēts kā noziedznieku zīdītājs un dod viņiem iespēju attīstīt vēl mānīgāku izpirkuma programmatūru (un stimulu). lai to izmantotu pēc iespējas biežāk). Nebūt upurim. Tā vietā veltiet laiku tagad, lai vēlāk izmantotu priekšrocības: sagatavojieties, novēršiet, aizsargājiet un saglabājiet produktivitāti.