Turinys:
- Kaip išvengti „Ransomware“ atakos
- Kodėl „Ransomware“ skiriasi
- Kaip apsisaugoti
- Ankstyvieji įspėjimai ir apsaugos priemonės
- Ar turėtumėte susimokėti?
Video: Vynas iš vynuogių Moldova (Lapkritis 2024)
Mes visi žinome, kad „ransomware“ yra vienas žalingiausių kenkėjiškų programų variantų. Jūs kalbate apie paspaudimą ant neteisingos nuorodos ir tai, kad jūsų organizacijos duomenys išnyksta užšifruoto gurmano pelkėje ar net serverio operacinėse sistemose (OS) ir kituose kritiniuose failuose, kurie paprasčiausiai dingsta vieną dieną. Galite sumokėti išpirką, tačiau tai gali būti ne tik brangu, bet ir negarantuoja, kad blogi vaikinai grąžins jūsų duomenis.
Kaip išvengti „Ransomware“ atakos
Pirmasis žingsnis yra tai, ką Izraelis Barakas, galutinis taškų aptikimo ir reagavimo programinės įrangos kūrėjas, „Cybereason“ vyriausiasis informacijos saugumo pareigūnas (CISO), vadina „IT ir saugumo higiena“. Tai reiškia, kad reikia išvengti pažeidžiamumų ir filtruoti el. Ir žiniatinklio srautus. Tai taip pat reiškia vartotojo mokymą ir įsitikinimą, kad jūsų OS, programų ir saugos produktų pataisos yra visiškai atnaujintos.
Antrasis žingsnis yra verslo tęstinumo ir atkūrimo strategijos kūrimas. Tai reiškia, kad faktiškai reikia sudaryti planą, kada viskas klostysis blogai, o ne tik tikėtis, kad nepavyks. Barakas sako, kad tai apima atsarginių kopijų kūrimą ir patikrinimą, žinojimą, kaip atkursite paveiktas paslaugas, žinojimą, kur gausite atkūrimo skaičiavimo išteklius, ir žinojimą, kad visas atkūrimo planas veiks, nes jūs jį iš tikrųjų išbandėte.
Trečias žingsnis yra įdiegti apsaugą nuo kenkėjiškų programų. Barakas teigė, kad tai apima apsaugą nuo kenkėjiškų programų patekimo į jūsų tinklą ir apsaugą nuo kenkėjiškų programų vykdymo jūsų sistemose. Laimei, daugumą kenkėjiškų programų yra gana lengva pastebėti, nes kenkėjiškų programų autoriai dažnai dalijasi sėkmingomis rutinomis.
Kodėl „Ransomware“ skiriasi
Deja, išpirkos programinė įranga nėra tokia, kaip kita kenkėjiška programa. Barakas teigė, kad kadangi išpirkos programinė įranga gyvena tik trumpai kompiuteryje, nėra sunku išvengti aptikimo, kol ji neužbaigs šifravimo ir atsiuntė išpirkos programos pranešimą. Be to, skirtingai nuo kitų tipų kenkėjiškų programų, kenkėjiška programa, kuri faktiškai atlieka failų šifravimą, į aukos kompiuterius gali patekti tik prieš akimirką iki šifravimo pradžios.
Dvi palyginti naujos kenkėjiškų programų rūšys - „Ryuk“ ir „SamSam“ - patenka į jūsų sistemas vadovaujant operatoriui. Ryuk atveju tas operatorius greičiausiai yra Šiaurės Korėjoje, o su SamSam - Irane. Kiekvienu atveju ataka prasideda ieškant kredencialų, leidžiančių patekti į sistemą. Baigęs ten operatorius išnagrinėja sistemos turinį, nusprendžia, kokius failus užšifruoti, padidina privilegijas, ieško ir išjungia apsaugos nuo kenkėjiškų programų programinę įrangą bei nuorodas į atsargines kopijas, kurios taip pat turi būti užšifruotos, arba kai kuriais atvejais išjungia atsargines kopijas. Tuomet, po kelių mėnesių pasiruošimo, įkeliama ir paleista šifravimo kenkėjiška programa; jis gali baigti darbą per kelias minutes - per greitai, kad įsikištų žmogus.
„„ SamSam “jie nenaudojo įprasto sukčiavimo“, - aiškino kibernetinio saugumo sprendimų kūrėjo „Comodo Cybersecurity“ ir buvusio Baltųjų rūmų CIO viceprezidentas Carlosas Solari. "Jie naudojo svetaines ir pavogė žmonių kredencialus ir panaudojo žiaurią jėgą, kad gautų slaptažodžius."
Solari teigė, kad šie įsibrovimai dažnai nėra aptinkami, nes nėra jokios kenkėjiškos programos iki pat pabaigos. Bet jis sakė, kad tinkamai atlikus šiuo metu yra būdų sustabdyti išpuolį. Paprastai, pasak jo, nusikaltėliai eis po tinklo katalogų tarnybas ir puls tuos, kad jie galėtų įgyti administracinio lygio privilegijas, kurių reikia jų rengimui užpuolimo metu. Šiuo metu įsilaužimo aptikimo sistema (IDS) gali aptikti pokyčius ir, jei tinklo operatoriai žino, ko ieškoti, tada jie gali užrakinti sistemą ir išstumti įsibrovėlių.
„Jei jie atkreips dėmesį, tada jie supras, kad kažkas yra viduje“, - teigė Solari. "Svarbu rasti vidinių ir išorinių žvalgybos žinių. Jūs ieškote anomalijų sistemoje."
Kaip apsisaugoti
Mažesnėms įmonėms „Solari“ siūlo įmonėms surasti valdomo aptikimo ir reagavimo (MDR) saugumo operacijų centrą (SOC). Jis pridūrė, kad didesnės įmonės gali norėti rasti valdomų saugos paslaugų teikėją (MSSP). Bet kuris sprendimas leis nepamiršti saugumo įvykių, įskaitant rengimąsi prieš didelę išpirkos programinės įrangos ataką.
Be to, kad stebite savo tinklą, taip pat svarbu sukurti savo tinklą taip, kad jis būtų kuo neskanus nusikaltėliams. Pasak „Malwarebyte Labs“ direktoriaus Adomo Kujavos, vienas esminių žingsnių yra segmentuoti jūsų tinklą, kad įsibrovėlis negalėtų tiesiog judėti per jūsų tinklą ir turėti prieigą prie visko. "Jūs neturėtumėte laikyti visų savo duomenų toje pačioje vietoje", - sakė Kujawa. "Jums reikia gilesnio saugumo lygio."
Bet, jei paaiškėja, kad prieš aprašant išpirkos programas, neaptikote invazinių etapų, tada yra kitas sluoksnis arba atsakas, ty kenkėjiškos programos elgesio aptikimas, kai ji pradeda šifruoti failus.
„Tai, ką mes pridėjome, yra elgesio mechanizmas, kuris priklauso nuo elgesio, būdingo išpirkos programoms“, - aiškina Barakas. Jis sakė, kad tokia programinė įranga stebi, ką gali padaryti išpirkos programinė įranga, pavyzdžiui, užšifruoti failus ar ištrinti atsargines kopijas, o tada imasi veiksmų, kad sunaikintų procesą, kad galėtų padaryti jokios žalos. "Tai efektyvesnė priemonė prieš niekada nematytas išpirkos programas."
Ankstyvieji įspėjimai ir apsaugos priemonės
Siekdamas suteikti išankstinio perspėjimo formą, Barakas sakė, kad „Cybereason“ žengia dar vieną žingsnį. „Tai, ką mes padarėme, yra naudoti išimties mechanizmą“, - sakė jis. "Kai„ Cybereason “programinė įranga eina į galutinį tašką, ji sukuria bazinių failų, esančių standžiojo disko aplankuose, seriją, kuri priverstų„ ransomware “pirmiausia juos užšifruoti.“ Jis sakė, kad tų failų pakeitimai pastebimi nedelsiant, Tada „Cybereason“ programinė įranga ar panaši programinė įranga iš „Malwarebytes“ nutraukia procesą ir daugeliu atvejų sudėlios kenkėjišką programinę įrangą, kad ji nebegalėtų padaryti daugiau žalos.
Taigi, yra keletas gynybos sluoksnių, galinčių užkirsti kelią ransomware išpuoliui, ir jei jūs turite visus juos veikiančius ir savo vietoje, tada, norint įvykdyti sėkmingą išpuolį, reikės sekti daugybę nesėkmių. Ir jūs galite sustabdyti tuos išpuolius bet kurioje grandinės vietoje.
Ar turėtumėte susimokėti?
Bet tarkime, kad nusprendėte iš karto sumokėti išpirką ir atkurti operacijas? „Kai kurioms organizacijoms tai yra perspektyvus pasirinkimas“, - teigė Barakas.
Turėtumėte įvertinti verslo nutraukimo sąnaudas, kad nustatytumėte, ar grįžimo į eksploatavimą išlaidos yra geresnės nei visų restauravimo išlaidų. Barakas teigė, kad dėl verslo išpirkos programų išpuolių „daugeliu atvejų jūs atgaunate failus“.
Bet Barakas teigė, kad jei yra galimybė sumokėti išpirką, tuomet turite kitų svarstymų. "Kaip iš anksto pasiruošiame, kad būtų susitarta dėl paslaugų grąžinimo išlaidų derinimo mechanizmo? Kaip mes už juos mokame? Kaip suformuluosime tokio mokėjimo tarpininkavimo mechanizmą?"
Pasak Barako, beveik kiekvienoje išpirkos programinės įrangos atakoje yra bendravimo su užpuoliku priemonės, o dauguma įmonių stengiasi susitarti dėl susitarimo, prie kurio paprastai dirba išpirkos programų užpuolikai. Pvz., Galite nuspręsti, kad jums reikia tik dalies užšifruotų mašinų, ir tiesiog derėtis dėl tų mašinų grąžinimo.
- Geriausia „Ransomware“ apsauga 2019 m. Geriausia „Ransomware“ apsauga 2019 m
- „SamSam Ransomware“ piratai - „5, 9 mln. USD
- 2 iraniečiai už „SamSam Ransomware“ išpuolius, JAV ieškiniai 2 Iraniečiai už „SamSam Ransomware“ išpuolius, JAV ieškiniai
"Planas turi būti parengtas anksčiau laiko. Kaip jūs atsakysite, kas bendraus, kaip sumokėsite išpirką?" - pasakė Barakas.
Nors mokėjimas yra perspektyvus pasirinkimas, daugumai organizacijų tai išlieka paskutiniojo griovio galimybė, o ne atsakymas. Tame scenarijuje nėra daug kintamųjų, be to, sumokėję vieną kartą, niekada negalite garantuoti, kad ateityje nebūsite užpulti už daugiau grynųjų. Geresnis planas yra tvirta gynyba, kurią pakankamai sunku nukreipti nuo daugelio kenkėjiškų programų atakų ir įveikti kelias sėkmingas programas. Bet kad ir ką nuspręstumėte, atminkite, kad praktiškai kiekvienas sprendimas reikalauja, kad jūs paremtumėte religinę kopiją. Darykite tai dabar, darykite tai dažnai ir taip pat dažnai išbandykite, kad įsitikintumėte, jog viskas gerai vyks sklandžiai.
