Kaip apsaugoti ir atkurti savo verslą nuo išpirkos programinės įrangos

JAV visiškai atsigauna dėl visuotinės išpirkos programos epidemijos, pagrįstos „Wanna Decryptor“ kenkėjiškų programų paderme. Svarbu apsaugoti savo verslą ir duomenis nuo šios sparčiai plintančios grėsmės, tačiau, pravažiavę ją, turite atsiminti, kad „Wanna Decryptor“ yra tik triukšmingiausias išpirkos programų problemos pavyzdys.

Yra trys dalykai, kuriuos reikia žinoti apie išpirkos programinę įrangą: baisu, jis greitai auga ir yra didelis verslas. FTB skundų dėl interneto nusikalstamumo centro (IC3) duomenimis, nuo 2014 m. Balandžio mėn. Iki 2015 m. Birželio mėn. Buvo gauta daugiau nei 992 su „CryptoWall“ susiję skundai, dėl kurių padaryta daugiau kaip 18 mln. Tą piktybinę sėkmę atspindi „ransomware“ augimo tempai, naudojant „Infoblox“ DNS grėsmės indeksą, kuris rodo, kad 2016 m. Pirmąjį ketvirtį (palyginti su 2015 m. Ketvirčiu) naujų domenų, sukurtų „ransomware“, padidėjimas 35 kartus.

Apskritai „ransomware“ nuleidžia užšifruotą sieną tarp įmonės ir vidinių duomenų bei programų, kurias verslas turi veikti. Tačiau šie išpuoliai gali būti daug rimtesni nei paprasčiausias duomenų neprieinamumas. Jei nesate pasirengęs, tada jūsų verslas gali sustoti.

Tiesiog paklauskite Holivudo presbiterijos medicinos centro. Ilgai prieš „Wanna Decryptor“, ligoninė išmoko skaudžią pamoką, kai 2016 m. Pradžioje darbuotojai prarado prieigą prie savo kompiuterių per išpirkos programos protrūkį. Ligoninė sumokėjo 17 000 USD išpirką po to, kai darbuotojai 10 dienų praleido pasitikėdami fakso aparatais ir popierinėmis diagramomis. Arba klauskite Tewksbury policijos departamento. 2015 m. Balandžio mėn. Jie sumokėjo išpirką, kad atgautų prieigą prie užšifruotų arešto ir įvykių įrašų.

Kaip užkrečiamos įmonės?

Jei bet kurio lygio „Wanna Decryptor“ yra sidabrinis pamušalas, tai reiškia, kad jis be jokios abejonės įrodo, kad „ransomware“ keliama grėsmė yra reali. Joks verslas ar darbuotojas nėra apsaugoti nuo galimo išpirkos programų išpuolio. Svarbu suprasti, kaip išpirkos programinė įranga užkrečia kompiuterius, prieš aptardami, kaip apsaugoti savo verslą nuo jo ar kaip reaguoti, jei esate sukompromituotas. Infekcijos kilmės ir būdo supratimas suteikia supratimą apie saugumą.

„Ransomware“ paprastai gaunami iš vieno šaltinio: pažeistų svetainių ir el. Pašto priedų. Teisėtoje svetainėje, kuriai buvo padarytas pavojus, gali būti prieglobos rinkinys, užkrečiantis jūsų kompiuterį, paprastai per naršyklės išnaudojimą. Ta pati metodika gali būti naudojama sukčiavimo svetainėse. Atsisiunčiant programą, įdiegiama išpirkos programa ir ji pradeda šifruoti failus.

Kenkėjiško el. Pašto priedo atveju vartotojai yra įpratę atidaryti priedą, kuris tada įdiegia išpirkos programinę įrangą. Tai gali būti taip paprasta, kaip suklastotas el. Laiškas su vykdomuoju priedu, užkrėstas „Microsoft Word“ failas, kuris verčia jus įjungti makrokomandas, arba failas su pervadintu plėtiniu, pavyzdžiui, failas, kurio pabaiga yra „PDF“, bet iš tikrųjų yra EXE failas (vykdomasis).

„Abiem šiais atvejais tam tikra socialinė inžinerija yra naudojama tam, kad priviliotų vartotoją užkrėsti save“, - sako Luisas Corronsas, „PandaLabs“ techninis direktorius „Panda Security“. "Tai suteikia įmonėms puikią galimybę išmokyti savo vartotojus išvengti šios rizikos, tačiau, deja, dauguma mažų įmonių to nepaiso ir praleidžia galimybę sutaupyti sau didelį galvos skausmą".

Šiuo metu nėra sidabrinės kulkos, kuri užtikrintų jūsų organizacijos apsaugą nuo išpirkos programų. Tačiau kiekviename versle reikia atlikti penkis veiksmus, kurie gali smarkiai sumažinti jų užsikrėtimo tikimybę ir palengvinti skausmą, jei išpuolis pavyktų.

Paruoškite

Pagrindinis komponentas, ruošiantis išpirkos programų išpuoliui, yra patikimos atsarginių kopijų strategijos kūrimas ir reguliarių atsarginių kopijų darymas. „Tvirtos atsarginės kopijos yra pagrindinis anti-ransomware strategijos komponentas“, - teigė Philipas Casesa, ISC2, pasaulinės ne pelno organizacijos, kuriančios saugumo specialistus, produktų plėtros strategijos direktorius. "Kai failai bus užšifruoti, vienintelė tinkama galimybė yra atkurti atsarginę kopiją. Kitos galimybės yra sumokėti išpirką arba prarasti duomenis."

"Jūs turite turėti tam tikrą atsarginę kopiją, tikras jūsų nustatyto turto atsarginis sprendimas yra būtinas jūsų verslui", - tęsė Casesa. "Realaus laiko atsarginė kopija arba failų sinchronizavimas tiesiog sudarys jūsų užšifruotų failų atsargines kopijas. Jums reikalingas patikimas atsarginių kopijų kūrimo procesas, per kurį galite atsukti kelias dienas ir atkurti vietines ir serverio programas bei duomenis."

„Panda Security Corrons“ siūlo papildomą atsargumą: atsarginės kopijos yra labai svarbios, jei jūsų gynyba nepavyksta, tačiau prieš atkurdami atsargines kopijas įsitikinkite, kad visiškai pašalinote išpirkos programinę įrangą. „PandaLabs“ mes matėme „ransomware“ šifruotus atsarginių failų failus.

Gera strategija, kurią reikia apsvarstyti, yra pakopinis arba paskirstytasis atsarginių kopijų sprendimas, kuris saugo kelias atsarginių failų kopijas skirtingose ​​vietose ir skirtingose ​​laikmenose (taigi užkrėstas mazgas ne iškart turi prieigą prie esamų failų saugyklų ir atsarginių archyvų). Tokius sprendimus gali rasti keletas mažų ir vidutinio verslo (SMB) internetinių atsarginių kopijų tiekėjų, taip pat dauguma „Disaster-Recovery-as-a-Service“ (DRaaS) tiekėjų.

Užkirsti kelią

Kaip minėta anksčiau, vartotojų švietimas yra galingas, tačiau dažnai nepastebimas ginklas jūsų arsenale prieš ransomware. Apmokykite vartotojus atpažinti socialinės inžinerijos metodus, venkite spragtelėjimo ir niekada neatidarykite priedų iš tų, kurių nepažįsta. Jų pažįstamų žmonių priedai turėtų būti žiūrimi ir atidaromi atsargiai.

„Supratimas, kaip plinta išpirkos programinė įranga, nustato vartotojo elgseną, kurią reikia modifikuoti, norint apsaugoti jūsų verslą“, - teigė C. Casesa. "El. Pašto priedai yra didžiausias užkrėtimo pavojus, atsisiuntimų skaičius yra antras, o kenksmingų el. Pašto nuorodų yra trečias. Žmonės turi didelę reikšmę užsikrėtus išpirkos programomis."

Apmokyti vartotojus apsvarstyti išpirkos programinės įrangos grėsmę yra lengviau, nei jūs manote, ypač mažoms ir vidutinėms įmonėms. Žinoma, tai gali būti tradicinis ilgo vidinio seminaro pavidalas, tačiau tai gali būti tiesiog grupinių pietų ciklas, kuriame IT gauna galimybę informuoti vartotojus interaktyvios diskusijos būdu - už nedidelę kelių picų kainą. Jūs netgi galite apsvarstyti galimybę pasamdyti išorės saugos konsultantą, kad jis mokytų, kartu pateikdamas keletą papildomų vaizdo įrašų ar realaus pasaulio pavyzdžių.

Apsaugokite

Geriausia vieta pradėti apsaugoti savo SMB nuo išpirkos programinės įrangos yra šios keturios geriausios švelninimo strategijos: programų įtraukimas į baltąjį sąrašą, programų pataisymas, operacinių sistemų (OS) pataisymas ir administracinių privilegijų minimizavimas. Casesa greitai pabrėžė, kad "šios keturios kontrolės priemonės rūpinasi 85 ar daugiau procentų kenkėjiškų programų grėsmės".

MVĮ, kurios vis dar naudojasi individualia asmeninių kompiuterių antivirusine (AV) apsauga, perėjimas prie valdomo galinio taško saugos sprendimo leidžia IT centralizuoti visos organizacijos saugumą ir visiškai kontroliuoti šias priemones. Tai gali žymiai padidinti AV ir kovos su kenkėjiškomis programomis efektyvumą.

Nesvarbu, kurį sprendimą pasirinksite, įsitikinkite, kad jame yra apsaugos nuo elgesio. Visi trys mūsų ekspertai sutiko, kad parašu pagrįstos kenkėjiškos programos nėra veiksmingos kovojant su šiuolaikinės programinės įrangos grėsmėmis.

Nemokėk

Jei nepasiruošėte ir nesate apsisaugoję nuo išpirkos programų ir užsikrėtėte, tada gali kilti pagunda sumokėti išpirką. Tačiau paklausti, ar tai buvo protingas žingsnis, mūsų trys ekspertai atsiliepė vieningai. Corronsas greitai pabrėžė, kad "mokėti yra rizikinga. Dabar jūs tikrai prarandate pinigus ir galbūt failus nešifruojate atgal." Galų gale, kodėl nusikaltėlis galėtų tapti garbingu, kai jūs jam sumokėjote?

Mokėdami nusikaltėliams, jūs suteikiate jiems paskatą ir priemones tobulinti išpirkos programinę įrangą. „Jei moki, padarai tai daug blogiau visiems kitiems“, - sako Casesa. "Blogi vaikinai naudojasi jūsų pinigais kurdami nemalonesnę kenkėjišką programą ir užkrėsdami kitus".

Apsaugoti būsimas aukas gali būti ne į galvą, kai bandai valdyti verslą su įkaitais laikomais duomenimis, o pažvelk į tai tik iš šios perspektyvos: kad kita auka vėl galėtum būti jūs, šį kartą kovodama dar labiau efektyvi kenkėjiška programa, kurią jūs padėjote mokėti.

Casesa pabrėžia, kad „sumokėdami išpirką, jūs dabar tapote labiau tinkamas nusikaltėlių taikiniu, nes jie žino, kad mokėsite“. Pardavimo srityje jūs tampate kvalifikuotu vadovu. Kaip ir vagims nėra garbės, nėra jokios garantijos, kad programinė įranga bus visiškai pašalinta. Nusikaltėlis turi prieigą prie jūsų kompiuterio ir gali iššifruoti jūsų failus bei palikti jame kenkėjišką programą, kad galėtų stebėti jūsų veiklą ir pavogti papildomos informacijos.

Likite produktyvūs

Jei išpirkos programinės įrangos padaryta žala yra susijusi su jūsų verslo trikdymu, kodėl gi nesiėmus priemonių padidinti verslo tęstinumą, pereinant prie debesies? „Apsaugos lygis ir bendras saugumas, kurį gausite iš debesies, yra kur kas aukštesni nei tai, ką sau gali leisti mažas verslas“, - pabrėžia Brandonas Dunlapas, „Black & Veatch“ visuotinis CISO. „Debesies paslaugų teikėjai turi kenkėjiškų programų nuskaitymą, patobulintą autentifikavimą ir daugybę kitų apsaugų, dėl kurių šansai kenčiantiems nuo išpirkos programų yra labai menki“.

Bent perkelkite el. Pašto serverius į debesį. Dunlapas pabrėžia, kad "el. Paštas yra didžiulis išpirkos programų užkratas. Perkelkite tai į debesį, kur teikėjai į tarnybą susideda daugybę saugos kontrolės priemonių, pavyzdžiui, kenkėjiškų programų nuskaitymo ir DLP." Naudojant daugybę debesijos paslaugų, gali būti pridedami papildomi saugos sluoksniai, tokie kaip tarpinių serverių reputacija ir srauto nuskaitymas, ir tai gali dar labiau apriboti jūsų ransomware poveikį.

„Dunlap“ entuziastingai vertina debesų apsaugą nuo išpirkos programų. „Mes esame fantastiškoje technologijos istorijos akimirkoje, turėdami daugybę mažos trinties sprendimų daugeliui problemų, su kuriomis susiduria smulkusis verslas“, - sakė D. Dunlapas. "Tai daro mažas įmones veržlesnes IT požiūriu".

Jei jūsų vietinis kompiuteris užkrėstas išpirkos programomis, gali būti net nesvarbu, ar jūsų duomenys yra debesyje. Nuvalykite vietinę mašiną, dar kartą atvaizduokite ją, vėl prisijunkite prie debesies paslaugų ir vėl pradėkite verslą.

Nelaukite, kol batai nukris

Tai nėra viena iš tų situacijų, kai geriausia taktika yra laukti ir pamatyti. „Wanna Decryptor“ aiškiai parodo, kad ten yra išpirkos programa; jis didėja labai sparčiai, tiek dėl rafinuotumo, tiek dėl blogo vaikino populiarumo - ir jis tikrai jūsų ieško. Net po šios dabartinės grėsmės išnykimo yra nepaprastai svarbu imtis priemonių apsaugoti duomenis ir galutinius taškus nuo užkrėtimo.

Kurkite įprastas atsargines kopijas, mokykite darbuotojus, kad išvengtumėte užkrėtimo, pataisykite programas ir operacines sistemas, apribokite administratoriaus teises ir paleiskite ne parašu pagrįstą apsaugos nuo kenkėjiškų programų programinę įrangą. Jei laikysitės šio patarimo, galėsite užkirsti kelią visoms kraujagyslių infekcijoms, išskyrus labiausiai kraujaujančias infekcijas (ir kurios greičiausiai nėra nukreiptos į SVV). Tuo atveju, kai ataka pasireiškia jūsų gynyba, turėkite aiškų, patikrintą IT planą, kaip išvalyti infekciją, atkurti atsargines kopijas ir atnaujinti įprastas verslo operacijas.

Jei nesilaikysite šios geriausios praktikos ir užsikrėtėte, tada žinokite, kad išmoka už išpirką nereikalauja jokių garantijų, kvalifikuoja jus kaip nusikaltėlių atžalą ir suteikia jiems priemonių kurti dar klastingesnę išpirkos programą (ir paskatą). kuo dažniau jį naudoti). Nebūkite auka. Geriau pasinaudokite nauda vėliau: pasiruoškite, užkirstykite kelią, apsaugokite ir išlikkite produktyvūs.