Kako zaštititi i oporaviti vaše poslovanje od ransomwarea

SAD se trudi za puni utjecaj globalne epidemije ransomwarea utemeljene na soju zlonamjernog softvera Wanna Decryptor. Važno je zaštititi svoje poslovanje i podatke od ove prijetnje koja se brzo širi, ali jednom kad ih prođemo, morate se sjetiti da je Wanna Decryptor samo najgluplji primjer primjera problema s ransomware-om.

O ransomwareu treba znati tri stvari: zastrašujuće je, brzo raste i veliki je posao. Prema FBI-ovom centru za žalbe protiv kriminala (IC3), između travnja 2014. i lipnja 2015. zaprimljeno je više od 992 pritužbe u vezi s kriptovalutama, što je rezultiralo gubicima od više od 18 milijuna dolara. Taj se zloćudni uspjeh ogleda u stopi rasta ransomwarea s Infoblox DNS Threat Indexom, koji bilježe 35-puta povećanje novih domena kreiranih za ransomware u prvom tromjesečju 2016. (u odnosu na četvrti kvartal 2015.).

Općenito, ransomware padne šifrirani zid između tvrtke i unutarnjih podataka i aplikacija koje posao mora raditi. Ali ti napadi mogu biti puno ozbiljniji od jednostavno nedostupnosti podataka. Ako niste spremni, onda bi se vaše poslovanje moglo zaustaviti.

Samo pitajte holivudski prezbiterijanski medicinski centar. Davno prije Wanna Decryptor, bolnica je naučila bolnu lekciju kada je osoblje izgubilo pristup svom računalu tijekom izbijanja ransomwarea početkom 2016. Bolnica je platila otkupninu od 17.000 dolara nakon što su zaposlenici proveli 10 dana oslanjajući se na faks uređaje i papirne karte. Ili pitajte policijsku upravu Tewksbury. U travnju 2015. platili su otkupninu kako bi dobili pristup šifriranim zapisnicima o uhićenju i incidentima.

Kako se tvrtke zaraze?

Ako na bilo kojoj razini postoji srebrna obloga Wanna Decryptor, onda ona služi da se dokaže, bez sumnje, da je prijetnja koju donosi ransomware stvarna. Nijedan posao ili zaposlenik nisu imuni od potencijalnog napada otkupa. Važno je razumjeti kako ransomware inficira računala prije nego što razgovaramo o tome kako zaštititi svoju tvrtku od nje ili kako reagirati ako budete ugroženi. Razumijevanje podrijetla i načina zaraze pruža uvid u sigurnost.

Ransomware obično dolazi iz jednog od dva izvora: ugroženih web stranica i privitaka e-pošte. Legalizirana web lokacija koja je ugrožena može ugostiti kit za iskorištavanje koji inficira vaš stroj, obično putem exploit pretraživača. Istu metodologiju može koristiti web mjesto za krađu identiteta. Pogon za preuzimanje instalira ransomware i započinje šifriranje vaših datoteka.

U slučaju zlonamjernog privitka e-pošte, korisnici su prevareni u otvaranju privitka koji zatim instalira ransomware. To može biti jednostavno kao lažna poruka e-pošte s izvršnim privitkom, zaražena datoteka programa Microsoft Word koja vas nagovara na omogućavanje makronaredbi ili datoteka s preimenovanim proširenjem poput datoteke koja završava u "PDF", ali zaista je EXE datoteka (izvršni).

"U oba ova slučaja koristi se neka vrsta društvenog inženjeringa da bi se namamilo korisnika da se sam zarazi", kaže Luis Corrons, tehnički direktor PandaLabs-a u Panda Security-u. "Ovo pruža tvrtkama sjajnu priliku da educiraju svoje korisnike da izbjegnu te rizike, ali, nažalost, većina malih poduzeća to zanemaruje i propušta priliku da se spasi od velike glavobolje."

Trenutno nema srebrnog metka koji bi osigurao sigurnost vaše organizacije od ransomwarea. Ali treba poduzeti pet koraka koje svako poduzeće može drastično umanjiti njihove šanse za infekciju - a također olakšati bol u slučaju da napad uspije.

Pripremiti

Ključna komponenta za pripremu napada napada je razvijanje robusne strategije izrade sigurnosnih kopija i stvaranje redovitih sigurnosnih kopija. "Robusne sigurnosne kopije ključna su komponenta strategije protiv ransomwarea", rekao je Philip Casesa, strateg za razvoj proizvoda u ISC2, globalnoj neprofitnoj organizaciji koja certificira sigurnosne stručnjake. "Jednom kada su vaše datoteke šifrirane, vaša jedina održiva opcija je vratiti sigurnosnu kopiju. Ostale mogućnosti su da platite otkupninu ili izgubite podatke."

"Morate imati neku vrstu sigurnosne kopije, pravo rezervno rješenje imovine koju ste odredili ključno je za vaše poslovanje", nastavio je Casesa. "Stvaranje sigurnosnih kopija ili sinkronizacije datoteka u stvarnom vremenu upravo će izraditi sigurnosnu kopiju vaših šifriranih datoteka. Potreban vam je čvrst postupak izrade sigurnosnih kopija gdje se možete povući nekoliko dana i vratiti lokalne i poslužiteljske aplikacije i podatke."

Paro Security's Corrons nudi dodatni oprez: sigurnosne kopije "su kritične u slučaju da vam odbrana ne uspije, ali budite sigurni da ste uklonili ransomware prije nego što obnovite sigurnosne kopije. Na PandaLabs, vidjeli smo da ransomware šifrira sigurnosne kopije."

Dobra strategija koju treba razmotriti je višeslojno ili distribuirano sigurnosno kopiranje koje čuva nekoliko kopija datoteka sigurnosnih kopija na različitim lokacijama i na različitim medijima (tako da zaraženi čvor nema odmah pristup i trenutnim spremištima datoteka i arhivama sigurnosnih kopija). Takva su rješenja dostupna od nekoliko malih i srednjih mrežnih dobavljača sigurnosnih kopija, kao i od većeg broja dobavljača katastrofe.

Spriječiti

Kao što je već spomenuto, edukacija korisnika je moćno, ali često previdjeno oružje u vašem arsenalu protiv ransomwarea. Osposobite korisnike da prepoznaju tehnike socijalnog inženjeringa, izbjegavaju klik-bajke i nikada ne otvaraju privitak od nekoga koga ne poznaju. Priloge ljudi koje poznaju treba promatrati i otvarati s oprezom.

"Razumijevanje načina na koji se širi ransomware identificira ponašanje korisnika koje treba izmijeniti kako bi se zaštitilo vaše poslovanje", rekao je Casesa. "Privitaci e-pošte rizik su od zaraze broj jedan, preuzimanja putem vozača su broj dva, a zlonamjerne veze u e-pošti su broj tri. Ljudi igraju značajan faktor zaraze ransomware-om."

Osposobljavanje korisnika za razmatranje ransomware prijetnje lakše je nego što mislite, posebno za mala i srednja poduzeća. Naravno, može poprimiti tradicionalni oblik dugotrajnog internog seminara, ali može to biti i niz grupnih ručkova na kojima IT dobiva priliku informirati korisnike putem interaktivne rasprave - za nisku cijenu od nekoliko pizza. Čak biste mogli razmotriti angažiranje vanjskog savjetnika za sigurnost radi pružanja obuke, s nekim dodatnim videozapisima ili primjerima iz stvarnog svijeta.

Zaštititi

Najbolje mjesto za početak zaštite vašeg SMB-a od ransomwarea je ove četiri najbolje strategije ublažavanja: bijela lista aplikacija, zakrpanje aplikacija, zakrpanje operativnih sustava (OS) i minimiziranje administrativnih privilegija. Casesa je brzo istaknuo da se "ove četiri kontrole brinu o 85 posto ili više prijetnji zlonamjernim softverom".

Za mala i srednja poduzeća koja se i dalje oslanjaju na pojedinačni PC antivirus (AV) radi sigurnosti, prelazak na sigurnosno rješenje za upravljačku krajnju točku omogućava IT centraliziranje sigurnosti za cijelu organizaciju i potpunu kontrolu nad tim mjerama. To može drastično povećati učinkovitost AV i protiv zlonamjernog softvera.

Bez obzira koje rješenje odaberete, osigurajte da sadrži zaštitu temeljene na ponašanju. Sva tri naša stručnjaka složila su se da anti-malware koji se temelji na potpisima nije učinkovit protiv prijetnji modernim softverom.

Ne plaćaj

Ako se niste pripremili i zaštitili se od otkupnine, a možete se zaraziti, onda bi moglo biti primamljivo platiti otkupninu. Međutim, na pitanje je li to mudar potez, naša tri stručnjaka bila su ujedinjena u svom odgovoru. Corrons je brzo istaknuo da je "plaćanje rizično. Sada sigurno gubite novac i možda vraćate datoteke nešifrirane." Napokon, zašto bi zločinac postao častan nakon što ste ga platili?

Plaćanjem kriminalaca dajete im poticaj i sredstva za razvoj boljeg ransomwarea. "Ako platite, to radite toliko gore za sve ostale", kaže Casesa. "Loši dečki koriste vaš novac za razvoj opasnog zlonamjernog softvera i zarazu drugih."

Zaštita budućih žrtava možda nije vrhunska kada pokušavate voditi tvrtku s njezinim podacima koji su taoci, ali samo gledajte na to iz ove perspektive: da bi sljedeća žrtva mogla biti opet iznova, ovaj put se još više boreći učinkovit zlonamjerni softver koji ste pomogli platiti da se razvije.

Casesa ističe da ste "plaćanjem otkupnine sada postali stroža meta za kriminalce jer znaju da ćete platiti". Postajete, prodajni jezik, kvalificirani vodeći igrač. Baš kao što među lopovima nema časti, ne postoji jamstvo da će otkupni softver biti potpuno uklonjen. Zločin ima pristup vašem računalu i može nekodirati vaše datoteke i na njemu ostaviti zlonamjerni softver da nadgleda vaše aktivnosti i krade dodatne informacije.

Ostanite produktivni

Ako je šteta koju prouzrokuje ransomware znači ometanje vašeg poslovanja, zašto ne biste poduzeli korake za povećanje kontinuiteta poslovanja pomicanjem u oblak? "Razina zaštite i ukupna sigurnost koju dobivate iz oblaka mnogo su veći od onoga što bi si mala tvrtka mogla priuštiti", ističe Brandon Dunlap, globalni CISO iz Black & Veatch-a. "Davatelji usluga u oblaku imaju skeniranje zlonamjernog softvera, poboljšanu provjeru autentičnosti i brojne druge zaštite zbog kojih su izgledi za ratno softverski softver vrlo mali."

U najmanju ruku premjestite poslužitelje e-pošte u oblak. Dunlap ističe da je "e-pošta ogroman vektor napada za ransomware. Pomaknite ga u oblak gdje davatelji skupe više sigurnosnih kontrola poput skeniranja zlonamjernog softvera i DLP-a u uslugu." Dodatni sigurnosni slojevi, kao što su reputacija web mjesta na bazi proxyja i skeniranje prometa, mogu se dodati kroz mnoge usluge u oblaku i mogu dodatno ograničiti izloženost ransomwareu.

Dunlap je oduševljen zaštitom koji oblak nudi protiv ransomwarea. "U fantastičnom smo trenutku u povijesti tehnologije s mnoštvom rješenja za nisko trenje za mnoge probleme s kojima se suočavaju mala poduzeća", rekao je Dunlap. "Zbog toga su mala poduzeća pametnija iz IT perspektive."

Ako se vaš lokalni stroj zarazi ransomware-om, možda čak i nije važno jesu li vaši podaci u oblaku. Obrišite svoj lokalni stroj, ponovno ga zamislite, ponovo se povežite s uslugama u oblaku i ponovno se poslujete.

Ne čekajte da cipela ispadne

Ovo nije jedna od situacija u kojima je pristup "čekanja i pregledavanja" vaša najbolja taktika. Wanna Decryptor jasno pokazuje da je otkupna oprema vani; raste u džinovskim skokovima i granicama, kako u sofisticiranosti, tako i u popularnosti loših tipova - i definitivno vas traži. Čak i nakon što ova trenutna prijetnja poraste, od presudnog je značaja da poduzmete korake za zaštitu podataka i krajnjih točaka od infekcije.

Stvarajte redovne sigurnosne kopije, uvježbajte zaposlenike da izbjegavaju infekciju, zakrpajte aplikacije i OS-ove, ograničite privilegije administratora i pokrenite anti-malware softver koji se ne temelji na potpisu. Ako slijedite ovaj savjet, tada možete spriječiti sve infekcije osim one krvarenja (a one vjerojatno ne ciljaju mala i srednja poduzeća). U slučaju da napad prođe kroz vašu obranu, imajte jasan, testiran plan za IT da očisti infekciju, obnovi sigurnosne kopije i nastavi normalno poslovanje.

Ako ne slijedite ove najbolje prakse i ako se zarazite, znajte da plaćanje otkupnine ne daje jamstva, kvalificira vas kao zlostavljača za zločince i daje im sredstva da razviju još podmukle otkupne programe (i poticaj da ga koristite na sebi što je češće moguće). Ne budite žrtva. Umjesto toga, odvojite vrijeme da kasnije iskoristite prednosti: pripremite se, spriječite, zaštitite i ostanite produktivni.