Cuprins:
- Cum se infectează întreprinderile?
- A pregati
- Împiedica
- Proteja
- Nu plătiți
- Rămâi productiv
- Nu așteptați ca pantoful să cadă
Video: Malware of tomorrow: Android ransomware (Noiembrie 2024)
SUA se bazează pe impactul complet al unei epidemii globale de ransomware bazată pe tulpina malware Wanna Decryptor. Este important să vă protejați afacerea și datele de această amenințare cu răspândire rapidă, însă, odată ce trecem de ea, trebuie să vă amintiți că Wanna Decryptor este doar cel mai zgomotos exemplu al problemei ransomware.
Există trei lucruri de știut despre ransomware: este înfricoșător, crește rapid și este o afacere mare. Conform Centrului de Reclamație pentru Combatere a Criminalității Internet (IC3) de la FBI, au fost primite peste 992 plângeri legate de CryptoWall între aprilie 2014 și iunie 2015, ceea ce a dus la pierderi de peste 18 milioane de dolari. Acest succes malign se reflectă în rata de creștere a ransomware-ului cu indicele de amenințare Infoblox DNS, raportând o creștere de 35 de ori a domeniilor noi create pentru ransomware în primul trimestru al anului 2016 (față de al patrulea trimestru din 2015).
În general, ransomware renunță la un perete criptat între o afacere și datele interne și aplicațiile pe care compania trebuie să le opereze. Dar aceste atacuri pot fi mult mai grave decât simpla inaccesibilitate a datelor. Dacă nu ești pregătit, atunci afacerea ta se poate opri.
Întrebați doar Hollywood Presbyterian Medical Center. Cu mult înainte de Wanna Decryptor, spitalul a învățat o lecție dureroasă atunci când personalul a pierdut accesul la calculatoarele lor în timpul unui focar de ransomware la începutul anului 2016. Spitalul a plătit răscumpărarea de 17.000 de dolari după ce angajații au petrecut 10 zile bazându-se pe faxuri și pe hărțile de hârtie. Sau întrebați Departamentul de poliție din Tewksbury. În aprilie 2015, au plătit răscumpărarea pentru a recăpăta accesul la înregistrările de arestare și incidente criptate.
Cum se infectează întreprinderile?
Dacă există o căptușeală argintie pentru Wanna Decryptor la orice nivel, atunci este utilă pentru a demonstra, fără îndoială, că amenințarea prezentată de ransomware este reală. Nicio firmă sau angajat nu este imun la un potențial atac de ransomware. Este important să înțelegeți cum ransomware-ul infectează computerele înainte de a discuta despre cum să vă protejați afacerea de la acesta sau cum să răspundeți dacă sunteți compromis. Înțelegerea originii și a modului de infecție oferă informații despre păstrarea siguranței.
Ransomware-ul provine de obicei din una dintre cele două surse: site-uri web compromise și atașamente de e-mail. Un site web legitim care a fost compromis poate găzdui un kit de exploatare care vă infectează aparatul, de obicei printr-un exploit al browserului. Aceeași metodologie poate fi folosită de un site web de phishing. O descărcare drive-by instalează ransomware și începe să cripteze fișierele.
În cazul unui atașament e-mail rău intenționat, utilizatorii sunt păcăliți să deschidă fișierul atașat, care apoi instalează ransomware. Acest lucru poate fi la fel de simplu ca un mesaj de e-mail fals cu un fișier de atașare executabil, un fișier Microsoft Word infectat care te păcălește să activeze macro-uri sau un fișier cu o extensie redenumită, cum ar fi un fișier care se termină în „PDF”, dar este într-adevăr un fișier EXE (un executabil).
În prezent, nu există niciun glonț de argint care să asigure securitatea organizației dvs. împotriva ransomware-ului. Dar sunt cinci pași pe care fiecare afacere ar trebui să-i facă, care le poate reduce drastic șansele de infecție - și, de asemenea, ușurează durerea în cazul în care un atac reușește.
A pregati
O componentă cheie pentru pregătirea unui atac ransomware este dezvoltarea unei strategii robuste de rezervă și realizarea de copii de rezervă regulate. „Backup-urile robuste sunt o componentă cheie a unei strategii anti-ransomware”, a declarat Philip Casesa, strateg de dezvoltare a produsului la ISC2, o organizație globală non-profit care certifică profesioniștii în securitate. "După ce fișierele dvs. sunt criptate, singura dvs. opțiune viabilă este restaurarea copiei de rezervă. Celelalte opțiuni sunt să plătiți răscumpărarea sau să pierdeți datele."
Coronele Panda Security oferă o atenție suplimentară: copiile de rezervă "sunt esențiale în cazul în care apărările dvs. nu reușesc, dar asigurați-vă că ați eliminat complet ransomware-ul înainte de a restaura copiile de siguranță. La PandaLabs, am văzut criptarea fișierelor de rezervă".
O strategie bună de luat în considerare este o soluție de rezervă distribuită, împărțită sau distribuită, care păstrează mai multe copii ale fișierelor de rezervă în diferite locații și pe suporturi diferite (astfel încât un nod infectat nu are acces imediat atât la depozitele de fișiere curente, cât și la arhivele de rezervă). Astfel de soluții sunt disponibile de la mai mulți furnizori de backup online pentru întreprinderi mici și mijlocii (SMB), precum și cei mai mulți furnizori de recuperare în caz de dezastre (DRaaS).
Împiedica
Așa cum am menționat anterior, educația utilizatorilor este o armă puternică, dar deseori neglijată în arsenalul dvs. împotriva ransomware-ului. Antrenează utilizatorii să recunoască tehnicile de inginerie socială, să evite clickbaitul și să nu deschidă niciodată un atașament de la cineva pe care nu îl cunosc. Fișierele atașate de la persoane pe care le cunosc ar trebui privite și deschise cu prudență.
„Înțelegerea modului în care se răspândește ransomware identifică comportamentele utilizatorilor care trebuie modificate pentru a vă proteja afacerea”, a spus Casesa. "Fișierele atașate prin e-mail sunt riscul principal pentru infecție, descărcările de tip drive-by sunt numărul doi, iar link-urile dăunătoare din e-mail sunt numărul trei. Oamenii joacă un factor important în infectarea cu ransomware-ul."
Instruirea utilizatorilor să ia în considerare amenințarea ransomware este mai ușoară decât credeți, în special pentru IMM-uri. Sigur, poate lua forma tradițională a unui seminar intern îndelungat, dar poate fi pur și simplu o serie de prânzuri de grup la care IT-ul are șansa de a informa utilizatorii prin discuții interactive - pentru prețul scăzut al câtorva pizza. S-ar putea chiar să luați în considerare să angajați un consultant de securitate externă pentru a vă oferi instruirea, cu câteva exemple video suplimentare sau exemple din lumea reală.
Proteja
Cel mai bun loc pentru a începe să vă protejați SMB-ul împotriva ransomware-ului este cu aceste patru patru strategii de atenuare: listarea în alb a aplicațiilor, aplicații de corecție, sisteme de operare de corecție (OS) și minimizarea privilegiilor administrative. Casesa s-a arătat repede că „aceste patru controale au grijă de 85% sau mai mult de amenințările cu malware”.
Pentru IMM-urile care încă se bazează pe antivirusul individual al PC-urilor (AV) pentru securitate, trecerea la o soluție de securitate administrată, permite IT-ului să centralizeze securitatea pentru întreaga organizație și să preia controlul complet asupra acestor măsuri. Aceasta poate crește drastic eficacitatea AV și anti-malware.
Indiferent de soluția pe care o alegeți, asigurați-vă că include protecții bazate pe comportament. Toți trei experții noștri au convenit că anti-malware-ul pe bază de semnătură nu este eficient împotriva amenințărilor software moderne.
Nu plătiți
Dacă nu te-ai pregătit și te-ai protejat împotriva ransomware-ului și te-ai infectat, atunci poate fi tentant să plătești răscumpărarea. Cu toate acestea, când au fost întrebați dacă aceasta este o mișcare înțeleaptă, cei trei experți ai noștri au fost uniți în răspunsul lor. Corrons a arătat repede că „plata este riscantă. Acum pierdeți cu siguranță banii și poate că veți recupera fișierele necriptate”. La urma urmei, de ce un criminal va deveni onorabil după ce l-ai plătit?
Plătind infractorii, le oferiți un stimulent și mijloacele de a dezvolta o ransomware mai bună. „Dacă plătiți, faceți acest lucru mult mai rău pentru toți ceilalți”, spune Casesa. „Băieții răi își folosesc banii pentru a dezvolta malware mai nasol și pentru a-i infecta pe alții”.
Protejarea viitoarelor victime s-ar putea să nu fie de vârf atunci când încercați să conduceți o afacere cu datele sale deținute ca ostatic, ci doar priviți-o din această perspectivă: că următoarea victimă ar putea fi din nou, de data aceasta luptând și mai mult malware eficient pe care l-ați ajutat să plătiți pentru a vă dezvolta.
Casesa subliniază că „plătind răscumpărarea, acum ați devenit o țintă mai bună pentru infractori, deoarece știu că veți plăti”. Devii, în limbajul vânzărilor, un lider calificat. La fel cum nu există onoare între hoți, nu există nicio garanție că ransomware-ul va fi înlăturat complet. Infractorul are acces la aparatul dvs. și vă poate cripta fișierele și lăsa malware-ul de pe acesta pentru a vă monitoriza activitățile și a fura informații suplimentare.
Rămâi productiv
Dacă daunele cauzate de ransomware se referă la întreruperea afacerii dvs., de ce să nu luați măsuri pentru a crește continuitatea activității prin mutarea în cloud? "Nivelul de protecție și securitatea generală pe care îl obțineți din cloud este mult mai mare decât ceea ce și-ar putea permite o întreprindere mică", subliniază Brandon Dunlap, Global CISO din Black & Veatch. „Furnizorii de cloud au scanare malware, autentificare îmbunătățită și numeroase alte protecții care fac ca șansele ca acestea să sufere de un atac ransomware să fie foarte scăzute.”
Cel puțin, mutați serverele de e-mail în cloud. Dunlap subliniază că „e-mailul este un vector de atac uriaș pentru ransomware. Mutați-l în cloud, unde furnizorii încorporează mai multe controale de securitate, cum ar fi scanarea malware și DLP-ul în serviciu." Straturi suplimentare de securitate, cum ar fi reputația site-ului bazată pe proxy și scanarea traficului, pot fi adăugate prin multe servicii cloud și vă pot limita expunerea la ransomware.Dunlap este entuziasmat de protecțiile oferite de cloud împotriva ransomware-ului. „Suntem într-un moment fantastic în istoria tehnologiei, cu o multitudine de soluții cu frecare scăzută la multe dintre problemele cu care se confruntă întreprinderile mici”, a spus Dunlap. „Acest lucru face ca întreprinderile mici să fie mai agile din perspectiva IT”.
Dacă aparatul dvs. local este infectat cu ransomware-ul, este posibil să nu conteze nici dacă datele dvs. sunt în cloud. Ștergeți mașina locală, reimaginați-o, reconectați-vă la serviciile cloud și reveniți în afaceri.
Nu așteptați ca pantoful să cadă
Aceasta nu este una dintre acele situații în care o abordare de așteptare și așteptare este cea mai bună tactică a ta. Wanna Decryptor arată clar că ransomware-ul este acolo; crește în pasuri uriașe, atât în ceea ce privește sofisticarea, cât și popularitatea răului - și cu siguranță te caută. Chiar și după ce această amenințare actuală se va exploda, este important să faceți măsuri pentru a proteja datele și punctele finale de infecție.
Creați copii de rezervă obișnuite, instruiți angajații pentru a evita infecțiile, aplicațiile de corecție și sistemele de operare, limitați privilegiile de administrator și rulați software anti-malware bazat pe semnături fără semnătură Dacă urmați acest sfat, atunci puteți preveni toate infecțiile, cu excepția celor mai hemoragice (și cele care nu vizează SMB-uri). În cazul în care un atac vă trece prin apărare, aveți un plan clar și testat pentru IT pentru curățarea infecției, restaurarea copiilor de rezervă și reluarea operațiunilor normale de afaceri.
Dacă nu urmați aceste bune practici și vă infectați, atunci știți că plata răscumpărării nu are garanții, vă califică drept fraier pentru infractori și le oferă mijloacele de a dezvolta ransomware și mai insidios (și stimulentul) să-l folosești pe tine cât mai des). Nu fi o victimă. În schimb, luați-vă timpul acum pentru a culege beneficiile mai târziu: pregătiți, preveniți, protejați și rămâneți productivi.
