Война с программами-вымогателями реальна. В последние годы эта форма атак стала реальной угрозой для компаний. Мы стали свидетелями массовых атак, которые сделали многонациональные организации, включая правительства, уязвимыми и неспособными продолжать критически важные операции. В 2017 году WannaCry перенес ИТ-отделы в больницы по всей Европе, затронув более 200.000 2019 компьютеров, что продемонстрировало разрушительный потенциал программ-вымогателей. Хотя WannaCry и Petya остаются наиболее заметными атаками с использованием программ-вымогателей, эта форма кибератак продолжает расти, согласно отчету Европола об оценке угроз организованной преступности (IOCTA) за XNUMX год. Организации должны признать эту угрозу и предпринять шаги для подготовки, защиты и противостояния ей. Это важный шаг, позволяющий избежать неожиданной и, возможно, неэффективной реакции в случае инцидента с программой-вымогателем. Надежная, многоуровневая стратегия кибербезопасности и защиты от программ-вымогателей состоит из трех ключевых элементов: обучение, внедрение и устранение последствий. Кроме того, наличие сверхнадежного подхода к резервному копированию, восстановлению и восстановлению данных жизненно важно для защиты непрерывности бизнеса в случае какого-либо события.
Обучайте бизнес
С образовательной точки зрения следует ориентироваться на две основные аудитории: ИТ-персонал и пользователей организации. Важно нацелиться на обе группы, поскольку оба персонажа могут представлять угрозу. Основными точками входа в бизнес для программ-вымогателей являются протокол удаленного рабочего стола (RDP) или другие механизмы удаленного доступа, фишинг и обновления программного обеспечения. Проще говоря, в большинстве случаев киберзлоумышленникам не нужно прилагать столько усилий, сколько нужно, чтобы выиграть крупные призы. Знание того, что это три основных механизма, очень помогает определить, куда вложить больше всего усилий, чтобы обеспечить устойчивость с точки зрения вектора атаки. Большинство ИТ-администраторов используют RDP для своей повседневной работы, при этом многие серверы RDP подключены напрямую к Интернету. Реальность такова, что RDP, подключенный к Интернету, необходимо остановить. ИТ-администраторы могут проявить творческий подход к использованию специальных IP-адресов, переадресации портов RDP, сложных паролей и многого другого; Но данные не лгут: более половины программ-вымогателей поступает через RDP. Это говорит нам о том, что доступ RDP-серверов к Интернету не является передовой стратегией защиты от программ-вымогателей. Другой распространенный способ входа — фишинговые электронные письма. Мы все видели электронные письма, которые кажутся неправильными. Правильным будет удалить этот элемент. Однако не все пользователи справляются с этими ситуациями одинаково. Существуют популярные инструменты для оценки риска успешной фишинговой угрозы для организации, такие как Gophish и KnowBe4. В сочетании с обучением, помогающим сотрудникам выявлять фишинговые электронные письма или ссылки, инструменты самооценки могут стать эффективной защитой первой линии. Третья область, которая вступает в игру, — это риск эксплуатации уязвимостей. Обновление систем — это давняя обязанность ИТ-специалистов, которая важна как никогда. Хотя это не блестящая задача, она может быстро показаться хорошей инвестицией, если инцидент с программой-вымогателем использовал известную и исправленную уязвимость. Обязательно будьте в курсе обновлений важнейших категорий ИТ-активов: операционных систем, приложений, баз данных и встроенного ПО устройств. Несколько разновидностей программ-вымогателей, включая WannaCry и Petya, основаны на ранее обнаруженных уязвимостях, которые впоследствии были исправлены с помощью соответствующего программного обеспечения для управления исправлениями. Даже организации, которые следуют передовым практикам, чтобы избежать воздействия программ-вымогателей, подвергаются риску. Хотя образование и подготовка в области кибербезопасности являются критически важным шагом, организации должны быть готовы к худшему сценарию развития событий. Если есть что-то, о чем должны помнить ИТ-менеджеры и бизнес-менеджеры, так это наличие какого-либо сверхнадежного хранилища резервных копий. В Veeam мы поддерживаем правило 3-2-1 как общую стратегию управления данными. Правило 3-2-1 рекомендует иметь как минимум три копии важных данных как минимум на двух разных типах носителей, причем хотя бы одна из этих копий находится за пределами объекта. Самое приятное то, что это правило не требует какого-либо конкретного типа оборудования и достаточно универсально, чтобы справиться практически с любым сценарием сбоя. «Единая» копия стратегии 3-2-1 должна иметь высокое сопротивление. Под этим мы подразумеваем пустое, несвязное или неизменное пространство. Существуют различные формы носителей, на которых эта копия данных может храниться сверхустойчивым образом. К ним относятся ленточные носители, неизменяемые резервные копии в S3- или S3-совместимых объектных хранилищах, свободное пространство и автономные носители, а также резервное копирование и аварийное восстановление (DR) по принципу «программное обеспечение как услуга». Несмотря на эти методы обучения и внедрения, организации все равно должны быть готовы устранить угрозу, если она возникнет. В Veeam подход прост. Не платите выкуп. Единственный вариант — восстановить данные. Кроме того, организации должны планировать свои действия при обнаружении угрозы. Первое действие — обратиться в службу поддержки. Клиенты Veeam имеют доступ к специальной команде, выполняющей определенные операции, которые помогут им в процессе восстановления данных в случае инцидентов, связанных с программами-вымогателями. Не подвергайте риску свои резервные копии, поскольку они необходимы для восстановления. При стихийных бедствиях всех типов коммуникация становится одной из первых проблем, которую необходимо преодолеть. Разработайте план, как общаться с нужными людьми за пределами группы. Сюда могут входить групповые текстовые списки, номера телефонов или другие часто используемые механизмы для согласования коммуникаций внутри расширенной команды.Решения по восстановлению
Также ведутся разговоры о полномочиях принятия решений. Компании должны решить, кто запрашивает восстановление или аварийное переключение, прежде чем что-то пойдет не так. После принятия решения об откате организациям следует внедрить дополнительные меры безопасности, прежде чем возвращать системы в режим онлайн. Также необходимо принять решение о том, является ли восстановление всей виртуальной машины (ВМ) лучшим решением или восстановление на уровне файлов имеет больше смысла. Наконец, сам процесс восстановления должен быть безопасным, проводить полную проверку на наличие вирусов и вредоносных программ во всех системах и требовать от пользователей смены паролей после восстановления. Хотя угроза программ-вымогателей реальна, при правильной подготовке организации могут повысить устойчивость к инцидентам, чтобы минимизировать риск потери данных, финансовых потерь и репутационного ущерба. Очень важен многоуровневый подход. Предоставьте своим ИТ-командам и сотрудникам возможность минимизировать риски и максимизировать предотвращение. Однако внедрите решения для обеспечения безопасности и резервного копирования данных. Наконец, будьте готовы исправить системы данных с помощью комплексных возможностей резервного копирования и аварийного восстановления, если ваши старые линии защиты потерпят неудачу.- Рик Вановер, старший директор по продуктовой стратегии Veeam.