Wojna z oprogramowaniem ransomware jest prawdziwa. W ostatnich latach ta forma ataku stała się poważnym zagrożeniem dla firm. Byliśmy świadkami masowych ataków, które sprawiły, że międzynarodowe organizacje, w tym rządy, stały się bezbronne i niezdolne do kontynuowania krytycznych operacji. W 2017 r. WannaCry sprowadził działy IT do szpitali w całej Europie, obejmując ponad 200.000 2019 komputerów, demonstrując niszczycielski potencjał oprogramowania ransomware. Chociaż WannaCry i Petya pozostają najbardziej znanymi atakami ransomware, ta forma cyberataków wciąż rośnie, zgodnie z raportem Europolu dotyczącym oceny zagrożenia przestępczością zorganizowaną (IOCTA) z XNUMX r. Organizacje muszą rozpoznać to zagrożenie i podjąć kroki w celu przygotowania się, obrony i gotowości do stawienia mu czoła. Jest to niezbędny krok, aby uniknąć nieoczekiwanej i prawdopodobnie nieskutecznej reakcji później w incydencie ransomware. Silna, wielowarstwowa strategia cyberbezpieczeństwa i obrona przed oprogramowaniem ransomware składa się z trzech kluczowych elementów: edukacji, wdrażania i środków zaradczych. Ponadto niezwykle odporne podejście do tworzenia kopii zapasowych, odzyskiwania i przywracania danych ma kluczowe znaczenie dla ochrony ciągłości biznesowej w przypadku zdarzenia.
Edukuj biznes
Z perspektywy edukacyjnej należy kierować reklamy do dwóch głównych odbiorców: personelu IT i użytkowników w organizacji. Ważne jest, aby obrać za cel obie grupy, ponieważ obie postacie mogą stanowić zagrożenie. Głównymi punktami wejścia oprogramowania ransomware do biznesu są protokół RDP (Remote Desktop Protocol) lub inne mechanizmy dostępu zdalnego, phishing i aktualizacje oprogramowania. Mówiąc najprościej, w większości przypadków cyberprzestępcy nie muszą pracować tak ciężko, jak powinni, aby wygrać duże nagrody. Świadomość, że są to trzy główne mechanizmy, jest bardzo pomocna w określeniu, gdzie należy włożyć najwięcej wysiłku, aby uzyskać odporność z perspektywy wektora ataku. Większość administratorów IT korzysta z protokołu RDP w swojej codziennej pracy, a wiele serwerów RDP jest podłączonych bezpośrednio do Internetu. Rzeczywistość jest taka, że połączenie RDP z Internetem musi zostać zatrzymane. Administratorzy IT mogą wykazać się kreatywnością dzięki specjalnym adresom IP, przekierowaniu portów RDP, złożonym hasłom i nie tylko; Ale dane nie kłamią, że ponad połowa oprogramowania ransomware dociera przez RDP. To mówi nam, że udostępnianie serwerów RDP w Internecie nie jest najnowocześniejszą strategią odporności na ransomware. Innym częstym sposobem wejścia jest poczta phishingowa. Wszyscy widzieliśmy e-maile, które wydawały się nieprawidłowe. Właściwą rzeczą jest usunięcie tego elementu. Jednak nie wszyscy użytkownicy radzą sobie z takimi sytuacjami w ten sam sposób. Istnieją popularne narzędzia do oceny ryzyka skutecznego zagrożenia phishingiem dla organizacji, takie jak Gophish i KnowBe4. W połączeniu ze szkoleniami mającymi na celu pomóc pracownikom w identyfikowaniu wiadomości e-mail lub linków służących do wyłudzania informacji, narzędzia do samooceny mogą stanowić skuteczną pierwszą linię obrony. Trzecim obszarem, który wchodzi w grę, jest ryzyko wykorzystania luk w zabezpieczeniach. Aktualizowanie systemów to odwieczny obowiązek działu IT, który jest ważniejszy niż kiedykolwiek. Chociaż nie jest to efektowne przedsięwzięcie, szybko może wydawać się dobrą inwestycją, jeśli incydent z oprogramowaniem ransomware wykorzystywał znaną i załataną lukę w zabezpieczeniach. Upewnij się, że jesteś na bieżąco z aktualizacjami krytycznych kategorii zasobów IT: systemów operacyjnych, aplikacji, baz danych i oprogramowania układowego urządzeń. Kilka szczepów oprogramowania ransomware, w tym WannaCry i Petya, opiera się na wcześniej wykrytych lukach, które od tego czasu zostały załatane za pomocą odpowiedniego oprogramowania do zarządzania poprawkami. Zagrożone są nawet organizacje, które przestrzegają najlepszych praktyk w celu uniknięcia narażenia na oprogramowanie ransomware. Chociaż edukacja i szkolenia w zakresie cyberbezpieczeństwa są niezbędnym krokiem, organizacje muszą przygotować się na najgorszy scenariusz. Jeśli jest jedna rzecz, o której menedżerowie biznesowi i IT muszą pamiętać, to posiadanie jakiejś formy wyjątkowo wytrzymałej pamięci masowej do przechowywania kopii zapasowych. Firma Veeam opowiada się za zasadą 3-2-1 jako ogólną strategią zarządzania danymi. Zasada 3-2-1 zaleca, aby istniały co najmniej trzy kopie ważnych danych, na co najmniej dwóch różnych typach nośników, z co najmniej jedną z tych kopii poza siedzibą firmy. Najlepsze jest to, że ta linijka nie wymaga żadnego konkretnego sprzętu i jest wystarczająco wszechstronna, aby poradzić sobie z prawie każdym scenariuszem awarii. „Unikalna” kopia strategii 3-2-1 powinna charakteryzować się dużą siłą. Rozumiemy przez to pustą, odłączoną lub niezmienną przestrzeń. Istnieją różne formy nośników, na których ta kopia danych może być przechowywana w ultraodporny sposób. Należą do nich nośniki taśmowe, niezmienne kopie zapasowe w obiektowej pamięci masowej zgodnej z S3 lub S3, wolne miejsce i nośniki offline lub oprogramowanie jako usługa tworzenia kopii zapasowych i odzyskiwania po awarii (DR). Pomimo tych technik edukacyjnych i wdrożeniowych organizacje muszą być nadal przygotowane do zaradzenia zagrożeniu, jeśli się pojawi. W firmie Veeam nasze podejście jest proste. Nie płać okupu. Jedyną opcją jest przywrócenie danych. Ponadto organizacje muszą zaplanować swoją reakcję w przypadku wykrycia zagrożenia. Pierwszą czynnością jest skontaktowanie się z pomocą techniczną. Klienci firmy Veeam mają dostęp do dedykowanego zespołu z dedykowanymi operacjami, który przeprowadzi ich przez proces przywracania danych w przypadku incydentów związanych z oprogramowaniem ransomware. Nie narażaj swoich kopii zapasowych na ryzyko, ponieważ są one niezbędne do odzyskania danych. W przypadku wszelkiego rodzaju katastrof komunikacja staje się jednym z pierwszych wyzwań do pokonania. Miej plan, jak dotrzeć do właściwych osób spoza zespołu. Obejmuje to grupowe listy tekstowe, numery telefonów lub inne powszechnie używane mechanizmy do wyrównania komunikacji w rozszerzonym zespole.Decyzje windykacyjne
Mówi się też o władzy decyzyjnej. Przedsiębiorstwa muszą zdecydować, kto żąda przywrócenia lub przełączenia awaryjnego, zanim coś pójdzie nie tak. Po podjęciu decyzji o wycofaniu zmian organizacje muszą wdrożyć dodatkowe zabezpieczenia przed przywróceniem systemów do trybu online. Należy również podjąć decyzję, czy odzyskiwanie całej maszyny wirtualnej (VM) jest najlepszym rozwiązaniem, czy też odzyskiwanie na poziomie plików ma większy sens. Wreszcie sam proces przywracania musi być bezpieczny, przeprowadzać pełne skanowanie w poszukiwaniu wirusów i złośliwego oprogramowania we wszystkich systemach oraz wymagać od użytkowników zmiany haseł po odzyskaniu. Chociaż zagrożenie ze strony oprogramowania ransomware jest realne, przy odpowiednim przygotowaniu organizacje mogą zwiększyć odporność na incydenty, aby zminimalizować ryzyko utraty danych, strat finansowych i uszczerbku na reputacji. Niezbędne jest podejście wielopoziomowe. Zwiększ możliwości swoich zespołów IT i pracowników, aby zminimalizować ryzyko i zmaksymalizować zapobieganie. Wdrażaj jednak rozwiązania zapewniające bezpieczeństwo danych i tworzenie kopii zapasowych. Na koniec przygotuj się na korygowanie systemów danych dzięki wszechstronnym funkcjom tworzenia kopii zapasowych i odzyskiwania po awarii, jeśli Twoje stare linie obrony zawiodą.- Rick Vanover, starszy dyrektor ds. strategii produktów w firmie Veeam.