Стратегия защиты от шифровальщиков
Новости об атаках шифровальщиков-вымогателей перестали восприниматься как нечто необычное — сообщения об этом появляются с завидной регулярностью. Поэтому сейчас каждой компании особенно важно иметь продуманную многоуровневую стратегию защиты от этой угрозы.
Усильте защиту наиболее вероятных точек входа злоумышленников
Большая часть атак при помощи шифровальщиков-вымогателей происходит достаточно стандартно: либо кто-то из сотрудников поддается на уловки социальной инженерии и открывает присланный файл, либо злоумышленники добывают удаленный доступ к системам компании (узнавая пароли из утечек, подбирая брутфорсом или скупая их у брокеров первоначального доступа). В отдельных случаях они используют уязвимости в серверном ПО. Поэтому от большей части проблем можно избавиться, если:
-
Kaspersky Automated Security Awareness Platform правилам информационной безопасности и цифровой гигиены. Если люди смогут самостоятельно отличать фишинговое письмо от легитимного и будут бережно относиться к паролям, это изрядно уменьшит нагрузку на сотрудников ИБ-отделов;
-
продвигать строгую парольную политику — запретить повторяющиеся пароли, настаивать на использовании сложных и обязательно применять надежное ПО для хранения паролей;
-
не использовать без лишней необходимости службы удаленных рабочих столов (такие как RDP) в публичных сетях, а если такая надобность все-таки возникает, то организовывать удаленный доступ только через защищенный VPN-канал;
-
приоритезировать установку обновлений на все подключенные устройства — в первую очередь, оперативно устанавливать патчи для критического ПО (операционных систем, браузеров, офисных пакетов, VPN-клиентов, серверных приложений), как можно скорее закрывать уязвимости, позволяющие удаленное исполнение кода (RCE) и повышение привилегий.
Убедитесь, что ваша команда ИБ готова к отражению современных киберугроз
Инструменты и защитные технологии, применяемые вашей командой ИБ-специалистов, должны быть готовы к современным угрозам. Более того, сами эксперты также должны иметь доступ к оперативной информации об изменениях в ландшафте угроз. Поэтому мы советуем:
-
используйте актуальные данные об угрозах (threat intelligence), чтобы ваши эксперты всегда были в курсе тактик, методов и процедур, которые используют злоумышленники;
- своевременно обновляйте защитные решения, чтобы они могли со стопроцентной вероятностью выявлять угрозы, наиболее часто используемые для доставки шифровальщиков (трояны типа RAT, эксплойты, активность ботнетов);
-
применяйте инструменты, способные не просто выявлять вредоносное ПО, но и отслеживать подозрительную активность в инфраструктуре компании (решения класса Extended Detection and Response);
-
в условиях ограниченных ресурсов внутренней команды задумайтесь о том, чтобы воспользоваться помощью сторонних экспертов (или решениями класса Managed Detection and Response);
-
не забывайте отслеживать исходящий трафик, это поможет выявлять несанкционированные подключения извне корпоративной инфраструктуры;
-
уделяйте особенное внимание отслеживанию применения скриптовых языков и инструментов для горизонтального распространения в сети компании;
-
отслеживайте новости о шифровальщиках и не забывайте при появлении новых распространенных штаммов убеждаться, что ваши защитные технологии способны с ними справиться.
Разработайте стратегию на случай успешной атаки шифровальщика
Полагаться на технологии детектирования и противодействия шифровальщикам можно, но лучше иметь и продуманный план на случай, если они не сработают. Ситуации бывают разные. Например, зловредный инсайдер, особенно с правами администратора, может сделать вашу систему защиты бесполезной. Важно, чтобы инцидент не застал вас врасплох. Чтобы избежать простоев из-за возможного киберинцидента:
-
регулярно создавайте резервные копии данных, особенно критических для бизнеса;
-
обеспечьте быстрый доступ к ним для экстренных случаев.