Jak chránit a obnovit své podnikání před ransomware

USA se připravují na plný dopad globální ransomwarové epidemie založené na kmeni malwaru Wanna Decryptor. Je důležité chránit vaši firmu a data před touto rychle se rozšiřující hrozbou, ale jakmile ji překonáme, musíte si uvědomit, že Wanna Decryptor je jen nejhlučnějším příkladem problému s ransomwarem.

O ransomwaru je třeba vědět tři: je to děsivé, roste rychle a je to velký podnik. Podle Centra pro stížnosti na internetovou kriminalitu (IC3) FBI bylo mezi dubnem 2014 a červnem 2015 přijato více než 992 stížností týkajících se CryptoWall, což vedlo ke ztrátám více než 18 milionů dolarů. Tento zhoubný úspěch se odráží v tempu růstu ransomwaru pomocí indexu hrozeb DNS Infoblox, který v prvním čtvrtletí roku 2016 zaznamenal 35násobný nárůst nových domén vytvořených pro ransomware (ve srovnání se čtvrtým čtvrtletím roku 2015).

Obecně platí, že ransomware zahodí šifrovanou zeď mezi firmou a interními daty a aplikacemi, které podnik potřebuje k provozu. Tyto útoky však mohou být mnohem závažnější než pouhá nedostupnost dat. Pokud nejste připraveni, vaše podnikání se může zastavit.

Zeptejte se hollywoodského presbyteriánského lékařského centra. Dlouho před Wanna Decryptorem se nemocnice naučila bolestivou lekci, když zaměstnanci při propuknutí ransomwaru začátkem roku 2016 ztratili přístup ke svým počítačům. Nemocnice zaplatily výkupné ve výši 17 000 $ poté, co zaměstnanci strávili 10 dní spoléhat se na faxy a papírové mapy. Nebo se zeptejte policejního oddělení Tewksbury. V dubnu 2015 zaplatili výkupné za opětovné získání přístupu k šifrovaným záznamům o zatčení a incidentu.

Jak se firmy nakazí?

Pokud je Wanna Decryptor na jakékoli úrovni stříbrná podšívka, pak je to tím, že slouží k prokázání, že hrozba, kterou představuje ransomware, je skutečná. Žádný podnik nebo zaměstnanec není imunní vůči potenciálnímu útoku na ransomware. Je důležité porozumět tomu, jak ransomware infikuje počítače, než diskutujeme o tom, jak chránit vaši firmu před tím, nebo jak reagovat, pokud jste ohroženi. Porozumění původu a způsobu infekce poskytuje informace o tom, jak zůstat v bezpečí.

Ransomware obvykle pochází z jednoho ze dvou zdrojů: ohrožených webových stránek a e-mailových příloh. Na legitimních webových stránkách, které byly napadeny, může být hostitelem exploitující sada, která infikuje váš počítač, obvykle prostřednictvím exploitace prohlížeče. Stejnou metodiku lze použít i na phishingových webových stránkách. Stahování z jednotky nainstaluje ransomware a začne šifrovat vaše soubory.

V případě škodlivé přílohy e-mailu jsou uživatelé oklamáni v otevření přílohy, která poté nainstaluje ransomware. To může být stejně jednoduché jako falešná e-mailová zpráva s spustitelnou přílohou, infikovaným souborem aplikace Microsoft Word, který vás přiměje k aktivaci makra, nebo soubor s přejmenovanou příponou, jako je například soubor, který končí „PDF“, ale ve skutečnosti je to soubor EXE (spustitelný soubor).

„V obou těchto případech je nějaký druh sociálního inženýrství používán k nalákání uživatele na infekci, “ říká Luis Corrons, technický ředitel PandaLabs ve společnosti Panda Security. „Toto poskytuje podnikům skvělou příležitost vzdělávat své uživatele, aby se těmto rizikům vyhnuli, ale bohužel většina malých podniků to zanedbává a vynechává šanci zachránit si velkou bolest hlavy.“

V současné době neexistuje žádná stříbrná střela, která by zajistila bezpečnost vaší organizace před ransomwarem. Každá firma by však měla podniknout pět kroků, které mohou výrazně snížit jejich šance na infekci - a také zmírnit bolest, pokud by útok uspěl.

Připravit

Klíčovou součástí přípravy na útok na ransomware je vývoj robustní strategie zálohování a pravidelné zálohování. "Robustní zálohy jsou klíčovou součástí strategie proti ransomwaru, " řekl Philip Casesa, Product Development Strategist v ISC2, globální neziskové organizaci, která certifikuje bezpečnostní profesionály. „Jakmile jsou vaše soubory zašifrovány, jedinou schůdnou možností je obnovit zálohu. Vaše další možnosti spočívají v zaplacení výkupného nebo ztrátě dat.“

„Musíte mít nějaký druh zálohy, skutečné zálohy řešení aktiv, které jste určili, jsou pro vaši firmu zásadní, “ pokračoval Casesa. „Zálohování nebo synchronizace souborů v reálném čase pouze zálohují vaše šifrované soubory. Potřebujete robustní proces zálohování, kde můžete vrátit zpět několik dní a obnovit místní a serverové aplikace a data.“

Corrons společnosti Panda Security nabízejí další upozornění: zálohy „jsou důležité v případě, že vaše obrana selže, ale před obnovením záloh je nutné zcela odstranit ransomware. V PandaLabs jsme viděli šifrovat záložní soubory ransomware.“

Dobrou strategií, kterou je třeba zvážit, je víceúrovňové nebo distribuované řešení zálohování, které uchovává několik kopií záložních souborů na různých místech a na různých médiích (takže infikovaný uzel nemá okamžitě přístup k současným archivům souborů a zálohám archivů). Tato řešení jsou k dispozici od několika malých a středně velkých firem (SMB) online poskytovatelů záloh a také od většiny prodejců DRaaS (Disaster-Recovery-as-a-Service).

Zabránit

Jak již bylo zmíněno, vzdělávání uživatelů je výkonná, ale často přehlížená zbraň ve vašem arzenálu proti ransomwaru. Naučte uživatele rozpoznávat techniky sociálního inženýrství, vyhýbejte se klikáním a nikdy neotevírejte přílohu od někoho, koho nezná. Přílohy od lidí, které znají, je třeba prohlížet a otevírat opatrně.

„Pochopení toho, jak se šíří ransomware, identifikuje chování uživatelů, které je třeba upravit, aby bylo chráněno vaše podnikání, “ uvedla Casesa. „E-mailové přílohy představují riziko číslo jedna pro infekci, počet stažení z jednotky je číslo dva a škodlivé odkazy v e-mailu jsou číslo tři. Lidé hrají důležitý faktor při nakažení virem ransomware.“

Školení uživatelů, aby zvážili hrozbu ransomwaru, je snazší, než si myslíte, zejména pro malé a střední podniky. Jistě, může to mít tradiční formu zdlouhavého vnitropodnikového semináře, ale může to také být jednoduše skupina skupinových obědů, na nichž má IT možnost informovat uživatele prostřednictvím interaktivní diskuse - za nízkou cenu několika pizzy. Můžete dokonce zvážit najmutí externího bezpečnostního poradce, který by školení poskytl, s některými doplňkovými videi nebo příklady z reálného světa.

Chránit

Nejlepší místo, kde začít chránit SMB před ransomware, je s těmito čtyřmi strategiemi zmírnění: seznam povolených aplikací, opravy aplikací, opravy operačních systémů (OS) a minimalizování administrativních oprávnění. Casesa rychle poukázal na to, že „tyto čtyři ovládací prvky se postarají o 85 procent nebo více malware hrozeb.“

U malých a středních podniků, které se stále spoléhají na zabezpečení jednotlivých PC antivirů (AV), umožňuje přechod na spravované řešení zabezpečení koncových bodů IT centralizaci zabezpečení pro celou organizaci a plnou kontrolu nad těmito opatřeními. To může výrazně zvýšit účinnost AV a anti-malware.

Ať už si vyberete jakékoli řešení, ujistěte se, že zahrnuje ochrany založené na chování. Všichni tři naši experti se shodli, že anti-malware založený na podpisech není účinný proti moderním softwarovým hrozbám.

Neplaťte

Pokud jste se na ransomware nepřipravili a neochránili se a nakazíte se, může být lákavé zaplatit výkupné. Když se však zeptali, zda to byl moudrý krok, naši tři odborníci byli ve své odpovědi jednotní. Corrons rychle poukázal na to, že „platba je riskantní. Nyní rozhodně ztrácíte své peníze a možná vaše soubory zašifrujete zpět.“ Proč by se zločinec stal čestným poté, co jste mu zaplatili?

Placením zločinců jim dáváte motiv a prostředky k vývoji lepšího ransomwaru. „Pokud budete platit, bude to pro všechny ostatní ještě horší, “ říká Casesa. "Špatní chlapi používají vaše peníze na vývoj nastier malwaru a infikování ostatních."

Ochrana budoucích obětí nemusí být na prvním místě, když se snažíte podnikat s údaji jako rukojmí, ale jen se na to podívejte z této perspektivy: další obětí by vás mohl být znovu, tentokrát bojovat ještě více efektivní malware, který jste pomohli zaplatit za vývoj.

Casesa poukazuje na to, že „zaplacením výkupného jste se stal zločincem pro zločince, protože vědí, že zaplatíte.“ V prodejním jazyce se stáváte kvalifikovaným vedením. Stejně jako neexistuje zločin mezi zloději, neexistuje žádná záruka, že bude ransomware zcela odstraněn. Zločinec má přístup k vašemu počítači a může vaše soubory šifrovat a nechat na něm malware, aby sledoval vaše aktivity a ukradl další informace.

Zůstaňte produktivní

Pokud je škoda způsobená ransomwarem pouze o narušení vaší firmy, tak proč ne podniknout kroky ke zvýšení kontinuity podnikání přesunutím do cloudu? „Úroveň ochrany a celková bezpečnost, kterou získáte z cloudu, je mnohem vyšší než to, co si může malý podnik dovolit, “ zdůrazňuje Brandon Dunlap, globální CISO společnosti Black & Veatch. „Poskytovatelé cloudu mají skenování malwaru, vylepšené ověřování a řadu dalších ochranných opatření, díky nimž jsou šance na útoky s ransomwarem velmi nízké.“

Přinejmenším přesuňte e-mailové servery do cloudu. Dunlap poukazuje na to, že „e-mail je obrovským vektorem útoku na ransomware. Přesuňte jej do cloudu, kde poskytovatelé spojují do služby více bezpečnostních prvků, jako je skenování malwaru a DLP.“ Prostřednictvím mnoha cloudových služeb lze přidat další vrstvy zabezpečení, jako je reputace webu na základě proxy a skenování provozu, a mohou dále omezit vaši expozici ransomware.

Dunlap je nadšený ochranou, kterou cloud nabízí proti ransomware. "Jsme ve fantastickém okamžiku v technologické historii s množstvím řešení s nízkým třením pro mnoho problémů, s nimiž se malé podniky potýkají, " řekl Dunlap. „Díky tomu jsou malé podniky z hlediska IT hbitější.“

Pokud je váš místní počítač napaden ransomwarem, nemusí ani záležet na tom, zda jsou vaše data v cloudu. Otřete místní počítač, znovu jej vytvořte, znovu připojte ke cloudovým službám a jste zpět v podnikání.

Nečekejte, až bota poklesne

Toto není jedna z těch situací, kdy je nejlepší taktikou přístup „počkejte a uvidíte“. Wanna Decryptor jasně ukazuje, že tam je ransomware; roste v obrovských skokech a mezích, a to jak v sofistikovanosti, tak v popularitě špatných chlapů - a určitě vás hledá. I poté, co tato aktuální hrozba propukne, je kriticky důležité, abyste podnikli kroky k ochraně dat a koncových bodů před infekcí.

Vytvářejte pravidelné zálohy, vycvičte zaměstnance, aby se vyhnuli infekci, opravujte aplikace a OS, omezte oprávnění správce a spusťte software proti malwaru nepodepisující podpis. Pokud se budete řídit touto radou, můžete zabránit všem infekcím kromě krvácení (kromě těch, které pravděpodobně nemíří na malé a střední podniky). V případě, že útok se dostane přes vaši obranu, mít jasný, testovaný plán pro to IT vyčistit infekci, obnovit zálohy a obnovit normální obchodní operace.

Pokud nebudete postupovat podle těchto osvědčených postupů a nakazíte se, pak víte, že výplata výkupného není zaručena, kvalifikuje vás jako podvodníka pro zločince a dává jim prostředky k rozvoji ještě zákeřnějšího ransomwaru (a pobídky) používat na vás tak často, jak je to možné). Nebuď obětí. Místo toho si udělejte čas, abyste později mohli těžit z výhod: připravte se, předcházejte jim, chráňte je a zůstaňte produktivní.