Ochrona firmy przed ransomware
2 października 2020
Sposób działania ransomware
Co to jest ransomware?
Ransomware (ransom – ang. okup) to rodzaj złośliwego oprogramowania, którego głównym celem jest zaszyfrowanie danych na zainfekowanym komputerze lub serwerze w celu uzyskania okupu za odszyfrowanie przez hackerów.
Najczęściej przestępcy, którzy wykorzystują ransomware jako formę ataku na użytkowników lub infrastrukturę IT przedsiębiorstwa, w zamian za przekazanie kluczy niezbędnych do odszyfrowania danych, żądają opłaty w formie kryptowaluty (np. Bitcoin lub Ripple).
Przykłady znanych ataków ransomware to m.in.: CryptoLocker, WannaCry, TeslaCrypt, Nyetya.
Jak działa ransomware?
Złośliwe oprogramowanie typu ransomware najczęściej przedostaje się do komputerów lub serwerów ofiary poprzez wykorzystanie kilku najczęściej eksploatowanych sposobów. Ransomware jest często rozpowszechniane za pomocą ataków uwzględniających phishing e-mail lub malvertising (malicious advertising – ang. elementy udające reklamy z zawartością złośliwego kodu).
Jednym z powszechnych sposobów dystrybuowania ransomware są również zestawy exploitów (exploit kits – ang. narzędzia wykorzystywane do infekowania komputerów poprzez wykorzystywanie luk w systemach operacyjnych, zabezpieczeniach przeglądarek lub programów).
Ransomware szyfruje wybrane pliki oraz informuje ofiarę o wymaganej płatności.
Zasady zwiększające ochronę przed ransomware
Regularne wykonywanie kopii bezpieczeństwa
Sposobem radzenia sobie w sytuacji ataku ransomware na infrastrukturę firmy jest odłączenie urządzenia typu endpoint, sformatowanie nośników pamięci, reinstalacja systemu operacyjnego oraz przywrócenie danych z backupu.
W zależności od stosowanego rozwiązania do przygotowywania kopii bezpieczeństwa, proces może przebiegać szybciej dzięki wykorzystaniu obrazów backupowanych maszyn. Dzięki wykorzystaniu kopii zapasowych firma sprawnie wraca do sytuacji, w której posiada dostęp do swoich danych oraz ogranicza możliwość rozprzestrzeniania się ataku ransomware do pozostałych systemów w sieci.
Właściwie przygotowywana i przechowywana kopia bezpieczeństwa pozwala zatem na ochronę organizacji przed negatywnymi konsekwencjami zdarzeń niosących ryzyko utraty ważnych danych.
Aktualizacja oprogramowania
Bardzo ważną zasadą, dla każdego administratora odpowiedzialnego za funkcjonowanie systemów informatycznych w firmie, jest regularne aktualizowanie oprogramowania. Instalacja aktualizacji oraz poprawek bezpieczeństwa, szczególnie w zakresie oprogramowania dostarczanego przez strony trzecie, zwiększa bezpieczeństwo IT oraz pomaga ograniczyć szanse powodzenia ataków wykorzystujących luki w oprogramowaniu.
Edukacja użytkowników
Najsłabszym ogniwem w kontekście bezpieczeństwa systemów informatycznych w firmie jest zazwyczaj czynnik ludzki. Zaleca się, by uświadamiać zagrożenia użytkownikom w organizacji oraz kształtować postawę ograniczonego zaufania w stosunku do wiadomości, linków, adresów witryn lub załączników niewiadomego pochodzenia. Szkolenia dotyczące zagrożeń phishing powinny być regularnie przeprowadzane wśród współpracowników korzystających z komputerów.
Ochrona sieci komputerowej
Słuszne jest budowanie infrastruktury IT w firmie w taki sposób, by charakteryzowała się wielowarstwową ochroną, począwszy od tzw. końcówek, poprzez właściwie dobraną, bezpieczną usługę e-mail, aż do ochrony sieci na poziomie DNS. Pomocne jest korzystanie z dopracowanych technologii, takich jak zapora sieciowa nowej generacji (NGFW), rozwiązania antywirusowe do ochrony stacji roboczych oraz serwerów, profesjonalna usługa poczty elektronicznej oraz chmurowe rozwiązania DNS.
Segmentacja sieci
Segmentacja sieci pozwala na ograniczenie możliwych negatywnych skutków pojedynczego ataku ransomware dzięki zmniejszeniu zasięgu ataku do określonej części sieci oraz dynamicznej kontroli dostępu. Budując infrastrukturę sieciową dla firmy z wykorzystaniem aktywnych urządzeń sieciowych dedykowanych do wykorzystywania w większych organizacjach, istnieje możliwość przeprowadzenia odpowiedniej konfiguracji w myśl zasady, by dostęp do zasobów sieci dla użytkowników był ograniczony do niezbędnego minimum.
Monitorowanie aktywności sieciowej
Możliwość wnikliwej obserwacji tego, co dzieje się w firmowej sieci daje szansę na to, by wykryć ataki, którym udało się pokonać istniejące zabezpieczenia. Dla usług, które wymagają otwarcia określonych portów (przez co niosą zwiększone ryzyko włamania) warto przygotować miejsce w strefie DMZ (demilitarized zone, ang. strefa ograniczonego zaufania wydzielona na zaporze sieciowej w sieci LAN firmy).
Ograniczenie przenikania malware
Większość infekcji ransomware dotykających firmy miało szanse powodzenia z powodu uruchomienia załącznika do wiadomości e-mail lub ściągnięcia złośliwego oprogramowania. Podejście do bezpieczeństwa IT polegające na stosowaniu wielowarstwowej ochrony pozwala na skrupulatne blokowanie dostępu do złośliwych załączników, witryn, adresów IP, wiadomości e-mail, aplikacji chmurowych.
Równie ważne jest właściwe zorganizowanie platformy do udostępniania i przechowywania plików przez użytkowników w organizacji. Bezpieczny serwer plików zdecydowanie podnosi odporność organizacji na ataki ransomware i zabezpiecza dane.
Ochrona dla stacji roboczych
Stosowanie skutecznych rozwiązań ochrony antywirusowej dla stacji roboczych jest dziś koniecznością. Nowoczesne produkty ochrony antywirusowej dla końcówek pozwalają na konfigurację ochrony komputerów, sieci, poczty e-mail.
W większych organizacjach, w celu optymalizacji zużycia czasu poświęcanego na administrację ochroną antywirusową komputerów, cenna jest centralna konsola zarządzania. Zalecane jest regularne skanowanie systemów na komputerach oraz aktualizowanie bazy zagrożeń.
Coraz częściej stosowane jest w firmach rozwiązanie zwiększające poziom bezpieczeństwa danych lub dostępu do usług za pomocą autoryzacji dwuskładnikowej.
Nie należy płacić okupu
Nie istnieje gwarancja związana z możliwością odszyfrowania danych po zapłaceniu okupu. Warto pamiętać, że przestępcy, którym uda się wymusić pieniądze od swoich ofiar, zwiększają swoją motywację do dalszego działania, przyczyniając się do zwiększenia liczby zagrożeń, na które narażona będzie infrastruktura informatyczna firmy.
Najlepszym sposobem przeciwdziałania negatywnym skutkom ataków ransomware jest zatem właściwe, wielowarstwowe zabezpieczenie systemu informatycznego firmy połączone z odpowiednią polityką na backup oraz odpowiedzialnym zarządzaniem infrastrukturą IT uwzględniającym ciągłe uświadamianie oraz edukację użytkowników.
Rozwiązania anty-ransomware dla firm
Wzrastający poziom zagrożenia
Ransomware jest dla przestępców najbardziej dochodową formą malware. W przeszłości hackerzy dążyli głównie do uzyskania informacji pozwalających na dostęp do systemów lub zasobów ofiary przez dłuższy czas w określonym celu. Zwykle nie był blokowany dostęp do zasobów dla właściciela i dane nie były niszczone.
Pojawiające się coraz częściej ataki ransomware zmieniły diametralnie sytuację i zmuszają firmy do podejmowania działań poprawiających bezpieczeństwo informatyczne. Niestety dostępność kryptowalut pozwalających na dokonywanie płatności z zachowaniem wysokiego poziomu anonimowości umożliwia przekazywanie płatności w ramach okupu przy minimalnym ryzyku dla atakującego.
Przeprowadzanie ataków ransomware jest lukratywną aktywnością dla cyberprzestępców, co według ekspertów, powoduje, że nowe generacje ransomware są rozwijane w bardzo szybkim tempie.
Główne obszary wzmocnienia ochrony przed ransomware
Szybkie zapewnienie ochrony przed ransomware dla firmy zaczyna się od zabezpieczenia krytycznych zagrożeń. Wdrożenie rekomendowanych rozwiązań w wybranych obszarach może być doskonałym początkiem do budowy silnej i bezpiecznej infrastruktury IT dla firmy.
Na początku wzmacniania odporności firmy na ransomware należy zwrócić szczególną uwagę na wdrożenie rozwiązań w zakresie obszarów: usługa poczty e-mail, ochrona DNS, rozwiązania antywirusowe dla urządzeń endpoint.
Następnie, w miarę możliwości, warto rozważyć bardziej zaawansowane rozwiązania (np. NGFW) w myśl zasady, że właściwe jest zapewnienie wielowarstwowej ochrony przed zagrożeniami.
Informacje o zagrożeniach w czasie rzeczywistym
Zapewnienie bezpieczeństwa przed ransomware jest priorytetem dla dostawców profesjonalnych rozwiązań IT dla firm. Jedną z bardzo skutecznych inicjatyw w zakresie zwiększania bezpieczeństwa w sieci jest największa na świecie, pozarządowa organizacja wykrywająca, oceniająca i testująca zagrożenia w sieci – Cisco Tallos Intelligence Group.
Talos działa w obszarze threat intelligence tworząc dokładne wytyczne dotyczące zagrożeń w Internecie, które są natychmiast wykorzystywane w rozwiązaniach, usługach i produktach Cisco. Talos udostępnia bardzo dużo informacji dla administratorów odpowiedzialnych za bezpieczeństwo IT w firmie.
Bezpieczna poczta e-mail dla firmy
Profesjonalne rozwiązanie w zakresie poczty elektronicznej dla firmy, jakim jest Microsoft Exchange Online, zdecydowanie podnosi odporność organizacji na ataki ransomware. EO oferowany jest w ramach autonomicznych planów usługi (np. plan 1 lub plan 2) oraz jako element wybranych planów Microsoft 365.
Korzystanie z Exchange Online znacząco zwiększa bezpieczeństwo użytkowników dzięki zawartym w usłudze dodatkowym korzyściom, jakie daje Exchange Online Protection. EOP zapewnia skuteczną ochronę poczty przed spamem, oprogramowaniem malware oraz znanymi zagrożeniami.
Oprócz niezawodności, bezproblemowej synchronizacji, doskonałych parametrów skrzynki, licznych udogodnień dla użytkowników, kluczową zaletą Exchange Online jest możliwość wdrożenia uwierzytelniania dwuskładnikowego, zgodnie ze standardem Office 365 Tier C.
Ochrona DNS dla firmy
Rozwiązanie bezpieczeństwa działające na warstwie DNS, może być doskonałą pierwszą linią ochrony dla firmy. Cisco Umbrella to łatwo skalowalne, efektywne i elastyczne rozwiązanie, łączące w sobie kilka funkcjonalności związanych z bezpieczeństwem sieci IT w organizacji.
Umbrella uruchamia się szybko w infrastrukturze firmy i dodatkowo daje możliwość wdrażania polityk bezpieczeństwa. Oprócz bezpieczeństwa warstwy DNS, Umbrella zapewnia bezpieczną bramkę sieciową, firewall świadczony w chmurze, broker bezpieczeństwa korzystania z aplikacji chmurowych.
Umbrella zapewnia stałą ochronę dla urządzeń, użytkowników zdalnych i oddziałów firmy. Podczas korzystania z Internetu, każda próba połączenia się ze złośliwą stroną, adresem IP, aplikacją chmurową jest blokowana zanim ustanowione zostanie połączenie.
Korzystanie z Cisco Umbrella minimalizuje szanse na wystąpienie negatywnych zdarzeń, takich jak: phishing, malware, ransomware, botnet.
Ochrona antywirusowa dla firmy
W obszarach punktów styku użytkowników z infrastrukturą IT potrzebna jest ochrona antywirusowa. Komputery, serwery plików oraz rozwiązania RDP są szczególnie narażone na oddziaływanie złośliwego oprogramowania, które pracownicy mogą nieświadomie rozprzestrzeniać.
ESET przygotował rozwiązania przeznaczone do ochrony antywirusowej dla firm, które wyróżniają się skutecznością oraz łatwością implementacji.
Rozwiązania ESET Business Solutions mogą być dostosowane do konkretnych potrzeb organizacji i wdrażane na różnych platformach. Działanie produktów ESET nie obciąża infrastruktury, aktualizacje są lekkie i nie spowalniają sieci, a zarządzanie odbywa się za pomocą dostępnego zestawu narzędzi pozwalających na pełną kontrolę administratora, jeśli chodzi o utylizację łącza i zasobów.
ESET Endpoint Security, oprócz sprawnej ochrony antywirusowej, zapewnia ochronę Firewall, kontrolę sieci web oraz ochronę przed botnet.
Firewall nowej generacji
Zapora sieciowa nowej generacji Cisco (NGFW) to sprawdzone rozwiązanie podnoszące bezpieczeństwo sieci w organizacji, które może być zainstalowane w ramach infrastruktury w serwerowni lub w chmurze. Firewall Cisco korzysta ze zintegrowanych źródeł informacji o pojawiających się zagrożeniach, świadcząc zaawansowaną ochronę przed złośliwym oprogramowaniem, włamaniami oraz cyberatakami, stając się podstawą bezpieczeństwa infrastruktury informatycznej w firmie. Firewall Cisco jest w stanie filtrować adresy URL i weryfikować tożsamość użytkowników, wykrywając nawet niewielkie zagrożenia.
Zaawansowana ochrona przed malware AMP (Cisco Advanced Malware Protection) zapewnia ochronę przed złośliwym oprogramowaniem wraz z usługą sandboxing.