Wirusy vs. ransomware – jaka jest różnica?
29 października 2020
Wirusy komputerowe vs. ransomware
Złośliwe oprogramowanie
Określenie malware wzięło się z połączenia słów malicious (złośliwy) oraz software (oprogramowanie). Malware to niepożądane złośliwe oprogramowanie zaprojektowane do wyrządzenia szkody w systemie komputerowym lub plikach. Wirusy komputerowe oraz ransomware to przykłady oprogramowania malware. Inne znane rodzaje malware to np.: worms, spyware, adware.
Co to jest wirus komputerowy?
Wirus komputerowy to rodzaj oprogramowania malware, które replikuje się poprzez zapis modyfikujący zawartość pliku, sektora lub jednostki alokacji. Wirus komputerowy może zapisać swój kod w innym programie, przez co zmodyfikowany program staje się nosicielem wirusa komputerowego.
Wirus kopiuje się z jednego komputera na drugi komputer, zazwyczaj czyniąc szkody w miarę rozprzestrzeniania się w sieci. Wirusy różnią się od siebie jeśli chodzi o poziom szkodliwości dla użytkownika. Znane są przykłady wirusów, które w łagodny sposób zaburzają pracę infrastruktury informatycznej w firmie. Najczęściej jednak oddziaływanie wirusów na systemy informatyczne jest silnie negatywne, uwzględniając uszkodzenia oprogramowania lub danych.
Warto pamiętać, że wirusy komputerowe są zbudowane po to, by ograniczać lub uniemożliwiać działanie systemów, zatem kluczowa jest ochrona środowiska IT przed negatywnym wpływem takiego oprogramowania.
Czym jest ransomware?
Ransomware wykorzystuje technikę ataku, która określana jest mianem wymuszenia kryptowirusowego. Atak sprowadza się do zaszyfrowania plików ofiary, które stają się niedostępne. Atakujący wymaga wpłaty okupu, najczęściej w formie jednej z popularnych kryptowalut.
W zamian za wpłatę środków, przestępcy obiecują udostępnienie klucza deszyfrującego, który pozwoli na odzyskanie dostępu do plików oraz danych ofiary. Żądania okupu najczęściej uwzględniają krótki termin wykonania, po przekroczeniu którego dane zostaną bezpowrotnie utracone. Niestety w wielu przypadkach ataków ransomware, nawet po wykonaniu wpłaty dla hakerów, klucze deszyfrujące nie są przesyłane.
Wiele organizacji nie uwzględnia możliwości zapłaty jakiegokolwiek okupu w przypadku doświadczenia skutecznych ataków ransomware wymierzonych w infrastrukturę informatyczną. Taka strategia sprzyja pośredniej eliminacji lub zmniejszeniu skali problemu na świecie. Przestępcy, którym nie uda się wymusić pieniędzy od ofiar ataku, będą odczuwać zmniejszoną motywację do kontynuowania szkodliwego procederu.
Sposób rozprzestrzeniania się wirusów komputerowych
Większość wirusów powiązana jest z plikiem wykonywalnym, co oznacza, że wirus komputerowy może istnieć w systemie w formie uśpionej, do czasu otwarcia pliku lub uruchomienia programu. Wówczas wirus dostaje możliwość replikacji w systemie operacyjnym.
Wirusy rozprzestrzeniają się, gdy zainfekowane oprogramowanie lub pliki przesyłane są między komputerami w sieci, na dysku, w ramach rozwiązań wymiany plików lub za pomocą załączników do wiadomości e-mail.
Wirusy są również kojarzone z rodzajem malware określanym jako robak komputerowy (worm). Robaki rozprzestrzeniają się w sieciach, do których podłączony jest zarażony komputer, poprzez wykorzystanie luk w systemie operacyjnym lub nieuwagę użytkownika. Replikacja oprogramowania worm umożliwia realizację różnych negatywnych działań, takich jak: niszczenie plików, wysyłanie spam, pełnienie roli backdoor dla hakerów. Robak komputerowy, w przeciwieństwie do wirusa, do istnienia nie potrzebuje wykonywalnego pliku jako nosiciela, ponieważ jest jednostką samodzielnie występującą.
Sposób rozprzestrzeniania się ransomware
Istnieje kilka głównych sposobów rozprzestrzeniania się ransomware. Najczęstsze drogi przedostawania się ataków wymuszających okup to: wiadomości e-mail o charakterze phishing, malvertising (reklamy online z umieszczonym przez hakerów złośliwym kodem), zestawy exploitów.
Ransomware szyfruje wybrane pliki, po czym przekazany zostaje komunikat dotyczący żądania okupu w zamian za udostępnienie klucza deszyfrującego. W pewnym uproszczeniu możemy stwierdzić, że ransomware rozprzestrzenia się tak, jak robaki komputerowe.
Jak chronić infrastrukturę IT w firmie?
Bezpieczna infrastruktura IT dla firmy
Przygotowanie silnej i bezpiecznej infrastruktury IT dla firmy pozwala na minimalizację szansy na straty powodowane przez wirusy komputerowe lub ataki ransomware. Budowa infrastruktury informatycznej to złożony proces, który może, w zależności od potrzeb danej organizacji, zająć sporo czasu.
Sposobem na szybkie zapewnienie ochrony przed potencjalnymi negatywnymi skutkami wirusów komputerowych oraz ransomware jest zabezpieczenie krytycznych zagrożeń. Na początek należy zwrócić uwagę na obszary takie, jak: rozwiązania antywirusowe dla urządzeń końcowych, ochrona DNS, bezpieczna usługa poczty e-mail, firewall nowej generacji.
Ochrona antywirusowa
Ochrona antywirusowa jest szczególnie ważna w obszarach styku użytkowników z infrastrukturą IT. Rozwiązania RDP, serwery plików lub komputery są narażone na negatywne oddziaływanie oprogramowania malware, które pracownicy firmy mogą nieświadomie rozpowszechniać.
W obszarze rozwiązań antywirusowych na uwagę zasługuje oferta ESET dla firm, która charakteryzuje się skutecznością oraz łatwością wdrożenia.
ESET Business Solutions można dostosować do konkretnych potrzeb przedsiębiorstwa i wdrażać na różnych platformach. Doświadczenie w pracy z produktami ESET przekonuje, że są to rozwiązania nieobciążające infrastruktury, niespowalniające sieci, posiadające lekkie aktualizacje. Zarządzanie jest efektywne dzięki dostępnemu zestawowi narzędzi dających administratorowi pełną kontrolę oraz feedback w zakresie środowiska IT. ESET Endpoint Security zapewnia również ochronę Firewall oraz kontrolę sieci web i ochronę przed botnet.
Ochrona DNS
Rozwiązanie bezpieczeństwa osadzone w warstwie DNS, jakim jest Cisco Umbrella, łączy w sobie kilka funkcjonalności dla firm (m.in.: bezpieczeństwo warstwy DNS, bezpieczną bramkę sieciową, firewall świadczony w chmurze, broker bezpieczeństwa przy korzystaniu z aplikacji chmurowych). Umbrella to chmurowe, skalowalne i elastyczne rozwiązanie pozwalające na uzyskanie stałej ochrony IT dla użytkowników zdalnych, urządzeń oraz oddziałów firmy.
Umbrella daje się szybko uruchomić w infrastrukturze informatycznej firmy, dodatkowo pozwalając na wdrożenie polityk bezpieczeństwa. Potencjalne zagrożenia eliminowane są zanim dotrą do użytkownika, dzięki temu, że podczas korzystania z Internetu połączenia z niebezpiecznymi adresami IP, złośliwymi stronami, aplikacjami chmurowymi są blokowane. Umbrella to zatem doskonałe narzędzie do minimalizacji szans przez firmę na doświadczenie negatywnych skutków ataków ransomware.
Dodatkową zaletą Cisco Umbrella jest dostarczanie cennych informacji dla administratora IT dotyczących sytuacji w sieci firmowej (logi pozwalające na analizę zachowań lub zdarzeń w sieci dostępne do 30 dni wstecz). Ochrona DNS Cisco Umbrella sprawdza się doskonale w dużych korporacjach, jak również w mniejszych organizacjach bez dedykowanej kadry IT.
Profesjonalna poczta e-mail
Odporność organizacji na ataki ransomware można podnieść dzięki zastosowaniu rozwiązania gwarantującego wysoki poziom bezpieczeństwa w obszarze usługi e-mail. Wiele zagrożeń jest przenoszonych do sieci firmowej za pomocą wiadomości e-mail. Dlatego warto rozważyć wybór rozwiązania w zakresie usługi poczty elektronicznej, które będzie oferowało najwyższy poziom bezpieczeństwa.
Microsoft Exchange Online to profesjonalne rozwiązanie poczty elektronicznej dla firm, które oferowane jest w ramach autonomicznych planów usługi (Plan 1, Plan 2), jak również jako element składowy wybranych planów Microsoft 365.
Bezpieczeństwo usługi Exchange Online osiągane jest dzięki EOP (Exchange Online Protection), które zapewnia ochronę poczty w wielu obszarach, m.in.: przed spamem, przed złośliwym oprogramowaniem (malware) oraz przed innymi znanymi zagrożeniami. Kompletne rozwiązanie zapewniające filtrowanie poczty przychodzącej oraz wychodzącej jest dostępne i domyślnie włączone do użycia, dzięki czemu administrator IT w firmie nie musi dodatkowo poświęcać czasu na konfigurację.
Wiadomości e-mail skanowane są pod kątem wirusów oraz spyware za pomocą kilku silników antymalware. Dodatkowo zapewnione jest silne filtrowanie anty-spam oraz ochrona anty-spoofing (sprawdzanie nagłówka From w wiadomości na wypadek fałszywego wpisu).
Exchange Online charakteryzuje się niezawodnością, doskonałymi parametrami skrzynki pocztowej, bezproblemową synchronizacją z urządzeniami mobilnymi. Organizacje wymagające wyższego poziomu ochrony mogą wdrożyć uwierzytelnianie dwuskładnikowe zgodne ze standardem Office 365 Tier C, listy haseł zbanowanych, dostęp warunkowy oraz Identity Protection (aktywne wykrywanie wycieków danych logowania, maszynowa analiza logowań pod kątem lokalizacji, urządzeń, adresów IP).
Firewall nowej generacji
Zapora sieciowa nowej generacji (Next Generation Firewall) to rozwiązanie podnoszące bezpieczeństwo sieciowe w firmie. NGFW może zostać zainstalowany w serwerowni firmy lub w środowisku chmurowym. Firewall nowej generacji korzysta ze zintegrowanych źródeł informacji o zagrożeniach, zapewniając zaawansowaną ochronę przed złośliwym oprogramowaniem oraz cyberatakami.
Wśród kilku propozycji oferowanych dla firm, na uwagę zasługują rozwiązania Cisco, które są w stanie filtrować adresy URL oraz weryfikować tożsamość użytkowników, wykrywając każde zagrożenie. Wdrożenie zapory sieciowej nowej generacji odbywa się w krótkim czasie i najlepiej przeprowadzić proces wraz z doświadczonym partnerem IT, specjalizującym się w rozwiązaniach Cisco, w celu dostosowania konfiguracji do konkretnych potrzeb firmy. Jedna z licencji wchodzących w skład oferty NGFW to Cisco Advanced Malware Protection (AMP), zapewniająca ochronę sieci przed złośliwym oprogramowaniem wraz z usługą sandboxing.
Zapora sieciowa nowej generacji pozwala uzyskać obraz wszystkich działań w sieci firmowej oraz szybko wykrywać zagrożenia, co przekłada się na zwiększanie odporności sieci na cyberatak.