Kuinka se voi puolustaa lunaohjelmia

Me kaikki tiedämme, että ransomware on yksi tuhoisimmista haittaohjelmavaihtoehdoista siellä. Puhut väärän linkin napsauttamisesta ja siitä, että organisaatiosi tiedot katoavat salattujen juurtuneiden suolaan, tai jopa palvelimen käyttöjärjestelmiin (OS) ja muihin kriittisiin tiedostoihin, jotka vain katoavat yhtenä päivänä. Voit maksaa lunnaat, mutta se voi olla paitsi kallista, mutta se ei myöskään takaa, että pahat pojat antavat sinulle tietosi.

Kun osuma esiintyy, valintasi ovat synkät: toivot joko, että pystyt palauttamaan järjestelmät toimimaan pilvipohjaisilla varmuuskopioilla, tai maksa lunnaita ja toivot, että salauksen avain toimii. Mutta se on vain jos osut. Parempi valinta on estää tiedostojasi salaamasta tai, jos jotkut tiedostot osuvat, hyökkäyksen leviämisen estämiseksi. Tärkeintä on parantaa yrityksesi turvapeliä hyökkäyksien estämiseksi.

Kuinka välttää Ransomware-hyökkäystä

Ensimmäinen askel on se, mitä Israel Barak, päätepisteiden havaitsemisen ja reagoinnin ohjelmistokehittäjän Cybereasonin tietoturvajohtaja (CISO) kutsuu "IT- ja turvallisuushygieniaksi". Tämä tarkoittaa haavoittuvuuksien välttämistä ja sähköposti- ja verkkoliikenteen suodattamista. Se tarkoittaa myös käyttäjien koulutuksen järjestämistä ja varmistamista, että käyttöjärjestelmän, sovellusten ja tietoturvatuotteiden korjaustiedot ovat täysin ajan tasalla.

Toinen vaihe on liiketoiminnan jatkuvuuden ja elpymisen strategia. Tämä tarkoittaa sitä, että todella tehdään suunnitelma tilanteille, joissa asiat menevät huonosti sen sijaan, että vain toivoisivat, että eivät tule. Barakin mukaan tämä sisältää varmuuskopioiden luomisen ja testaamisen, tietämisen siitä, kuinka palautat vaikutetut palvelut, tietämisen, mistä saat atk-resursseja palautusta varten, ja tietämisen, että täydellinen palautussuunnitelmasi toimii, koska olet itse testannut sen.

Kolmas vaihe on haittaohjelmien torjunta. Barakin mukaan tähän sisältyy suojaukset verkkoon pääsyltä haittaohjelmilta ja suojaukset haittaohjelmien suorittamiselta järjestelmissäsi. Onneksi suurin osa haittaohjelmista on melko helppo havaita, koska haittaohjelmien tekijät jakavat usein onnistuneita rutiineja.

Miksi Ransomware on erilainen

Valitettavasti ransomware ei ole kuin muut haittaohjelmat. Barak kertoi, että koska ransomware on vain tietokoneessa lyhytaikaisesti, ei ole vaikeaa välttää havaitsemista, ennen kuin se on salannut loppuun ja lähettänyt ransomware-viestin. Lisäksi, toisin kuin muun tyyppiset haittaohjelmat, tiedostojen salausta tosiasiallisesti suorittava haittaohjelma voi saapua uhrin tietokoneisiin vasta hetkiä ennen salauksen alkamista.

Kaksi suhteellisen viimeaikaista haittaohjelmatyyppiä - Ryuk ja SamSam - tulevat järjestelmiisi ihmisen ohjaamana. Ryukin tapauksessa kyseinen operaattori sijaitsee todennäköisesti Pohjois-Koreassa ja SamSamin kanssa Iranissa. Kummassakin tapauksessa hyökkäys alkaa etsimällä käyttäjätiedot, jotka sallivat pääsyn järjestelmään. Siellä ollessaan operaattori tutkii järjestelmän sisällön, päättää salattavat tiedostot, korottaa käyttöoikeuksia, etsii ja deaktivoi haittaohjelmien torjuntaohjelmat ja linkit salattaviin varmuuskopioihin tai joissakin tapauksissa poistaa varmuuskopiot. Sitten, ehkä kuukausien valmistelun jälkeen, salauksen haittaohjelma ladataan ja käynnistetään. se voi saada työnsä päätökseen minuuteissa - aivan liian nopeasti, jotta ihmisen toimija puuttuisi asiaan.

"SamSamissa he eivät käyttäneet tavanomaista tietojenkalastelua", selitti kyberturvallisuusratkaisujen kehittäjän Comodo Cybersecurity -yrityksen ja entisen Valkoisen talon CIO: n johtaja Carlos Solari. "He käyttivät verkkosivustoja ja ihmisten varastettuja valtakirjoja ja käyttivät raa'aa voimaa salasanojen saamiseksi."

Solari sanoi, että näitä tunkeutumisia ei usein havaita, koska niihin ei ole haittaohjelmia loppuun saakka. Mutta hän sanoi, että oikein tehdyllä tavalla on olemassa tapoja estää hyökkäys tässä vaiheessa. Hänen mukaansa rikolliset seuraavat yleensä verkon hakemistopalveluita ja hyökkäävät niihin, jotta he voivat saada hallinnollisen tason oikeudet, joita heidän hyökkäyksensä varten tarvitaan. Tässä vaiheessa tunkeutumisen havaitsemisjärjestelmä (IDS) voi havaita muutokset ja jos verkko-operaattorit tietävät mitä etsiä, he voivat lukita järjestelmän alas ja potkaista tunkeilijoita.

"Jos he kiinnittävät huomiota, niin he ymmärtävät, että joku on sisällä", Solari sanoi. "On tärkeää löytää sisäinen ja ulkoinen uhatiedustelu. Etsit poikkeavuuksia järjestelmässä."

Kuinka suojautua

Pienemmille yrityksille Solari ehdottaa, että yritykset löytävät palveluna hallitun havaitsemisen ja reagoinnin (MDR) tietoturvaoperaatioiden keskuksen. Hän lisäsi, että suuret yritykset saattavat haluta löytää hallitun tietoturvapalvelun tarjoajan (MSSP). Kummankin ratkaisun avulla on mahdollista pitää silmällä tietoturvatapahtumat, mukaan lukien vaiheistot ennen suurta ransomware-hyökkäystä.

Verkon seurannan lisäksi on myös tärkeää tehdä verkostasi niin, että se on niin rikoksentekijöiden kannalta epäasiallinen. Malwarebyte Labsin johtajan Adam Kujawan mukaan kriittinen vaihe on verkon segmentointi siten, että tunkeilija ei voi vain liikkua verkon läpi ja päästä kaikkeen. "Sinun ei pitäisi pitää kaikkia tietoja samassa paikassa", Kujawa sanoi. "Tarvitset syvemmän tietoturvan."

Mutta jos käy ilmi, että et ole havainnut tunkeutuvia vaiheita ennen ransomware-hyökkäystä, on toinen taso tai vastaus, joka on haittaohjelmien käyttäytymisen havaitseminen, kun se aloittaa tiedostojen salauksen.

"Mitä olemme lisänneet, on käyttäytymismekanismi, joka perustuu käyttäytymiseen, joka on tyypillistä lunaohjelmille", Barak selittää. Hänen mukaansa tällainen ohjelmisto tarkkailee mitä ransomware saattaa tehdä, kuten tiedostojen salaamiseen tai varmuuskopioiden poistamiseen, ja sitten se ryhtyy toimiin tappaakseen prosessin ennen kuin se voi aiheuttaa vahinkoa. "Se on tehokkaampi kuin koskaan ennen nähneet ransomware-kannot."

Varhaisvaroitukset ja suojaukset

Varhaisen varoituksen muodostamiseksi Barak sanoi, että Cybereason ottaa uuden askeleen. "Mitä olemme tehneet, on käyttää poikkeusmekanismia", hän sanoi. "Kun Cybereason-ohjelmisto menee päätepisteeseen, se luo sarjan perustiedostoja, jotka on sijoitettu kiintolevyn kansioihin ja jotka saavat ransomware yrittämään salata ne ensin." Hän sanoi, että muutokset näihin tiedostoihin havaitaan välittömästi, Sitten Cybereasonin ohjelmisto tai vastaava Malwarebytes-ohjelmisto lopettaa prosessin, ja monissa tapauksissa säiliöitä haittaohjelma, jotta se ei voi aiheuttaa lisävaurioita.

Joten, on olemassa useita puolustuskerroksia, jotka voivat estää ransomware-hyökkäyksen, ja jos sinulla on kaikki toiminnalliset ja paikallaan, onnistuneen hyökkäyksen on seurattava useita epäonnistumisia tapahtuakseen. Ja voit lopettaa hyökkäykset missä tahansa ketjun varrella.

Pitäisikö sinun maksaa Ransom?

Oletetaanko, että päätät maksaa lunnaat ja palauttaa operaatiot välittömästi? "Joillekin organisaatioille se on toteuttamiskelpoinen vaihtoehto", Barak sanoi.

Sinun on arvioitava liiketoiminnan keskeytyksen kustannukset selvittääksesi, ovatko uudelleen käyttöönotosta kustannukset parempia kuin kunnostamisen kustannukset, kaikki huomioon otetut. Barak sanoi, että yritystoiminnan ransomware-hyökkäyksissä "useimmiten saat tiedostot takaisin".

Mutta Barak sanoi, että jos lunnaan maksaminen on mahdollista, sinulla on muita näkökohtia. "Kuinka valmistaudumme etukäteen mekanismiin, jolla neuvotellaan palvelujen takaisin saamisen kustannuksista? Kuinka maksamme heille? Kuinka me muodostamme mekanismin välittää tällainen maksu?"

Barakin mukaan melkein jokainen ransomware-hyökkäys sisältää keinot kommunikoida hyökkääjän kanssa, ja suurin osa yrityksistä yrittää neuvotella kaupan, johon ransomware-hyökkääjät ovat yleensä avoinna. Voit esimerkiksi päättää, että tarvitset vain osan salattuja koneita, ja neuvottelee vain näiden koneiden palauttamiseksi.

• Paras Ransomware-suojaus vuodelle 2019 Paras Ransomware-suojaus vuodelle 2019
• SamSam Ransomware-hakkerit Rake 5, 9 miljoonalla dollarilla
• 2 iranilaista SamSam Ransomware-hyökkäysten takana, Yhdysvaltain vaatimukset 2 iranilaista SamSam Ransomware-hyökkäyksien takana

"Suunnitelma on asetettava etukäteen. Kuinka vastaat, kuka kommunikoi, kuinka maksat lunnaat?" Barak sanoi.

Maksaminen on toteuttamiskelpoinen vaihtoehto, mutta useimmille organisaatioille se on viimeisen ojan vaihtoehto, ei vastausmenetelmä. Tässä skenaariossa on monia muuttujia, joita et voi hallita, ja maksamallaan kerran, et voi koskaan taata, että sinua ei hyökätä tulevaisuudessa lisää rahaa. Parempi suunnitelma on vankan puolustuksen käyttäminen, joka on riittävän vaikea hajottaa useimmat haittaohjelmahyökkäykset ja voittaa ne harvat, jotka onnistuvat. Mutta riippumatta siitä, mitä päätät, muista, että käytännössä jokainen ratkaisu vaatii varmuuskopiointia uskonnollisesti. Tee se nyt, tee se usein ja testaa myös usein varmistaaksesi, että asiat toimivat sujuvasti.