Kuinka suojata ja palauttaa yrityksesi lunaohjelmilta

Yhdysvallat on valmistautuva täysimääräisesti Wanna Decryptor -haittaohjelmakantaan perustuvan maailmanlaajuisen ransomware-epidemian vaikutuksiin. On tärkeää suojata yrityksesi ja tietosi tällä nopeasti leviävältä uhkalta, mutta kun olemme ohittaneet sen, sinun on muistettava, että Wanna Decryptor on vain meluisin esimerkki ransomware-ongelmasta.

Ransomware on tiedossa kolme asiaa: se on pelottavaa, se kasvaa nopeasti ja se on iso yritys. FBI: n Internet Crime Valituskeskuksen (IC3) mukaan yli 992 CryptoWall-asiaan liittyvää valitusta saatiin huhtikuun 2014 ja kesäkuun 2015 välisenä aikana, mikä johti yli 18 miljoonan dollarin tappioihin. Tämä pahanlaatuinen menestys heijastuu ransomware-ohjelmien kasvunopeuteen Infoblox DNS Threat Index -sivun avulla, joka ilmoitti ransomware-ohjelmille luotujen uusien verkkotunnusten 35-kertaisen kasvun vuoden 2016 ensimmäisellä neljänneksellä (verrattuna vuoden 2015 viimeiseen neljännekseen).

Yleensä ransomware pudottaa salatun seinän yrityksen ja sisäisen tiedon ja sovellusten välillä, joita yrityksen on toimittava. Mutta nämä hyökkäykset voivat olla paljon vakavampia kuin yksinkertaisesti tietojen käyttökelvottomuus. Jos et ole valmistautunut, yrityksesi voi hiukan pysähtyä.

Kysy vain Hollywood Presbyterian Medical Centeriltä. Kauan ennen Wanna Decryptoria sairaala sai tuskallisen oppitunnin, kun henkilökunta menetti pääsyn tietokoneisiinsa ransomware-puhkeamisen aikana vuoden 2016 alkupuolella. Sairaala maksoi 17 000 dollarin lunnaat sen jälkeen, kun työntekijät viettivät 10 päivää faksien ja paperikarttojen perusteella. Tai kysy Tewksburyn poliisiosastolta. Huhtikuussa 2015 he maksoivat lunnaita saadakseen takaisin salatut pidätys- ja tapahtumarekisterit.

Kuinka yritykset tarttuvat?

Jos Wanna Decryptorille löytyy hopeavuori millä tahansa tasolla, se tarkoittaa, että sen avulla voidaan epäilemättä todistaa, että ransomware on uhka todellinen. Mikään yritys tai työntekijä ei ole immuuni mahdolliselle lunastusohjelmien hyökkäykselle. On tärkeää ymmärtää, kuinka ransomware tartuttaa tietokoneita, ennen kuin keskustellaan siitä, kuinka suojata yritystäsi sillä tai miten reagoida, jos olet vaarassa. Tartunnan alkuperän ja moodin ymmärtäminen tarjoaa oivalluksia pysyä turvassa.

Ransomware tulee tyypillisesti yhdestä kahdesta lähteestä: vaarantuneista verkkosivustoista ja sähköpostin liitteistä. Vaarannettu laillinen verkkosivusto voi isännöidä koneesi tartuttavaa hyväksikäyttöpakettia, yleensä selaimen hyväksikäytön kautta. Samaa menetelmää voi käyttää tietojenkalastelusivusto. Ajotiedosto lataa ransomware-ohjelmiston ja aloittaa tiedostojen salaamisen.

Haitallisen sähköpostin liitteen tapauksessa käyttäjiä huijataan avaamaan liite, joka sitten asentaa ransomware. Tämä voi olla yhtä yksinkertainen kuin väärennetty sähköpostiviesti, jossa on suoritettava liite, tartunnan saanut Microsoft Word-tiedosto, joka huijaa sinut makrojen käyttöönottoon, tai tiedosto, jolla on uudelleennimetty laajennus, kuten tiedosto, joka päättyy "PDF", mutta on todella EXE-tiedosto (suoritettava).

"Molemmissa tapauksissa jonkinlaista sosiaalista suunnittelua käytetään houkuttelemaan käyttäjiä tartuttamaan itseään", sanoo PandaLabsin tekninen johtaja Luis Corrons Panda Securityssa. "Tämä tarjoaa yrityksille loistavan mahdollisuuden kouluttaa käyttäjiään välttämään näitä riskejä, mutta valitettavasti suurin osa pienyrityksistä laiminlyö tämän ja kaipaa mahdollisuuden pelastaa itselleen suuri päänsärky."

Tällä hetkellä ei ole hopeamuotoa, joka takaa organisaatiosi turvallisuuden lunasuojaohjelmilta. Jokaisen yrityksen tulisi kuitenkin suorittaa viisi vaihetta, jotka voivat vähentää huomattavasti niiden tartuntamahdollisuuksia - ja myös lievittää kipua, jos hyökkäys onnistuu.

Valmistella

Avainkomponentti lopetusohjelman hyökkäykseen valmistautumiseen on vahvan varmistusstrategian kehittäminen ja säännöllisten varmuuskopioiden tekeminen. "Vahvat varmuuskopiot ovat avainasemassa anti-ransomware-strategiassa", sanoi Philip Casesa, ISC2: n tuotekehitysstrategia. Se on globaali voittoa tavoittelematon organisaatio, joka sertifioi tietoturva-ammattilaisia. "Kun tiedostosi on salattu, ainoa mahdollinen vaihtoehto on palauttaa varmuuskopio. Muut vaihtoehdot ovat maksaa lunastus tai kadottaa tiedot."

"Sinulla on oltava jonkinlainen varmuuskopio, todellinen varmuuskopioratkaisu määrittelemistäsi varoista on välttämätöntä yrityksellesi", jatkoi Casesa. "Reaaliaikainen varmuuskopiointi tai tiedostojen synkronointi varmuuskopioi vain salatut tiedostosi. Tarvitset vankan varmuuskopioprosessin, jossa voit palauttaa muutaman päivän takaisin ja palauttaa paikalliset ja palvelinsovellukset ja tiedot."

Panda Securityn Corrons tarjoaa lisävaroituksen: varmuuskopiot "ovat kriittisiä siinä tapauksessa, että puolustustasi epäonnistuu, mutta varmista, että olet poistanut lunasuojaohjelman kokonaan ennen varmuuskopioiden palauttamista. PandaLabsissa olemme nähneet ransomware-salauksen varmuuskopiotiedostojen".

Hyvä harkittavana oleva strategia on porrastettu tai hajautettu varmuuskopioratkaisu, joka pitää useita kopioita varmuuskopiotiedostoista eri paikoissa ja eri medioilla (joten tartunnan saaneella solmulla ei ole heti pääsyä sekä nykyisiin tiedostovarastoihin että varmuuskopioarkistoihin). Tällaisia ​​ratkaisuja on saatavana useilta pieniltä ja keskisuurilta yrityksiltä (SMB) toimitettavilta online-varmuuskopiointitoimittajilta sekä useimmilta DRaaS-palveluntarjoajilta.

Estää

Kuten aiemmin mainittiin, käyttäjän koulutus on tehokas, mutta usein huomaamatta jätetty ase arsenaalissasi lunnasohjelmia vastaan. Harjoittele käyttäjiä tunnistamaan sosiaalisen insinöörin tekniikat, välttämään napsautussyöttöä ja älä koskaan avaa liitettä jollekulta, jota he eivät tunne. Heidän tuntemiensa ihmisten liitteitä tulisi tarkastella ja avata varoen.

"Ymmärtäminen, kuinka ransomware leviää, tunnistaa käyttäjän käytökset, joita on muutettava yrityksesi suojelemiseksi", Casesa sanoi. "Sähköpostien liitetiedostot ovat suurin riski saada tartunnat, ajantasaiset lataukset ovat numero kaksi ja sähköpostissa esiintyvät haitalliset linkit ovat numero kolme. Ihmisillä on merkittävä tekijä saada lunastettuja ohjelmia."

Käyttäjien kouluttaminen harkitsemaan ransomware-uhkia on helpompaa kuin luulet, etenkin pk-yrityksille. Tietysti se voi tapahtua pitkään pidetyn sisäisen seminaarin perinteisessä muodossa, mutta se voi myös olla yksinkertaisesti joukko lounasarjoja, joissa IT: llä on mahdollisuus tiedottaa käyttäjille vuorovaikutteisen keskustelun kautta - muutaman pizzan alhaisesta hinnasta. Voit jopa harkita ulkopuolisen tietoturvakonsultin palkkaamista koulutuksen järjestämiseksi, sisältäen joitain lisävideoita tai reaalimaailman esimerkkejä.

Suojella

Paras paikka aloittaa SMB: n suojeleminen lunasuojaohjelmilta on nämä neljä suosituinta lieventämisstrategiaa: sovellusten sallittujen luettelointi, sovellusten paikkaus, käyttöjärjestelmien korjaaminen ja järjestelmänvalvojien oikeuksien minimointi. Casesa huomautti nopeasti, että "nämä neljä valvontaa hoitavat vähintään 85 prosenttia haittaohjelmauhkista".

Pienille ja keskisuurille yrityksille, jotka luottavat edelleen tietoturvaan yksittäisiin virustentorjuntaohjelmiin (AV), siirtyminen hallittuun päätelaitteiden tietoturvaratkaisuun antaa IT: lle mahdollisuuden keskittää koko organisaation tietoturva ja hallita nämä toimenpiteet täysin. Tämä voi lisätä huomattavasti AV- ja haittaohjelmien torjuntaa.

Kumpi ratkaisu valitset, varmista, että se sisältää käyttäytymiseen perustuvat suojaukset. Kaikki kolme asiantuntijamme olivat yhtä mieltä siitä, että allekirjoituspohjainen haittaohjelmien torjunta ei ole tehokasta nykyaikaisiin ohjelmistouhkiin.

Älä maksa

Jos et ole varautunut ja suojannut itseäsi lunasuojaohjelmilta ja saat tartunnan, voi olla houkutusta maksaa lunnaat. Kolme asiantuntijamme olivat kuitenkin yhtä mieltä vastauksestaan, kun heiltä kysyttiin, oliko tämä viisasta. Corrons huomautti nopeasti, että "maksaminen on riskialtista. Nyt menetät varmasti rahasi ja ehkä saat tiedostosi salaamattomia". Loppujen lopuksi miksi rikollisesta tulisi kunniallista, kun olet maksanut hänelle?

Maksamalla rikollisille annat heille kannustimen ja keinot kehittää parempia lunaohjelmia. "Jos maksat, saat siitä paljon pahemman kaikille muille", Casesa sanoo. "Pahat pojat käyttävät rahaa kehittääksesi hauskempia haittaohjelmia ja tartuttaakseen muita."

Tulevien uhrien suojeleminen ei välttämättä ole mielenkiintoista, kun yrität harjoittaa yritystä sen panttivankina pidetyillä tiedoilla, mutta katsokaa sitä vain tästä näkökulmasta: että seuraava uhri voi olla sinä uudelleen, tällä kertaa taistelemalla vielä enemmän tehokas haittaohjelma, jonka kehittämisessä olet auttanut maksamaan.

Casesa huomauttaa, että "maksamalla lunnaat, sinusta on tullut nyt rikollisten kypsempi kohde, koska he tietävät sinun maksavan." Sinusta tulee myyntikielessä pätevä johtaja. Aivan kuten varkaiden keskuudessa ei ole kunniaa, ei ole mitään takeita siitä, että lunasuojaohjelmat poistetaan kokonaan. Rikollisella on pääsy koneeseesi, ja hän voi salata tiedostosi ja jättää haittaohjelman sen seuraamaan toimintaa ja varastaa lisätietoja.

Pysy tuottavana

Jos ransomware-ohjelmien aiheuttamat vahingot koskevat liiketoiminnan häiriöitä, niin miksi et ryhdy toimiin liiketoiminnan jatkuvuuden lisäämiseksi siirtämällä pilveen? "Pilviltä saamasi suojaustaso ja yleinen turvallisuus ovat paljon korkeammat kuin mitä pienellä yrityksellä olisi varaa itsellesi", huomauttaa Brandon Dunlap, Black & Veatchin globaali CISO. "Pilvipalveluntarjoajilla on haittaohjelmien tarkistus, parannettu todennus ja lukuisat muut suojaukset, jotka tekevät lunastusohjelmien hyökkäyksestä kärsivien todennäköisyydestä erittäin pienen."

Siirrä ainakin sähköpostipalvelimet pilveen. Dunlap huomauttaa, että "sähköposti on valtava hyökkäysvektori ransomware-ohjelmille. Siirrä se pilveen, jossa palveluntarjoajat yhdistävät palveluun useita tietoturvatarkistuksia, kuten haittaohjelmien skannauksen ja DLP: n." Lisäsuojauskerroksia, kuten välityspalvelinpohjaisen sivuston maine ja liikenteen skannaus, voidaan lisätä monien pilvipalvelujen avulla ja ne voivat edelleen rajoittaa altistumistasi lunaohjelmille.

Dunlap on innostunut suojauksista, joita pilvi tarjoaa lunaohjelmia vastaan. "Olemme fantastisella hetkellä teknologiahistoriassa, jolla on monia pienikitkaisiä ratkaisuja moniin pienyritysten kohtaamiin ongelmiin", sanoi Dunlap. "Tämä tekee pienyrityksistä ketterämpiä IT-näkökulmasta."

Jos paikallinen koneesi tarttuu lunasuojaohjelmiin, sillä ei ehkä ole edes merkitystä, ovatko tietosi pilvessä. Pyyhi paikallinen koneesi, kuvaa se uudelleen, muodosta yhteys pilvipalveluihisi ja olet taas liike-elämässä.

Älä odota, että kenkä putoaa

Tämä ei ole yksi niistä tilanteista, joissa odota ja katso -lähestymistapa on paras taktiikka. Wanna Decryptor osoittaa selvästi, että ransomware on siellä; se kasvaa jättiläismäisesti, sekä hienostuneisuuden että pahurien suosion vuoksi - ja se etsii ehdottomasti sinua. Jopa tämän nykyisen uhan räjähtämisen jälkeen, on kriittisen tärkeää, että ryhdyt toimenpiteisiin tietojen ja päätepisteiden suojaamiseksi tartunnalta.

Luo säännöllisiä varmuuskopioita, kouluta työntekijöitä tartuntojen välttämiseksi, lataa sovelluksia ja käyttöjärjestelmiä, rajoita järjestelmänvalvojan oikeuksia ja aja allekirjoitukseen perustuvaa haittaohjelmien torjuntaa. Jos noudatat näitä neuvoja, voit estää kaikki paitsi kaikkein verenvuotoisimmat infektiot (ja todennäköisesti ne, jotka eivät ole kohdistuneet pk-yrityksiin). Jos hyökkäys käy läpi puolustustasi, hanki selkeä, testattu suunnitelma IT: lle tartunnan puhdistamiseksi, varmuuskopioiden palauttamiseksi ja normaalin liiketoiminnan jatkamiseksi.

Jos et noudata näitä parhaita käytäntöjä ja sait tartunnan, tiedä, että lunastuksen maksamisella ei ole takuita, se kvalifioi sinut rikollisten imuriksi ja antaa heille keinot kehittää vielä salaperäisempiä lunastusohjelmia (ja kannustimen) käyttää sitä sinulle mahdollisimman usein). Älä ole uhri. Käytä sen sijaan nyt hyötyäksesi myöhemmin: valmistaudu, estä, suojaa ja pysy tuottavana.