Багато компаній вважають, що їхні резервні копії захищають їх від програм-вимагачів. За цим спокусливо проста логіка: якщо ви можете відновити всі свої дані, вас не можуть шантажувати. Алі Карл Гулерман, генеральний директор і генеральний менеджер Radar Cyber Security.
Але цього недостатньо для роздумів: навіть при успішному відновленні після атаки конфіденційну інформацію, таку як дані клієнтів або інтелектуальну власність, все одно можна викрасти. Крім того, зберігається ризик атаки: хакери можуть залишитися в мережі або знову отримати доступ, встановивши чорні двері. У деяких випадках програми-вимагачі використовуються кіберзлочинцями як чиста тактика відволікання, наприклад, для впровадження шпигунського програмного забезпечення в корпоративну мережу. Шкода від атаки програм-вимагачів може бути значною або навіть істотною, навіть якщо дані були відновлені майже без простою.
Тому питання полягає не лише в тому, яке шкідливе програмне забезпечення зловмисники розміщують у компанії, а в тому, як вони проникли в компанію. Оскільки програми-вимагачі змогли проникнути в мережу, в захисті, очевидно, є прогалини. І це треба закрити назавжди.
Комплексна стратегія проти кібератак
Продукти, процеси та експерти
Організаціям, які хочуть запобігти проникненню зловмисників, потрібні відповідні продукти, процеси та експерти з безпеки. Отже, насамперед основні найкращі практики щодо вжиття запобіжних заходів:
1. Визначте найважливіші дані та активи компанії
Будь то інтелектуальна власність, комерційні таємниці, облікові дані для входу чи дані клієнтів: це те, що шукають зловмисники. Тому компанії повинні ідентифікувати свої найбільш конфіденційні дані та точно знати, де вони знаходяться. Після того, як дані були засекречені, їх слід позначити та обмежити доступ. Якщо відповідальні особи точно знають, які їхні дані особливо цінні, вони можуть захистити їх від атак.
2. Навчайте співробітників проти соціальної інженерії
Навчання та підвищення обізнаності співробітників є одним із найважливіших заходів корпоративної безпеки. Фішинг електронної пошти все ще залишається найпоширенішим способом поширення програм-вимагачів. Тому важливо, щоб співробітники знали, як розпізнавати спроби фішингу. Компанії повинні визначити прості процеси, за допомогою яких співробітники можуть повідомляти про це співробітникам служби безпеки компанії.
3. Технології безпеки
Фільтри безпеки електронної пошти, антивірусне програмне забезпечення та брандмауери допомагають блокувати відомі, поширені штами зловмисного програмного забезпечення. Організаціям також слід розгорнути рішення Endpoint Detection and Response (EDR) і Advanced Threat Protection (ATP), щоб оптимізувати виявлення та блокування програм-вимагачів.
4. Тримайте операційні системи та програми в актуальному стані
Невиправлені операційні системи та програми є легкою здобиччю для зловмисників і плацдармом для подальших атак. Тому компанії повинні переконатися, що їхні операційні системи та програмне забезпечення завжди мають найновіші оновлення.
5. Вимкніть макроси
Кілька штамів програм-вимагачів надсилаються як вкладення Microsoft Office. Коли користувач відкриває вкладення, йому пропонується ввімкнути макроси для перегляду вмісту документа. Щойно користувач увімкне макроси, фактичне програмне забезпечення-вимагач завантажується та виконується. Таким чином, макроси мають бути вимкнені за замовчуванням, і співробітники повідомили, що прохання їх увімкнути макроси є червоним прапором.
6. Керуйте правами доступу
Користувачі повинні мати стільки прав доступу, скільки їм потрібно для виконання своїх завдань. Права адміністратора мають бути максимально обмежені. Слід також переконатися, що користувачі-адміністратори повинні підтверджувати всі дії, для яких потрібні підвищені права.
7. Сегментні мережі
Сегментація мережі забезпечує обмеження збитків у разі зараження програмою-вимагачем. Це запобігає поширенню зловмисного програмного забезпечення мережею компанії.
8. Тестування на проникнення
Тестування на проникнення дає компаніям можливість знайти вразливі місця в системі та виправити їх, перш ніж ними зможуть скористатися зловмисники. Тестування на проникнення слід проводити принаймні раз на рік. Тест на проникнення також може бути корисним, коли в корпоративну мережу вносяться значні зміни, наприклад змінюється операційна система або додається новий сервер.
9. Резервне копіювання як крайній засіб
Резервне копіювання, яке регулярно виконується та перевіряється на функціональність, є необхідною частиною архітектури безпеки. Вони також допомагають підтримувати доступність бізнес-процесів. Добре відома стратегія 3-2-1 рекомендована для резервного копіювання: вона рекомендує захистити три копії даних на двох різних типах носіїв. Одна з копій знаходиться за межами сайту або офлайн. Однак резервне копіювання є лише останньою запобіжною сіткою, коли все інше вже пішло не так, і аж ніяк не є задовільною стратегією безпеки самі по собі.
10. Тренуйтеся по-справжньому
Компанії повинні запускати симуляцію інциденту програм-вимагачів і практикувати процеси відновлення. І останнє, але не менш важливе: мета полягає в тому, щоб визначити, скільки часу потрібно організації, перш ніж вона знову запрацює в повному обсязі. Ці вправи показують менеджерам, на чому слід зосередитися, щоб покращити процеси відновлення. Про це часто забувають: підготовка до надзвичайної ситуації також вимагає розробки внутрішньої та зовнішньої комунікаційної стратегії. Кожен, хто чітко спілкується в надзвичайних ситуаціях, сприймається як надійний партнер і постачальник.
Цілодобова охорона зміцнює кіберстійкість
Radar Cyber Security, Алі Карл Гюлерман, генеральний директор і генеральний директор (Зображення: Radar Cyber Security).
Коли справа доходить до захисту від кібератак, більшості організацій сьогодні в основному бракує персоналу та досвіду. Тому для комплексної профілактики таких атак, у тому числі програм-вимагачів, і швидкого реагування компаніям слід розглянути власний Центр кіберзахисту або CDC як послугу, оскільки це може значно посилити їх кіберстійкість. Щохвилини виникають тисячі кіберзагроз. Технологія може фільтрувати багато відомих загроз. Але лише цілодобовий Центр кіберзахисту може допомогти організаціям проаналізувати величезну кількість сповіщень, нових загроз і аномалій, які визначає інфраструктура технічної безпеки.
Центр кіберзахисту або SOC
Центр кіберзахисту, також відомий як Центр безпеки (SOC), об’єднує експертів, процеси та технології з ІТ-безпеки. У CDC навчені експерти постійно перевіряють Інтернет-трафік, мережі, настільні комп’ютери, сервери, кінцеві пристрої, бази даних, програми та інші ІТ-системи на наявність ознак інциденту безпеки. Будучи командним центром безпеки компанії, CDC відповідає за безперервний моніторинг, аналіз і оптимізацію ситуації з безпекою, щоб швидко виявляти атаки та ініціювати відповідні контрзаходи в разі порушення безпеки.
Програми-вимагачі залишатимуться однією з найбільших загроз безпеці для бізнесу. Одних тільки заходів недостатньо, щоб захистити себе. Але завдяки багаторівневому підходу, який включає безперервне навчання співробітників, надійні процеси для забезпечення безперервності бізнесу, сучасні технології та професійну допомогу експертів із безпеки, ризики та можливі наслідки атак здирників можна значно зменшити.
Більше на RadarCS.com
Про Radar Cyber Security
Radar Cyber Security керує одним із найбільших центрів кіберзахисту в Європі в центрі Відня на основі власної технології Cyber Detection Platform. Керуючись сильним поєднанням людських знань і досвіду в поєднанні з останніми технологічними розробками десятирічної науково-дослідної роботи, компанія поєднує комплексні рішення для завдань, пов’язаних із безпекою ІТ та ОТ, у своїх продуктах RADAR Services і RADAR Solutions. Ядром є найкраща у своєму класі платформа кібервиявлення RADAR Platform, яка використовує оркестровку, автоматизацію та реагування для щоденного моніторингу інфраструктури лідерів ринку в усіх галузях промисловості та в державному секторі. Застосовується цілісний підхід, який охоплює як IT, так і OT ландшафти компаній і органів влади. Це робить Radar Cyber Security унікальним центром ноу-хау з кібербезпеки в центрі Європи.