Новий підхід до захисту ідентифікаційних даних запобігає критичній вразливості, викликаній програмами-вимагачами. Однак майже жодна організація не в змозі завчасно запобігти автоматизованому розповсюдженню корисного навантаження програм-вимагачів після того, як вони обійдуть захист доставки та виконання. Коментар Мартіна Кулендіка, регіонального директора з продажу DACH у Silverfort.
Кібервимагання програм-вимагачів залишається однією з головних загроз безпеці, з якою стикається бізнес. Загальною практикою кібербезпеки сьогодні є захист від етапів доставки та виконання цих атак. Однак майже жодна організація не в змозі завчасно запобігти автоматизованому поширенню корисного навантаження програм-вимагачів після того, як вони обійшли захист доставки та виконання. Оскільки програми-вимагачі роблять велику різницю між зараженням однієї кінцевої точки та масовим шифруванням корпоративних даних, відсутність можливості запобігти цьому є критичною вразливістю безпеки. Тому заходи захисту пояснюються нижче для кожної фази атаки програм-вимагачів – від доставки через виконання до автоматичного розповсюдження.
Заходи захисту від доставки програм-вимагачів
На етапі доставки зловмисники розміщують програмне забезпечення-вимагач на комп’ютері жертви. Найпоширеніші методи, якими користуються кіберзлочинці, включають фішингові електронні листи, скомпрометований доступ до RDP (протоколу віддаленого робочого столу) і атаки, коли кіберзлочинці заражають веб-сайти, які часто відвідують співробітники.
Захист забезпечується шлюзами безпеки електронної пошти, які сканують електронні листи для виявлення та видалення небезпечного вмісту до взаємодії з користувачем, платформами захисту кінцевих точок, які запобігають завантаженню потенційного зловмисного програмного забезпечення, і багатофакторною автентифікацією (MFA) для з’єднань RDP, що запобігає зловмисникам підключатися за допомогою скомпрометованих облікових даних.
Заходи захисту від виконання програм-вимагачів
На етапі виконання програма-вимагач, успішно доставлена на робочу станцію або сервер, виконується з метою шифрування файлів даних на комп’ютері.
Компанії захищають себе від цього, використовуючи платформи захисту кінцевих точок (EPP) на своїх робочих станціях і серверах. EPP має на меті припинити виконання будь-якого процесу, виявленого як програмне забезпечення-вимагач, повністю запобігаючи зловмисному шифруванню.
Захист від автоматичного розповсюдження програм-вимагачів
На етапі розповсюдження програмне забезпечення-вимагач копіюється на багато інших комп’ютерів у корпоративному середовищі за допомогою зловмисної автентифікації з скомпрометованими обліковими даними. Однією з найбільш вразливих поверхонь атаки є спільні (загальні) папки. У корпоративному середовищі кожен користувач має доступ принаймні до деяких папок. Це відкриває шлях для поширення програм-вимагачів.
Як пояснювалося раніше, це стадія, на якій завдано найбільшої шкоди. Однак ця фаза зараз є сліпою плямою в захисті безпеки підприємства. Сьогодні немає жодного рішення безпеки, яке могло б запобігти автоматичному поширенню програм-вимагачів у режимі реального часу. На практиці це означає, що програмне забезпечення-вимагач, якому вдається обійти заходи безпеки для доставки та виконання (а певний відсоток цих варіантів завжди так), може поширюватися в корпоративному середовищі та шифрувати кожну машину, до якої потрапляє. І навіть коли EPP стають кращими у захисті від нових штамів зловмисного програмного забезпечення, суб’єкти загроз також розробляють кращі методи ухилення та більш приховані корисні навантаження (навантаження), що робить таке ухилення дуже ймовірним сценарієм.
виклик захисту
Щоб краще зрозуміти причину цієї вразливості, розглянемо, як працює автоматичне розповсюдження програм-вимагачів.
Існує кінцева точка під назвою «нульовий пацієнт», де спочатку запускалося програмне забезпечення-вимагач. Щоб поширитися на інші комп’ютери в зоні, зловмисне програмне забезпечення використовує скомпрометовані облікові дані та виконує базову автентифікацію, надаючи іншому комп’ютеру дійсне (але скомпрометоване) ім’я користувача та облікові дані. Хоча ця діяльність є на 100 відсотків зловмисною в своєму контексті, вона, по суті, ідентична будь-якій законній автентифікації в середовищі. Постачальник ідентифікаційної інформації – у цьому випадку Active Directory – не може виявити цей шкідливий контекст. Тому він схвалить підключення.
Отже, тут криється сліпа пляма в захисті від програм-вимагачів: з одного боку, жоден продукт безпеки не може блокувати автентифікацію в режимі реального часу, а з іншого боку, єдиний продукт, який може зробити це можливим – постачальник ідентифікаційних даних – не може розрізняти між законною та зловмисною автентифікацією.
Unified Identity Protection запобігає автоматичному поширенню програм-вимагачів
Unified Identity Protection — це безагентна технологія, яка вбудовано інтегрується з постачальниками ідентифікаційних даних у корпоративному середовищі для здійснення постійного моніторингу, аналізу ризиків і примусового застосування політики доступу для кожної спроби доступу до будь-якого локального та хмарного ресурсу. Таким чином, уніфіковане рішення для захисту ідентифікаційних даних поширює автентифікацію на основі ризиків і багатофакторну автентифікацію на ресурси та інтерфейси доступу, які раніше не могли бути захищені, включаючи інтерфейси віддаленого доступу командного рядка Active Directory, на яких покладається автоматичне розповсюдження програм-вимагачів.
Завчасно запобігати атакам
Це може проактивно запобігати атакам, які зловживають скомпрометованими обліковими даними для доступу до корпоративних ресурсів, включаючи автоматичне розповсюдження програм-вимагачів. Це пояснюється тим, що зловмисне програмне забезпечення використовує скомпрометовану автентифікацію облікових даних для поширення в цільовому середовищі, з особливою прихильністю до спільних папок.
Щоб забезпечити захист у режимі реального часу від автоматичного розповсюдження програм-вимагачів, Unified Identity Protection виконує такі дії:
1. Постійний моніторинг
Unified Identity Protection безперервно аналізує автентифікацію облікових записів користувачів і спроби доступу, створюючи дуже точний поведінковий профіль звичайної діяльності користувача та комп’ютера.
2. Аналіз ризиків
У разі автоматичного розповсюдження програм-вимагачів відбувається кілька одночасних спроб входу з однієї машини та облікового запису користувача. Механізм ризиків Unified Identity Protection Platform негайно виявляє цю аномальну поведінку та підвищує оцінку ризику як для облікового запису користувача, так і для комп’ютера.
3. Застосування політики доступу
Unified Identity Protection дає змогу користувачам створювати політики доступу, які використовують оцінку ризиків у реальному часі для активації захисних заходів: наприклад, посиленої автентифікації за допомогою MFA або навіть повного блокування доступу. Політика проти автоматичного розповсюдження програм-вимагачів вимагає MFA щоразу, коли рейтинг ризику облікового запису користувача є «Високим» або «Критичним» і застосовується до всіх інтерфейсів доступу — Powershell, CMD і CIFS, спеціального (виділеного) протоколу для спільного доступу до мережевої папки.
Якщо цю політику ввімкнено, будь-яка спроба програми-вимагача поширитися на інший комп’ютер не дозволить з’єднання, якщо не буде проведено перевірку MFA для фактичних користувачів, чиї облікові дані було скомпрометовано. Це означає, що поширенню запобігти, а атака обмежена початково зараженою кінцевою точкою «нульовий пацієнт».
Таким чином, цей спеціальний підхід до захисту ідентифікаційної інформації може запобігти найбільш фатальному компоненту атак програм-вимагачів – автоматизованому поширенню. За допомогою уніфікованого рішення для захисту ідентифікаційної інформації компанії можуть нарешті покрити цю критичну сліпу зону захисту та таким чином значно підвищити свою стійкість проти спроб атак програм-вимагачів.
Більше на Silverfort.com
Про Сільверфорт Silverfort надає першу уніфіковану платформу захисту ідентифікаційної інформації, яка консолідує елементи керування безпекою IAM у корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційної інформації. Використовуючи інноваційну технологію без агентів і проксі, Silverfort легко інтегрується з усіма рішеннями IAM, уніфікуючи їх аналіз ризиків і засоби контролю безпеки та розширюючи їх охоплення на активи, які раніше не могли бути захищені, такі як власні та застарілі програми, ІТ-інфраструктура, файлові системи, командний рядок інструменти, міжмашинний доступ тощо.