6-қадамдық Ransomware әрекет ету жоспары

Ransomware — файлдарды шифрлайтын, пайдаланушылардың компьютерлік жүйелерге кіруіне немесе оларды пайдалануына жол бермейтін зиянды бағдарламалық құрал. Әдетте төлемді талап етумен бірге ransomware шабуылы вирус жұққан компьютерлерге, серверлерге және файлдарға зиян келтіреді.

Шабуылдар жиі кездеседі: Veeam компаниясының 2023 жаһандық Ransomware үрдістері туралы есебі ұйымдардың 85%-ы алдыңғы 12 айда кемінде бір кибершабуылға ұшырағанын көрсетті. 80%-ы төлемді төлегенімен, тек 75%-ы ғана деректеріне қол жеткізе алды және орташа есеппен олардың деректерінің 66%-ы ғана қалпына келтірілді. 75% жағдайда хакерлер резервтік сақтау орындарына арнайы шабуыл жасады.

Екінші жағынан, шабуылға ұшыраған ұйымдардың 16% төлем төлемей өз деректерін қалпына келтірді. Бұл ұйымдарда таза, өзгермейтін және сенімді сақтық көшірмелері және күткендей жұмыс істейтін төлемдік бағдарламаға жауап берудің біріктірілген стратегиясы болды. Түпнұсқа мынада, егер сізде төлемдік бағдарламалық құрал шабуылының нақты жоспары болса, төлемдік бағдарлама шабуылынан қалпына келтіруге болады.

Ransomware әрекеті жоспарының негізгі құрамдас бөліктері

Шабуылдар өте кең таралғандықтан, төлемдік бағдарлама шабуылынан қалай тез қалпына келтіру керектігін білу маңызды. Төлемдік бағдарламалық құралды қалпына келтіру жоспарының маңызды аспектілері қатаю жүйелерін, күшті алдын алу шараларын, төлемді бағдарламалық құралды анықтау және оған жауап беруді, қалпына келтіру және қалпына келтіру әрекеттерін, сондай-ақ тиісті органдар мен зардап шеккен тараптарды хабардар ету жоспарларын қамтуы керек. Болашақ шабуылдардың алдын алу үшін әрқашан оқиғадан кейінгі талдауды жүргізіңіз.

1-қадам: Алдын алу шаралары

Төлемдік бағдарламалық жасақтама шабуылдарының алдын алу және азайту үшін қолдануға болатын бірқатар шаралар бар. Оларға қызметкерлерді оқыту, тәуекелді бағалау, аппараттық және бағдарламалық құралдарды жетілдіру шешімдері, желіні сегменттеу және деректердің сақтық көшірмесін жасау кіреді:

• Қызметкерлеріңізді оқытыңыз. Сіздің қызметкерлеріңіз зиянды бағдарлама шабуылдарынан қорғаныстың бірінші желісі болып табылады, сондықтан сіз оларды шабуылдарды тануға үйретіп, төлемдік бағдарламалық қамтамасыз ету қаупі және бұзылған жүйелердің белгілерін қалай анықтау керектігін үйретуіңіз керек.
• Тәуекелді бағалауды орындаңыз. Тәуекелді бағалауды жүргізу және зиянды бағдарлама мен төлемді қорғау құралдарының әлсіз жақтарын анықтау үшін сарапшылар тобын пайдаланыңыз.
• Портты және соңғы нүктені басқаруды ұлғайту: пайдаланылмаған қашықтағы жұмыс үстелі порттарын (RDP) өшіріңіз және RDP және басқа қашықтан қол жеткізу протоколы порттарын сенімді хосттарға шектеңіз. Сол сияқты, қауіпсіз конфигурация параметрлерімен соңғы нүктелерді қатайтыңыз.
• Желілерді сегменттеңіз және қол жеткізуді басқаруды қамтамасыз етіңіз. VPN және физикалық құралдарды пайдаланып желілерді сегменттеу. Желінің тұтынушыға бағытталған бөліктерін ішке қарайтын бөліктерінен бөлек ұстаңыз.
• Рұқсат беру кезінде нөлдік сенім тәсілін қолданыңыз .
• Барлық бағдарламалық құрал жаңартулары мен түзетулерін орындаңыз. Қауіпсіздік жаңартулары мен патчтарды мұқият енгізу арқылы кіру қаупін шектеңіз.
• Қауіпсіз сақтық көшірме жасау және деректерді резервтеу саясатын қабылдаңыз. Сақтық көшірме стратегияңызды мұқият жоспарлаңыз, өйткені бұл сіздің қорғанысыңыздың соңғы желісі. Өзгертпейтін көшірмелердің болуын қамтамасыз ету үшін сақтық көшірмелерді жүйелі түрде жасаңыз. Сақтық көшірмелердің кем дегенде бір жинағын толығымен офлайн режимінде сақтаңыз. Сақтық көшірменің тұтастығын жүйелі түрде тексеріңіз.

2-қадам: Анықтау және жауап беру

Төлемдік бағдарламалық құралдың кез келген оқиғасына дереу жауап беру өте маңызды. Дұрыс бақылау құралдарының көмегімен шабуылды өз жолында тоқтатуға болады. Бұл әрекетті орындау үшін сізде тәулік бойы қамту және онлайн төлемді анықтау құралдары болуы керек. Осылайша, келесі әрекеттерді орындау арқылы зақымдануды азайтып, жүйелеріңізді тезірек тазалай аласыз:

• Зардап шеккен жүйелерді анықтаңыз: қандай жүйелерге әсер ететінін анықтаңыз және оларды желінің қалған бөлігінен дереу оқшаулаңыз. Егер шабуыл бірнеше жүйеге әсер етсе және оның ауқымын бастапқыда тексеру мүмкін болмаса, желіні өшіріңіз. Жүйені оңай ажырата алмасаңыз, Ethernet кабельдерін ажырату және Wi-Fi желісін өшіру арқылы инфекцияның ауқымын шектеңіз.
• Жабдықты өшіру : Құрылғыларды ажырату мүмкін болмаса, байланысты жабдықты өшіріңіз. Бұл қадам тұрақты жадта сақталған дәлелдерді жоюы мүмкін екенін ескеріңіз.
• Зардап шеккен жүйелерді сұрыптау: Ұйым үшін маңызды жүйелерді анықтаңыз және оларды ұйымның басымдықтары тұрғысынан маңыздылық ретімен тізіңіз.
• Журналдарды қарап шығыңыз: зиянды бағдарлама, алдыңғы шабуылдар және бұзылған желілер сияқты прекурсорларды анықтау үшін жүйелік журналдарды қарап шығыңыз.
• Не болғанын анықтаңыз: шабуылға әкелген оқиғалар тізбегін және шабуылдаушы желіге қалай қол жеткізе алғанын анықтаңыз.
• Қауіпті табыңыз: төлем бағдарламалық құралын, оның нұсқасын және жүйедегі кез келген басқа зиянды бағдарламаны анықтаңыз.

3-қадам: Байланыс және есеп беру

Оқиға туралы хабарлаңыз және зардап шеккен тараптармен болған оқиға туралы ашық болыңыз. Уақытылы байланыс сенімнің жоғалуы және айыппұлдар сияқты ұзақ мерзімді салдарды азайтуға көмектеседі. Қабылданатын шараларға мыналар жатады:

• Ішкі байланыс: барлық зардап шеккен қызметкерлер мен функцияларды дереу хабардар етіңіз және оқиғаны болдырмау үшін қабылданған қадамдар туралы хабардар етіңіз. Тұрақты жаңартуларды шығарыңыз.
• Тиісті органдарға хабарлау : Жергілікті ережелер талап ететін оқиға туралы жергілікті немесе ұлттық құқық қорғау органдарына хабарлаңыз. Арнайы құпиялылық пен деректерді қорғау ережелеріне қатысты барлық заңды міндеттемелерді орындағаныңызға көз жеткізіңіз.
• Сыртқы ұйымдармен байланысыңыз: тұтынушыларды және іскер серіктестерді оқиға туралы хабардар ету және залал көлеміне қатысты тиісті ақпаратты беру. Қылмыскерлер құрбандарды төлем төлеуге мәжбүрлеу үшін құпия ақпаратты ашамыз деп қорқытатынын ескеріңіз.
• Мөлдір болыңыз: компаниялардың қауіпті ақпаратты жасырғысы келетіні табиғи болса да, кибершабуыл туралы жаңалықтар сөзсіз шығады. Ашықтық беделге нұқсан келтіреді, тергеушілерге көмектеседі және зардап шеккен тараптарға құпия деректерді қорғау үшін қадамдар жасауға мүмкіндік береді.

4-қадам: Ұстау стратегиялары

Жүйеңізден төлемдік бағдарламалық құралды жою үшін қадамдар жасамас бұрын, барлық вирус жұққан құрылғылардың жүйелік кескіндерін және тұрақсыз жад мазмұнын жазып алыңыз. Бұл ақпарат не болғанын және жүйелеріңіздің қалай бұзылғанын анықтау үшін сот-медициналық зерттеулер кезінде пайдалы. Жүйе жадында, қауіпсіздік журналдарында және брандмауэр журналының буферінде сақталған өзгермелі ақпаратты сақтау өте маңызды.

Зерттеушілердің шифрды шешу құралдарын жасағанын немесе деректердің шифрын шешу үшін пайдалануға болатын шифрлаудың әлсіз жақтарын анықтағанын анықтау үшін федералды құқық қорғау органдарымен, көп штаттық ақпаратты ортақ пайдалану және талдау орталығымен (MS-ISAC) және қауіпсіздік жеткізушісімен кеңесіңіз. Бұл ресурстар сонымен қатар зардап шеккен жүйелерді анықтау және төлемдік бағдарламалық құралдың екілік файлдарын өшіру жолы туралы қосымша ақпаратты қамтамасыз ете алады. Басқа қадамдар мыналарды қамтиды:

• Қатысқан жүйелерді анықтау
• VPN, бұлтты және жалпыға ортақ соңғы нүктелерді өшіріңіз
• Сервер тарапындағы деректерді шифрлауды өшіру
• Ішкі және сыртқы консервациялау механизмдерін анықтау

5-қадам: Жою стратегиялары

Жою стратегияңыздың негізгі мақсаты – сіздің жүйелеріңізден (деректерден басқа) төлемдік және зиянды бағдарламалардың барлық іздерін жою. Жүйелеріңізді кейде сүрту мүмкін болғанымен, үлгілер мен тазалау кескіндерін пайдаланып, оларды сүртіп, нөлден бастап қайта құру әдетте оңай әрі қауіпсіз. Қадамдарға мыналар кіреді:

• Барлық жұқтырған жүйелерді тазалаңыз немесе дезинфекциялаңыз
• Корпоративтік жүйелерді сыни жүйелерден бастап қайта құру
• Барлық құпия сөздерді қалпына келтіріңіз
• Анықталған осалдықтарды, веб-сайттарды және зиянды бағдарламаларды түзетіңіз және блоктаңыз.
• Төлемдік бағдарламалық құралдың барлық іздерін жойғаннан кейін және төлемдік бағдарламалық құрал оқиғасының шешілгенін растау үшін жүйені қалпына келтіргеннен кейін тағайындалған АТ органының мәлімдемесін беріңіз.

6-қадам: Қалпына келтіру және жұмысқа оралу

Осы кезде деректеріңізді қалпына келтіріп, жұмысқа қайта кірісуге болады. Міне, сіз төлемдік бағдарлама шабуылдарынан жылдам қалпына келтіру үшін инновациялық шешімдерді пайдалануға мүмкіндік беретін көрегендіктің пайдасын көре аласыз. Veeam бірнеше шешімдерді ұсынады, соның ішінде виртуалды машина жасау үшін сақтық көшірме жасау, оны тез іске қосуға болады. Қалпына келтіру және қалпына келтіру кезеңдері мыналарды қамтиды:

• Жүйені қалпына келтіру үшін қауіпсіз сақтық көшірмелерді пайдаланыңыз
• Қалпына келтіру кезінде таза жүйелерді қайта жұқтырмау үшін сақтық көшірмелердің таза екеніне көз жеткізіңіз.
• Қауіпсіздік шараларын күшейту үшін шабуылдан алынған сабақтарды жүзеге асырыңыз.
• Төлемді бағдарламалық қамтамасыз етуді үздіксіз бақылау үшін шешімдерді қолданыңыз
• Оқиғадан кейінгі толық бағалау

Ransomware оқиғаларына жауап берудің ең жақсы тәжірибелері

Төлемдік бағдарламалық жасақтама шабуылдарының жиілігі олар бизнестің үздіксіздігін басқарудың басқа жоспарларымен бірдей санатта қарастырылуы тиіс. Оларға ірі оқиғаларға, табиғи апаттарға және апаттан кейінгі қалпына келтіруге әрекет ету стратегиялары кіреді.

Төлемді бағдарламалық қамтамасыз ету оқиғасына әрекет ету жоспарының бастапқы нүктесі мұқият зерттелген және құжатталған қалпына келтіру жоспары болып табылады. Бұл жоспар әдетте барлық мүдделі тараптарды, қалпына келтіру мақсаттарының нақты мәлімдемесін және байланыс стратегияларын қамтиды. Жоспар жауапты тараптарды анықтайды және ransomware шабуылы кезінде жасалатын әрекеттерді нақты анықтайды.

Қарастырылатын мәселелерге мыналар жатады:

• Жауап беру тобы: жауап беру тобының барлық мүшелерін, олардың міндеттері мен функцияларын анықтаңыз. Іс-шараларды үйлестіруге жауапты тағайындалған басшыны тағайындаңыз.
• Түгендеу: VPN, виртуалды жеке бұлттар, кең аумақтық желілер және API сияқты арнайы мүмкіндіктерді қоса, олардың өзара әрекеттесуімен бірге барлық физикалық және бұлттық аппараттық және бағдарламалық құралдардың толық тізімін жасаңыз.
• Критикалық функциялар: маңызды бизнес функцияларын, қолданбаларды, деректер жиындарын және сақтық көшірмелерді тізіп, оларға басымдық беріңіз.
• Төтенше жағдайдағы контактілер тізімі. Барлық қызметкерлерді, қызмет жеткізушілерін, жеткізушілерді және төлемдік бағдарламалық құрал оқиғасынан зардап шегуі мүмкін тұтынушыларды қосыңыз.
• Тренинг: Топ мүшелерін олардың рөлдері мен міндеттеріне үйретіңіз және әр адам өз рөлімен таныс болуы және өзін жайлы сезінуі үшін төлемдік бағдарламалық құралдың алдын алу жинағын пайдаланып оқиғаны имитациялаңыз.
• Ransomware бағдарламасына қарсы әрекет жоспары: Төлемдік бағдарламалық құралға жауап беру үшін егжей-тегжейлі әрекет жоспарын дайындаңыз.
• Алынған сабақтар: Жаттығу симуляциялары мен нақты өмірдегі шабуылдар кезінде алынған сабақтарды құжаттайды.

Бұл төлемді бағдарламалық құралдан қорғаудың ең жақсы тәжірибелерін ресімдеу және енгізу ұйымыңызға шабуылдарға тез және тиімді жауап беруге көмектеседі, сонымен қатар қызметтерді қалпына келтіру және қайта қосу үшін таза сақтық көшірмелердің болуын қамтамасыз етеді.

Veeam қолданбасын бастау

АТ құрылымдарын қайта құру әрқашан мүмкін болғанымен, бизнес таза деректерге қол жеткізе алмаса, төлемдік бағдарлама шабуылынан аман қала алмайды. Veeam компаниясының онлайн сақтық көшірме жасау шешімі бұл мәселені шешеді. Veeam көп деңгейлі өзгермейтіндігі, соңына дейін бақылау және автоматтандыру арқылы қалпына келтіруді толық бақылауға мүмкіндік беретін жалғыз шешімді ұсынады. Veeam жалпы бұлттық шешімдермен де, Windows, Linux және Mac жүйесіне арналған жергілікті шешімдермен де жұмыс істейді.

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.