Предотвращение программ-вымогателей: защита вашего цифрового мира

Программы-вымогатели — это проблема, с которой сталкиваются многие компании. Согласно отчету о тенденциях в области программ-вымогателей за 2023 год , 85% опрошенных компаний подверглись хотя бы одной кибератаке за последние 12 месяцев. Из пострадавших только 66% данных удалось восстановить. Хотя программы-вымогатели, несомненно, представляют собой угрозу, риск можно значительно снизить, если иметь защитную стратегию.

Та же статистика показывает, что 16% этих компаний не заплатили выкуп. Они выздоровели, потому что у них были надежные системы предотвращения программ-вымогателей.

Предотвращение программ-вымогателей — это ряд превентивных мер, которые вы можете предпринять, чтобы снизить риск атаки. Чтобы затруднить проведение кибератак, вам необходимо обеспечить наличие надежных политик управления идентификацией и доступом (IAM). В дополнение к вашему IAM у вас должны быть надежные инструменты безопасности, такие как SIEM и XDR, которые помогут вашим командам безопасности обнаруживать, отслеживать, исследовать угрозы и реагировать на них. Наконец, убедитесь, что у вас есть надежный набор резервных копий, который позволит быстро и чисто восстановиться в случае успеха атаки. Эти меры могут включать:

• Надежный контроль идентификации и доступа
• Безопасность электронной почты
• Сегментация сети
• Регулярные обновления программного обеспечения
• Постоянное обучение сотрудников
• Безопасность веб-браузера
• Защищенные конечные точки

Вторая цель — обеспечить вам доступ к безопасным и неизменяемым резервным копиям и снимкам, чтобы облегчить восстановление данных в случае успешной атаки.

Понимание программ-вымогателей: краткое руководство

Программа-вымогатель — это вредоносное программное обеспечение, которое шифрует информацию и данные жертвы. По данным ФБР, распространенные методы, которые киберпреступники используют для получения доступа к устройствам и приложениям, включают:

• Фишинг: электронная почта, текстовые сообщения или публикации в социальных сетях, содержащие ссылки на сайты, на которых размещены вредоносные программы.
• Атаки Drive-by: посещение зараженного веб-сайта, с которого на устройство или систему жертвы загружается вредоносное ПО.
• Использование недостатков программного обеспечения: получение доступа к системам через уязвимости программного обеспечения на конечных точках и серверах.
• Зараженные съемные диски: вставка съемных дисков, например USB-накопителей, содержащих вредоносный вирус или вредоносное ПО, для заражения устройств.
• Атаки социальной инженерии. Эти атаки нацелены на сотрудников или подрядчиков бизнеса, чтобы заставить жертву раскрыть секретную или конфиденциальную информацию с целью причинения вреда.

Получив доступ к вашим системам, киберпреступники загружают программу - вымогатель, которая ищет серверы данных для шифрования. После шифрования киберпреступники требуют от жертв заплатить выкуп в обмен на ключ дешифрования. Эти преступники также часто похищают файлы, содержащие конфиденциальные данные, и угрожают опубликовать или продать эти данные, если вы не заплатите выкуп.

К сожалению, заплатить выкуп не всегда получается. В одном из четырех случаев ключ дешифрования неисправен. Даже если ключ работает, в среднем можно восстановить только 55% зашифрованных данных.

Решающая роль предотвращения программ-вымогателей

Атаки программ-вымогателей очень выгодны киберпреступникам. По данным Сети по борьбе с финансовыми преступлениями , в документах Закона о банковской тайне указано, что общие убытки из-за инцидентов с программами-вымогателями в 2021 году составили примерно 1,2 миллиарда долларов.

Не менее отрезвляющим является тот факт, что компаниям требуется в среднем три с половиной недели, чтобы оправиться от инцидента с программами-вымогателями.

Компании могут понести значительные финансовые потери и репутационный ущерб в результате инцидента, однако клиенты страдают не меньше, поскольку их личная информация (PII), такая как адреса, номера социального страхования, данные кредитных карт и многое другое, теперь становится общедоступной и/или продается на черный рынок.

Это подчеркивает решающую роль предотвращения программ-вымогателей и обеспечения наличия стратегий смягчения последствий. Не существует надежного способа предотвратить атаку на ваш бизнес, но комплексная стратегия киберустойчивости может уменьшить последствия этих атак и повысить вероятность восстановления вашей конфиденциальной информации.

В следующем разделе показано, как предотвратить атаки программ-вымогателей.

Создание надежной стратегии предотвращения программ-вымогателей

Победа над программами-вымогателями требует многоуровневой стратегии. Вам нужно несколько уровней защиты, поэтому, если хакер взломает один уровень, у вас все равно будет защита. Не существует единого решения, а скорее набор комплексных стратегий предотвращения и восстановления .

Несколько уровней могут предотвратить атаки программ-вымогателей на разных этапах и от разных типов атак. Эта стратегия включает в себя обучение сотрудников, усиление защиты систем от атак и устойчивость данных .

Строгая аутентификация и авторизация: защита доступа

Первой линией защиты является надежная стратегия управления идентификацией и доступом, лишенная паролей. Пароли легко взломать, их сложно запомнить и сохранить. Мы настоятельно рекомендуем вашей организации перейти на подход без использования паролей или паролей для сотрудников, а также для ваших рабочих нагрузок.

Укрепите свой подход «нулевого доверия», обеспечив внедрение многофакторной аутентификации (MFA) для доступа к корпоративной информации, системам и устройствам. Например, используйте решение без пароля, такое как Windows Hello, с дополнительной формой идентификации, такой как PIN-код и Microsoft Authenticator, который запрашивает физическую проверку местоположения для авторизации.

Решения безопасности: ваш лучший друг

Решения безопасности призваны помочь вашим командам по кибербезопасности быстро и эффективно защитить ваши серверы и операционные системы от атак. Решения SIEM и XDR могут отслеживать сетевой трафик для обнаружения и сигнализации необычной сетевой активности и киберугроз. Брандмауэры предотвращают несанкционированный трафик между сетью и Интернетом, а также между VPN и сетевыми разделами. Антивирусное программное обеспечение специально ищет и блокирует компьютерные вирусы и вредоносные программы, а безопасность конечных точек защищает устройства в сети, такие как компьютеры, принтеры, серверы и устройства Интернета вещей. Облачные решения используют виртуализированную безопасность для защиты виртуальных машин, серверов и сетей. Выбирайте надежные решения безопасности и обновляйте программное обеспечение безопасности.

Контроль доступа и сегментация сети

Используйте надежные средства контроля доступа. Изолируйте свои системы, чтобы сдержать потенциальные инфекции. Убедитесь, что уязвимые и ценные системы не имеют внешнего доступа к Интернету. Примите принцип  наименьших привилегий , чтобы ограничить доступ пользователей только к тем ресурсам, которые им необходимы для выполнения своей работы.

Фильтрация электронной почты и веб-безопасность

Электронная почта — один из наиболее распространенных способов доставки вредоносных программ-вымогателей. Хакеры маскируют эти электронные письма таким образом, чтобы они выглядели подлинными. Настройте надежные фильтры электронной почты для обнаружения попыток фишинга и активируйте надежные спам-фильтры. Приложения для совместной работы, такие как Microsoft 365 , имеют расширенные встроенные функции защиты от фишинга. Другие формы фишинга включают SMS и голосовой фишинг на мобильных устройствах.

Обновления программного обеспечения и системы: предотвращение уязвимостей

Ни одно программное обеспечение не является идеальным. И даже после тщательного тестирования неизбежно содержит уязвимости. Киберпреступники ищут их и, найдя, используют для внедрения вредоносного ПО, кражи данных или шифрования файлов. Крайне важно при первой возможности устанавливать исправления безопасности, чтобы хакеры не могли воспользоваться этими уязвимостями. Устаревшее и неподдерживаемое программное обеспечение особенно уязвимо для атак.

Постоянное обучение и повышение осведомленности сотрудников

Сотрудники играют решающую роль в усилении вашей безопасности и защите вашего цифрового имущества. Инвестируйте в их обучение и осведомленность, чтобы они могли защитить себя и вашу организацию. Используйте образовательные инструменты, такие как  KnowBe4 и Gophish , чтобы обучить сотрудников различным формам фишинговых атак и тому, как им следует реагировать. Бесплатный Wi-Fi — лучший друг хакера, и его следует избегать на личных и корпоративных устройствах. Продемонстрируйте, как киберпреступники используют вводящие в заблуждение URL-адреса, и повысьте осведомленность об опасностях доступа к пиратским веб-сайтам, которые обычно содержат вредоносное ПО, скрытое в рекламе.

Практика безопасной загрузки

Крайне важно соблюдать правила безопасной загрузки, поскольку хакеры могут легко прикрепить вредоносное ПО к файлам, приложениям, сообщениям или браузерам. Загружайте файлы или программное обеспечение только с надежных сайтов и убедитесь, что на этих сайтах в адресной строке браузера указан https. Избегайте http-сайтов, поскольку они небезопасны. Кроме того, обратите внимание на эмблему щита или символ замка, который обычно находится в левой части адресной строки перед URL-адресом сайта. Если у вас есть подозрения относительно учетных данных сайта, проверьте страницу «О программе» и другую информацию, такую ​​как физический адрес и номер стационарного телефона. Не загружайте файлы с подозрительных веб-сайтов или по неизвестным ссылкам в электронных письмах или приложениях для обмена сообщениями. Сообщайте о подозрительных письмах. Рекомендуется сканировать вложения с помощью защитного программного обеспечения перед их открытием. 

Сила резервного копирования: устойчивость данных

Ваши резервные копии представляют собой самую важную и последнюю линию защиты от целенаправленной атаки программы-вымогателя. Первый шаг — защитить консоль резервного копирования и репликации , поскольку без этого вы проиграете. Помимо защиты вашего цифрового имущества и обеспечения надежных мер идентификации и безопасности, крайне важно сделать резервную копию настроек конфигурации, чтобы быстро восстановить данные вас и вашего бизнеса. Это позволяет восстановить консоль, если она повреждена или зашифрована. Также очень важно защитить хранилище резервных копий от атак программ-вымогателей , следуя этим рекомендациям:

• Регулярно выполняйте резервное копирование: ваша последняя резервная копия является наиболее важной, поскольку именно она содержит ваши последние транзакции. Регулярно создавайте резервные копии, чтобы минимизировать потерю данных в случае атаки программ-вымогателей. Выберите частоту, соответствующую объему транзакций, их стоимости и стоимости нескольких резервных копий.
• Обеспечьте неизменность: сделайте резервные копии неизменяемыми. Это означает, что их нельзя перезаписать, изменить или модифицировать. Неизменяемость защищает от атак программ-вымогателей и случайного удаления.
• Шифрование резервных копий. Всегда шифруйте резервные копии. Шифрование означает, что если хакер получит доступ к вашим резервным копиям или перехватит их, он не сможет их прочитать или украсть. Это добавляет дополнительный уровень безопасности к вашим резервным копиям.
• Проверка резервных копий. Вы должны проверить свои резервные копии. В зависимости от используемого вами программного обеспечения для резервного копирования вполне возможно сделать резервную копию поврежденной, неполной или непригодной для использования. Лучший способ проверить резервные копии — настроить виртуальную машину и выполнить пробное восстановление. Альтернативно используйте решение для автоматической проверки резервных копий, которое проверяет резервную копию на уровне файлов. Кроме того, сканируйте свои резервные копии на наличие следов вредоносного ПО, которое может зашифровать ваши данные во время процесса восстановления.
• Ограничьте доступ к резервным копиям: ограничьте доступ как можно меньшим количеством ключевого персонала и используйте процедуры аутентификации высокого уровня для контроля доступа. Держите серверы резервного копирования отдельно от онлайн-систем.
• Примите правило резервного копирования 3-2-1-0: помимо онлайн-наборов данных сохраняйте три резервных набора резервных копий. Используйте как минимум два разных типа носителей для хранения данных. Это может быть на жестком диске, в безопасном облачном хранилище или на ленте. Храните одну копию в своих корпоративных системах для быстрого доступа, но убедитесь, что одна копия находится за пределами офиса, в автономном режиме и в безопасности. Это защищает от программ-вымогателей, а также от стихийных или других катастроф. Последняя цифра в правиле, ноль, указывает на важность проверки резервных копий, чтобы убедиться в отсутствии ошибок. 

Вывод: укрепите свою защиту от программ-вымогателей

Программы-вымогатели продолжают представлять угрозу.

В то же время компании, имевшие доступ к неизменяемым резервным копиям, недоступным для киберпреступников, могли восстановить свои системы и возобновить работу с минимальными перерывами.

Их успех был обусловлен сильной стратегией предотвращения программ-вымогателей, которая включала несколько уровней защиты, в том числе:

• Надежный подход к управлению идентификацией и доступом
• Поставщики решений безопасности, специализирующиеся на обнаружении, мониторинге, расследовании и реагировании на угрозы.
• Надежный контроль доступа и сегментация сети
• Фильтрация электронной почты и веб-безопасность
• Частые обновления программного обеспечения и исправления для предотвращения уязвимостей.
• Последовательные программы обучения и повышения осведомленности сотрудников
• Практика безопасной загрузки

Последний уровень защиты — это эффективная стратегия резервного копирования, основанная на нескольких избыточных резервных копиях, хранящихся в разных местах, на разных носителях и автономно. Это поддерживается неизменяемостью, шифрованием резервной копии и проверкой резервной копии. Когда все остальное не помогает, безопасное решение для восстановления данных от программ-вымогателей является лучшей защитой от программ-вымогателей.

Программы-вымогатели представляют собой растущую угрозу для всех предприятий. Статистика показывает, что большинство компаний подвергались атакам программ-вымогателей. Многие были вынуждены заплатить выкуп, поскольку их резервные копии были зашифрованы. В среднем большинство компаний терпело простой в течение трех и более недель, пытаясь восстановиться после этих атак.