Конкретные рекомендации для исключения рисков заражения шифровальщиком
Мы не раз упоминали, как важно уделять достаточно внимания кибербезопасности, призывая к регулярным обновлениям защитных продуктов и обучению сотрудников противостоянию соблазну ткнуть в подозрительные письма на корпоративной почте. Сегодня, однако, мы углубимся в тему, дав более детальные рекомендации по защите своей компании или учреждения - 20 советов, отделяющих участников от падения под Ransomware-атаками (т.е. программами-вымогателями).
1. Хочешь обезопаситься - делай резервные копии
Копии в облачных хранилищах и простые виртуальные данные могут быть потеряны так же, как и вся остальная информация - чтобы избежать этого, проводите регулярное резервное копирование в безопасное место, сохранение нескольких копий и мониторинг того, что резервные копии соответствуют оригиналу. Это особенно важно, так как если резервная копия была создана уже после атаки шифровальщиком, восстановление с нее не приведет ни к чему хорошему. Поскольку восстановление из копий - это основной шаг по возвращению систем к нормальному функционированию, стоит выяснить, когда именно данные были атакованы и повреждены, чтобы восстановиться с безопасного момента и быть готовым к тому, что все изменения после атаки будут утеряны.
2. Регулярно напоминайте сотрудникам об угрозах
Даже отличный инструктаж от профессионалов на самом доступном языке рано или поздно сотрется из памяти ваших работников. Это нормально - с течением времени мозг снижает приоритет угрозы, которая не напоминает о себе, - но может привести к проблемам. Всего одного забывшегося сотрудника, открывшего непроверенную ссылку, хватит, чтобы поставить колом всю компанию, поэтому сделайте напоминания о ИБ-политике регулярными.
3. Настройте отображение расширения файлов
Хотя большинство сотрудников понимает, что не стоит запускать выполнение исполняемых файлов из любых источников на рабочем компьютере, но мошенники нашли способ обойти их бдительность - Windows по умолчанию скрывает расширения файлов, позволяя вредоносным исполняемым файлам типа ransom.doc.exe выглядеть как документ Word с именем ransom.doc. Один раз озаботившись настройкой отображения расширений можно избавиться от массы проблем.
4. Фильтры от спама
Уже сотни раз говорилось, что основной вход для кибератак во внутренние сети - через рассылки на почту. Тысячи писем с вредоносами рассылаются ежедневно, но хороший спам-фильтр, обновляющийся, самообучающийся или адаптируемый ИБ-офицерами компании к новым угрозам, исключает большую часть этой опасности, если не всю.
5. No “.exe”ption - введите запрет на исполняемые файлы
Ничего хорошего “исполнить” файл со стороннего источника на рабочем компьютере не может. Все необходимое установят и запустят технические специалисты, поэтому разумным решением будет установка жесткой фильтрации файлов с расширением .exe из электронных писем.
6. Не пропускайте файлы JavaScript
Компании не лыком шиты и защищаются как могут - поэтому изобретательность мошенников тоже растет. Сейчас шифровальщики могут скрываться, к примеру, в zip-архивах, содержащих вредоносные файлы JavaScript. Разумеется, маскируют их под другие форматы - например, текстовые, и без действий из пункта 3 они могут проскочить за своих у сотрудников. Вы можете закрыть эту уязвимость, просто отключив Windows Script Host.
7. Права доступа - только у админа
Шифровальщик забирается в систему через конкретный компьютер, и испортить на нем может лишь те файлы, к которым у пользовател есть доступ. Некоторые ушлые вирусы имеют в своих кодах возможность повысить права пользователя, тем самым открыв доступ к новым территориям для заражения. Убедитесь, что права на повышение уровня доступа есть только у администратора сети и что активация функции наступает после специального подтверждения.
8. Своевременные обновления
Не раз оговоренная мера безопасности и обязательный к исполнению пункт. Вместе с обновлениями безопасности приходят и заплатки на свежие уязвимости, так что пренебрегать ими - сознательно оставлять дыры в защите. В 2020 году, к примеру, кибератаки из-за взлома сетевой инфраструктуры SolarWinds избежали те организации, которые вовремя обновили это программное обеспечение.
9. Применяйте политику Zero Trust
Нулевое доверии (англ. (Zero Trust) обеспечивает более надёжный контроль над сетью, что увеличивает шансы на блокировку программ-вымогателей. Таким образом, если пользователь с ограниченными правами доступа инициирует кибератаку, её последствия можно будет минимизировать при оперативных действиях специалистов кибербезопасности компании.
10. Определите приоритетные данные
Выделив, какие данные критически важны или представляют потенциальную ценность для похитителей, окружите их дополнительной защитой. Так специалистам кибербезопасности будет проще обезопасить отдельные сегменты сети, а руководителям дать понятие о необходимых к принятию мерах.
11. Используйте микросегментацию
Политика микросегментации позволяет добиться того, что пользователю предоставляется доступ только к тем приложениям и каталогам баз данных, которые ему нужны для работы. Микросегментация является идеальным решением для блокирования попыток заразить сеть целиком. Внедряя строгие политики на уровне приложений, шлюзы сегментации и NGFW могут предотвратить доступ программ-вымогателей к наиболее ценным сегментам сети.
12. Задействуйте адаптивный мониторинг для поиска и оценки угроз
Если есть хоть малейшая угроза атак наиболее чувствительных сегментов, появляется необходимость в постоянном мониторинге и адаптивных технологиях. Это включает последовательную оценку трафика для критически важных приложений, данных или служб с целью поиска угроз и вирусов.
13. Используйте CASB
Сервисы безопасного доступа к облачным серверам (CASB) могут помочь в управлении облачной инфраструктурой вашей организации. CASB обеспечивают дополнительную прозрачность, безопасность данных и защиту от угроз при защите ваших данных, копируемых в «облако».
14. Готовьте команду для быстрого реагирования на угрозы
В случае попыток взлома или уже проведённой успешной атаки ваша команда должна быть готова к оперативному восстановлению систем и данных. Эта работа включает в себя предварительное распределение ролей и подготовку плана реагирования на атаки.
15. Проверяйте присылаемые файлы в песочнице
Тестирование в песочнице — обычный метод для специалистов по кибербезопасности при изучении новых или нераспознанных файлов. Песочница - специальная среда, отключённую от корпоративной сети для безопасного тестирования файлов. Там можно спокойно посмотреть, чем развлекаются кибермошенники, распотрошив спам.
16. Обновляйте программное обеспечение для защиты от программ-вымогателей
Регулярное обновление сетевого программного обеспечения имеет решающее значение. Это особенно важно для существующих систем обнаружения и предотвращения вторжений (IDPS), антивируса и защиты от вредоносных программ.
17. Обновляйте веб-шлюз SWG
Вся электронная почта в сети обычно проходит через защищенный веб-шлюз (SWG). Регулярно обновляя этот сервер, можно отслеживать вложения электронной почты, сайты и файлы на наличие вредоносных программ. Эти данные могут помочь информировать персонал о том, каких атак можно ожидать в ближайшее время.
18. Блокируйте всплывающую рекламу
Все устройства и браузеры должны иметь расширения, автоматически блокирующие всплывающую рекламу. Такая реклама представляет собой серьёзную угрозу, если её не блокировать - один мисклик и компьютер заражен, а с ними все вытекающие.
19. Ограничивайте использование устройств сотрудников на удалёнке
Если у вас есть удалённый рабочий персонал, а в компании при этом нет чёткой политики в отношении устройств, разрешённых для доступа к сети, возможно, пришло время принять жёсткие меры. Нерегулируемое использование различных подключаемых устройств создаёт ненужный риск для вашей сети.
20. Принимайте меры безопасности при удалённом доступе
Отключения сторонних устройств для успешной защиты от кибератак мало. При получении удалённого доступа к корпоративной сети, сотрудники компании должны установить на свои ПК и ноутбуки всё необходимое защитное ПО (антивирусные и антишпионские пакеты, надёжный фаерволл), чтобы минимизировать риск атак программ-вымогателей.
Соблюдая набор этих нехитрых правил, можно спокойно забаррикадироваться от опасностей внешнего мира - вирусов, вымогателей и зловредов. Не забудьте показать эту статью вашему ИБ-специалисту или обратиться к нам для составления подходящего комплекта программно-аппаратного обеспечения под нужды вашего предприятия.