Как среднему и малому бизнесу решить проблему программ-вымогателей (ransomware)

Как среднему и малому бизнесу решить проблему программ-вымогателей (ransomware)

Программы-вымогатели активно развиваются. Киберкриминал придумывает и реализует все более изощренные угрозы; кратно растет и количество способов их доставки. Особенно уязвим в этом отношении малый и средний бизнес: в последнем квартале 2018 года 71% ransomware-атак был направлен именно против таких предприятий.

 

 

 

 

 

  1. Введение
  2. Лицом к лицу с проблемой
  3. Что насчет RDP?
  4. Спасут ли облака?
  5. Выводы

 

Введение

Для киберпреступников 2018 год был успешным. Создатели и пользователи программ-вымогателей исключением не стали, скорее наоборот: число образцов вредоносного кода и размеры требуемых выкупов достигли рекордно высокого уровня.

Успешные атаки шифровальщиков и блокираторов наносят заметный ущерб бизнесу: важные данные оказываются недоступными, работа компаний — жертв атаки останавливается. Но даже тот, кто уступает требованиям злоумышленников, может никогда больше не увидеть свои информационные активы, поскольку некоторые версии ransomware работают таким образом, что восстановить файлы после них в принципе невозможно.

Впрочем, финансовые потери из-за простоя, выплаты выкупа и потери данных — не единственные негативные последствия: в ряде случаев подобные нападения сопровождаются внедрением троянов для взлома банковских приложений и учетных записей.

 

Лицом к лицу с проблемой

Первым шагом в борьбе с блокираторами и шифровальщиками является собственно признание проблемы и повышение осведомленности персонала о ней. Вредоносное программное обеспечение этого типа — изменчивая цель, где угрозы и точки входа регулярно меняются, поэтому важно развивать понимание предмета и идти в ногу со временем.

Это относится не только к руководству, но и ко всему штату сотрудников: вложения в сообщения электронной почты, ссылки, небезопасные веб-сайты, файлы для загрузки и вредоносная реклама являются векторами проникновения в информационную инфраструктуру компании, поэтому каждый работник должен знать, как с ними обращаться.

Операционные системы и все программное обеспечение нужно регулярно исправлять и обновлять, а все данные — архивировать. Полезно применять «правило 321»: иметь как минимум три копии данных, хранящихся как минимум в двух местах, из которых по крайней мере одно функционирует в автономном режиме.

Также полезно следить за привилегиями учетных записей: вредоносные программы склонны работать на уровне пользователя, который их запустил, поэтому ограничение полномочий снижает риск распространения вымогателей.

 

Что насчет RDP?

Протокол удаленного рабочего стола (RDP) — это полезный и, как правило, безопасный (если он защищен должным образом) способ развертывания программного обеспечения для удаленного функционирования на рабочих компьютерах. Важно помнить, что RDP нуждается в обороне: без нее он может легко стать точкой входа киберпреступника.

Компаниям целесообразно подумать, действительно ли им необходимо использовать RDP, а если нет, то отключить его (RDP предустановлен в Windows и доступен для других операционных систем). Если протокол имеет важное значение, то его следует применять как можно более безопасно: включать аутентификацию на уровне сети, обязательно устанавливать надежные пароли, защищать сети от внутренних и внешних атак и разрешать пользоваться RDP только тем учетным записям, которым он требуется для работы.

Заметим, что для злоумышленников RDP является популярной, но не единственной точкой входа. Большинство атак с удаленным доступом посредством вредоносных программ осуществляется через перебор паролей (брутфорс). Поэтому обычные меры предосторожности — безопасные пароли, использование многофакторной аутентификации, ограничение использования ненадежных устройств, минимизация уровней пользователей (особенно для учетных записей, подключающихся к интернету) и т.д. — важны для всех сотрудников организации, а не только для тех, кто применяет RDP.

 

Спасут ли облака?

Многие люди ошибочно ассоциируют программы-вымогатели с локальными машинами и процессами. Им кажется, будто облако — это безопасное убежище для данных, потому что все больше информации обрабатывается удаленно, а программное обеспечение все чаще предоставляется как сервис (SaaS). Такой взгляд верен лишь отчасти: хотя распределенная инфраструктура — отличное хранилище для резервного копирования (в соответствии с «правилом 321», описанным выше), вредоносные агенты могут попасть и в нее. Синхронизация локальных файлов с зараженной машины в облако может способствовать распространению шифровальщика или блокиратора, особенно если с этими файлами сообща работает целая группа пользователей. В подобной ситуации получится лишь восстановить раннюю версию файлов, но не более того.

Кроме того, киберпреступники атакуют облачные сервисы напрямую: в 2016 году вымогатели Cerber напали на службу Microsoft Office 365, а в 2017 году Microsoft признала огромный рост вредоносной активности, направленной против ее систем распределенных вычислений. Вот почему сканировать и защищать облака столь же важно, как и обеспечивать безопасность локальных сетей и машин.

Организации могут установить нужный уровень защиты облачных серверов и хранилищ самостоятельно, но часто им приходится передавать эти услуги на аутсорс. Такой подход особенно характерен для малого и среднего бизнеса. В этом случае организация должна убедиться, что она работает с партнером, который способен организовать надежную оборону. В частности, полезно попросить его предоставить подробную информацию об используемых системах, частоте обнаружения угроз, скорости, с которой развернутые инструменты обнаруживают программы-вымогатели, и о частоте потери файлов. Если поставщик не может ответить на эти вопросы удовлетворительно, вероятно, пришло время искать другого.

 

Выводы

Подведем итог: вредоносные программы-вымогатели являются постоянно растущей и развивающейся угрозой, которая может нанести вред организациям всех размеров, но в особенности — малому и среднему бизнесу. Чтобы избежать ransomware-атаки, предприятия должны обеспечить безопасность всех устройств и облачных сервисов, а также убедиться, что они используют «правило 321» для регулярного резервного копирования данных и продолжают применять традиционные правила безопасности: устанавливают надежные пароли, ограничивают ненадежные устройства, задействуют учетные записи администратора только там, где этого нельзя избежать, и внедряют многофакторную аутентификацию.

Наконец, когда компания привлекает подрядчика для предоставления сетевых услуг, она должна обсудить с этим поставщиком доступные уровни безопасности (включая облачную защиту) и убедиться, что те соответствуют их потребностям.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru