Вирусы-шифровальщики — это проблема для бизнеса независимо от сферы деятельности, атаки шифровальщиков могут иметь для компании крайне серьёзные последствия вплоть до остановки деятельности. Единого инструмента, гарантирующего защиту от таких атак, до сих пор нет. Решением является комплекс мер, охватывающий обеспечение безопасности на периметре, антивирусную защиту и регулярное обучение сотрудников. Расскажем, как можно усилить защиту данных компании при помощи DCAP-системы.
Атаки на различные сферы бизнеса и государственные компании происходят уже не первый год. Так, вредоносная программа WannaCry начала массово распространяться в мае 2017 года, причём уже тогда Россия была среди первых по количеству атакованных компаний и поражённых данных. В рамках тех атак от вируса пострадало более 500 000 компьютеров, принадлежавших частным лицам, коммерческим организациям и правительственным учреждениям в более чем 200 странах мира.
Массовое распространение другой вредоносной программы — Petya — началось немного позднее, в конце июня 2017 года, и имело не менее серьёзные последствия для организаций. Из-за своей специфики Petya, по словам многих исследователей, вообще не предполагал возможности расшифровки данных после получения вознаграждения, а сама атака была направлена на выведение из строя элементов инфраструктуры и полную парализацию бизнес-процессов.
Подобные атаки можно перечислять долго, но, несмотря на схожие механизмы работы таких вредоносных программ, компании продолжают нести серьёзные финансовые и репутационные потери от вирусов-шифровальщиков.
Вирусы-шифровальщики по поведению можно условно разделить на два типа: блокирующие работу пользователей в процессе шифрования и «фоновые», когда преобразование файлов идёт одновременно с пользовательской активностью. В последнее время злоумышленники специально проектируют программы-вымогатели таким образом, чтобы те могли эффективно шифровать данные без заметного влияния на производительность системы. Это позволяет вирусу оставаться незамеченным до тех пор, пока не будет завершено шифрование большого количества файлов. Более того, для криптографического преобразования могут применяться вполне обычные, «легитимные» инструменты (например, скрипты PowerShell), что затрудняет обнаружение угрозы сигнатурными методами.
При этом постоянный мониторинг и анализ действий с данными в режиме реального времени способен эффективно обнаруживать сценарии соответствующие поведению программ-вымогателей.
Один из надёжных способов укрепления защиты — использование решений класса DCAP / DAG. Ниже мы рассмотрим, каким образом система «Спектр | DCAP/DAG» от российского разработчика систем информационной безопасности «СайберПик» позволяет существенно снизить потенциальную площадь атаки, выявить вредоносную активность и остановить её.
Система «Спектр | DCAP/DAG» защищает неструктурированные данные на файловых ресурсах путём аудита действий пользователей, анализа прав доступа и выявления конфиденциальных данных внутри файлов. Благодаря сбору всех операций с файловой системой на наблюдаемом сервере, а также возможности последующей их корреляции система позволяет выявлять подозрительную или нелегитимную активность, включая вредоносное шифрование, а также блокировать учётную запись или процесс на уровне агента или посредством запуска скриптовых файлов. Дополнительной гарантией того, что легитимные запросы не будут заблокированы, является поведенческая аналитика. Благодаря алгоритмам самообучения система «Спектр | DCAP/DAG» учитывает предыдущие сценарии работы каждой учётной записи и строит собственные профили поведения, что позволяет практически полностью исключить риск ложных срабатываний и обеспечить оперативную блокировку вредоносной деятельности.
Особенности работы вирусов-шифровальщиков
Отметим, что способов проникновения вирусов-шифровальщиков в периметр организации весьма много. Сами шифровальщики имеют свою специфику работы и могут быть написаны на различных языках программирования, но с точки зрения активности на файловом сервере все они очень схожи и выполняют набор повторяющихся действий вне зависимости от сигнатуры:
- «чтение» — открытие файла для последующего шифрования;
- «изменение» — собственно шифрование данных;
- «переименование» — изменение имени файла и / или расширения (например, на «*.crypted» или «*.encrypted») в зависимости от специфики шифровальщика;
- повторение предыдущих операций для следующего файла.
Другими словами, действия шифровальщика — это набор массовых последовательных повторяющихся операций чтения, изменения и переименования.
Способы обнаружения вирусов-шифровальщиков
«Спектр | DCAP/DAG» фиксирует все файловые операции в контролируемых системах. При этом необходимо учитывать, что в повседневной работе постоянно наблюдаются различные легитимные массовые операции со стороны обычных пользователей, такие как чтение (копирование, поиск, построение предпросмотра и пр.) или изменение (закачка новых данных на сервер, работа приложений и т. д.) файлов, из-за чего корреляция по таким типам событий будет давать множество ложноположительных срабатываний.
Поэтому корректным — с точки зрения детектирования активности вируса-шифровальщика — будет отслеживание массовых операций переименования файлов: такая активность не свойственна ни сотрудникам, ни приложениям (за редкими исключениями вроде AutoCAD). Последние можно игнорировать с помощью фильтров по путям доступа, где работают эти программы. Также «Спектр | DCAP/DAG» позволяет применить режим полной или «мягкой» блокировки (перевод в режим «только чтение» на файловом ресурсе) на выбор офицера ИБ, чтобы избежать негативного влияния на бизнес-процессы.
В тестовой лаборатории компании «СайберПик» регулярно проходят внутренние тестирования заражений файловых серверов с использованием большого набора вредоносных программ, исследуемых в компании. Благодаря этой работе в состав базовых правил системы «Спектр | DCAP/DAG» уже входят преднастроенные сценарии для выявления подобных инцидентов и реагирования на них.
Уменьшение площади атаки
Как показывает практика последних лет, даже хорошо выстроенные системы информационной безопасности хоть и позволяют существенно снизить риск ущерба от вирусов-шифровальщиков, но не дают стопроцентной гарантии. Именно поэтому столь важно проводить работы по части минимизации площади потенциальной атаки.
Одна из основных задач DCAP-системы — наведение порядка в файловых хранилищах, которые как раз и являются мишенями злоумышленников. Для снижения потенциального ущерба от заражения есть следующая общепринятая практика:
- постоянная работа по минимизации прав доступа любых учётных записей;
- контроль конфигураций учётных записей и настроек контроллеров домена;
- выявление мест хранения критически важных данных и перенос их из нецелевых директорий;
- контроль за избыточностью данных, удаление дубликатов, неиспользуемых файлов и т. д.
Все эти вещи не защищают напрямую от проникновения и запуска вируса-шифровальщика, однако настройка оптимальных прав доступа и чётко структурированное расположение критически важных данных позволяют значительно снизить ущерб в случае успешной атаки.
Заключение
С учётом того что основная цель атак вирусов-шифровальщиков — это повреждение данных, не стоит недооценивать важность защиты самых ценных информационных активов любой компании — документов и файлов. DCAP-системы способны не только минимизировать площадь инфраструктуры, которая может быть подвержена атаке, но и эффективно выявлять и нейтрализовывать активность уже проникшего в инфраструктуру вредоносного кода.
Провести бесплатный аудит своей инфраструктуры, а также киберучения по атакам вирусов-шифровальщиков можно с помощью «Спектр | DCAP/DAG» — решения от российского разработчика систем информационной безопасности «СайберПик».
Реклама, ООО "Сайберпик", ИНН 9725025175
ERID: 2Vfnxveopj2
