“Kao analitičar prijetnji i odgovora na incidente, veliki dio svog vremena posvećujem borbi protiv ransomware-a.” tvrdi Alex Hinchliffe, analitičar obavještajnih podataka o prijetnjama, Jedinica 42 , Palo Alto Networks.
Iako bismo svi mogli poželjeti da obim problema nije tako velik, učimo mnogo više o tome kako funkcionira ransomware, vrijedna inteligencija koja čini organizacije sigurnijim. Na primjer, naši vlastiti podaci iz istraživanja stvarnih incidenata otkrivaju da vodeći način na koji napadači provaljuju dolaze od ranjivosti softvera u gotovo polovini svih slučajeva, praćenih brutalnim napadima na kredencijale, ukradenim kredencijalima i zloupotrebom pouzdanih alata.
Međutim, nema potrebe za savjetom očaja u vezi s ransomware-om jer organizacije mogu postati otpornije i uzvratiti. Pročitajte plan od 10 tačaka:
1. Budite u toku sa razvojem pretnje
Pejzaž prijetnji ransomware-a će se nesumnjivo razvijati kako hakeri primjenjuju nove tehnike za gušenje poslovnih operacija. Obavještavajte svoj sigurnosni tim i ključne izvršne dioničare o trenutnom stanju prijetnji ransomware-a, potencijalnom utjecaju na poslovanje i mjerama koje možete poduzeti da spriječite napade. Praćenje najnovijeg razvoja omogućiti će fokusirane napore u zakrpanju ranjivih aplikacija umjesto da pokušavate zakrpiti sve.
2. Analizirajte poslovni uticaj gubitka kritičnih podataka
Da biste razumili uticaj ransomware napada, prvo morate steći potpunu vidljivost svoje imovine i razumjeti gdje se nalaze kritični podaci, kako im se pristupa i kako se koriste u cijeloj organizaciji. Dovršite vježbu mapiranja podataka, osiguravajući da je pristup povjerljivim informacijama na osnovu potrebe za saznanjem. Zatim, izvršite analizu poslovnog uticaja na rizike nedostatka pristupa tim podacima. U ovom trenutku, također je vrijedno osigurati da vaše sigurnosne procedure funkcionišu i da su otporne na današnje napade ransomware-a koji pokušavaju da ih sabotiraju.
3. Procijeniti unutrašnju i vanjsku spremnost
Postoji povećan rizik od ozbiljnog napada ransomware-a kada nije izvršena dosljedna procjena sigurnosnog položaja. Dakle, procijenite najznačajnije rizike koji su pred Vama na osnovu Vaše jedinstvene kombinacije ljudi, procesa, tehnologije i sposobnosti upravljanja. Ne zaboravite da identifikujete rizike trećih strana. Na osnovu toga, možete uspostaviti prioritetni plan za ublažavanje uticaja koji detaljno opisuje zahtjeve za postizanje sigurnosnih ciljeva Vaše organizacije usklađenih sa strateškim poslovnim ciljevima.
4. Pregledajte i testirajte svoj plan odgovora na incidente
Redovno testirajte okruženje na pritisak i ažurirajte svoj plan reagovanja na incidente, koristeći najnoviju obavještajnu informaciju o prijetnjama ransomware-a za vježbe i simulacije testiranja. Ovo bi također trebalo uključivati testiranje i vraćanje rezervnih kopija, osiguravajući da su adekvatne da pomognu u odgovoru na napade.
Molimo Vas da svoje ključne dioničare uključite u testove. Prethodni teški razgovori će uštedjeti dragocjeno vrijeme i osigurati da se organizacije fokusiraju na ono što je najvažnije u napadu ransomware-a, održavanje kritičnih operacija i vraćanje u normalu.
5. Implementirajte Zero Trust
Pravilno raspoređen, strateški pristup kiber bezbjednosti sa nultim povjerenjem pojednostavljuje i objedinjuje upravljanje rizicima tako što sigurnost čini jednim slučajem upotrebe među korisnicima, uređajima, izvorima veze ili metodama pristupa. Rizici ransomware-a se rješavaju načinom na koji nulto povjerenje eliminira implicitno povjerenje i kontinuirano potvrđuje svaku fazu digitalne interakcije. Višefaktorska autentikacija ide ruku pod ruku sa nultim povjerenjem kako bi se osiguralo da je mrežna komunikacija kroz mrežne segmente ovlaštena.
6. Identifikujte svoju izloženu imovinu i blokirajte uobičajene ransomware napade
Usvojite sistem evidencije za praćenje svake imovine, sistema i usluge koje posjedujete na internetu. Ovo uključuje praćenje svih glavnih provajdera usluga u Cloud-u i dinamički iznajmljenog prostora davatelja internetskih usluga (ISP), korištenjem sveobuhvatnog indeksiranja i obuhvata uobičajene i često pogrešno konfigurirane portove i protokole. Na primjer, protokol udaljene radne površine (RDP) je odgovoran za većinu infekcija ransomware-om jer napadači mogu lako otkriti RDP zahvaljujući tome što je rad od kuće sada sve češći. Opet, višefaktorska autentifikacija može značajno pomoći ovdje kako bi se osiguralo da ljudi koji koriste takve račune budu oni za koje kažu da jesu. Imajte na umu višefaktorske bombaške napade gdje napadači mogu pokušati generisati mnoge zahtjeve za odobrenje (česta push obavještenja ili SMS poruke) kako bi prevarili korisnika da odobri pogrešan.
7. Spriječite poznate i nepoznate prijetnje
Nastojte pretvoriti nepoznato u poznato i pružiti novu zaštitu većom brzinom nego što napadači mogu odgovoriti. Da biste spriječili poznate prijetnje, morate spriječiti poznate eksploatacije, maliciozni softver i komandno-kontrolni promet da uđe u Vašu mrežu. Njihovo blokiranje povećava troškove izvođenja napada ransomware-a dovoljno da odvrati napadače. Također, fokusirajte se na identifikaciju i blokiranje nepoznatih prijetnji dok sofisticiraniji napadači primjenjuju nove eksploatacije nultog dana i razvijaju nove varijante ransomware-a.
8. Automatizujte gdje je moguće
Kada smo upozoreni na napad ransomware-a, mnogo sati ručnog rada se troši na spajanje različitih izvora informacija iz više alata. Implementirajte alate koji podržavaju automatizovanu sanaciju ransomware-a koristeći unaprijed napravljene priručnike za odgovor i oporavak. Sigurnosna orkestracija, automatizacija i odgovor (SOAR) automatizuju cijeli proces tako da timovi za odgovor mogu brzo isključiti ransomware, minimizovati gubitke podataka i ograničiti financijski uticaj.
9. Sigurna radna opterećenja u Cloud-u
Da biste zaštitili radna opterećenja u Cloud-u od ransomware-a, osigurajte da je sva infrastruktura Cloud-a, Kubernetes-a i slike kontejnera bezbedno konfigurisani i da su preduzeti koraci za minimizovanje ranjivosti, uključujući sve bezbjednosne funkcije isključene prema zadanim postavkama. Provjerite otvorene pakete i biblioteke za ranjivosti koje je moguće zakrpiti. Identifikujte i uklonite pretjerano dopuštena ili neiskorištena IAM prava.
10. Smanjite vrijeme odgovora pomoću tima za podršku eksternih stručnjaka
Od ključne je važnosti poduzeti brze mjere nakon što se identificira potencijalna povreda. Sa postavljenim timom za odgovor na incidente (IR), IR stručnjaci postaju produžetak vašeg tima, spremni da uđu kad god vam zatreba pomoć.
Izvor: Infosecurity Magazine