logo_opentech2

AktuALNOŚCI

ransomware
Facebook
Twitter
LinkedIn

PODSTAWOWE WSKAZÓWKI DOTYCZĄCE RANSOMWARE

Ataki Ransomware są coraz bardziej nasilone, a świadomość przeciwdziałania i zapobiegania nim chociaż wzrasta, nadal jest na bardzo niskim poziomie. Należy przede wszystkim uświadomić naczelne kierownictwo organizacji przed szkodliwymi działaniami tego typu ataków i ich wysokimi konsekwencjami. Można jednak zminimalizować podatność poprzez pewne podstawowe kroki zapobiegawcze, które organizacja może podjąć już teraz, aby chronić się przed zagrożeniem ransomware i odzyskać je. Obejmują one:

  1. Edukacja pracowników w zakresie unikania infekcji ransomware.
  •  Nie otwieraj plików ani nie klikaj linków z nieznanych źródeł, chyba że najpierw uruchomisz skanowanie antywirusowe lub dokładnie obejrzysz linki.
  • Unikaj korzystania z osobistych stron internetowych i osobistych aplikacji – takich jak poczta elektroniczna, czat i media społecznościowe – z komputerów w pracy.
  • Nie należy podłączać urządzeń będących własnością prywatną do sieci służbowych bez wcześniejszego upoważnienia.
  1. Unikaj posiadania luk w systemach, które mogłyby zostać wykorzystane przez ransomware.
  • Utrzymuj odpowiednie systemy w stanie pełnej gotowości. Przeprowadzaj zaplanowane kontrole w celu zidentyfikowania dostępnych poprawek i instaluj je tak szybko, jak to możliwe.
  • Stosowanie zasad „zero zaufania” we wszystkich systemach sieciowych. Zarządzaj dostępem do wszystkich funkcji sieciowych i segmentuj sieci wewnętrzne tam, gdzie to możliwe, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania wśród potencjalnych systemów docelowych.
  • Zezwalaj na instalację i wykonywanie tylko autoryzowanych aplikacji. Skonfiguruj systemy operacyjne i/lub oprogramowanie firm trzecich tak, aby uruchamiały tylko autoryzowane aplikacje. Może to być również wspierane przez przyjęcie polityki przeglądania, a następnie dodawania lub usuwania autoryzowanych aplikacji na liście dozwolonych.
  • Poinformuj dostawców technologii o swoich oczekiwaniach (np. w języku umowy), że będą stosować środki zniechęcające do ataków ransomware.
  1. Szybkie wykrywanie i zatrzymywanie ataków i infekcji ransomware.
  • Przez cały czas używaj oprogramowania do wykrywania złośliwego oprogramowania, np. oprogramowania antywirusowego. Ustaw je na automatyczne skanowanie wiadomości e-mail i dysków flash.
  • Stale monitoruj usługi katalogowe (i inne podstawowe magazyny użytkowników) pod kątem wskaźników kompromisu lub aktywnego ataku.
  • Blokowanie dostępu do niezaufanych zasobów internetowych. Używaj produktów lub usług blokujących dostęp do nazw serwerów, adresów IP lub portów i protokołów, o których wiadomo, że są złośliwe lub podejrzewa się, że są wskaźnikami złośliwej aktywności systemu. Obejmuje to korzystanie z produktów i usług zapewniających ochronę integralności komponentu domenowego adresów (np. hacker@poser.com).
  1. Utrudnij rozprzestrzenianie się oprogramowania ransomware.
  • W miarę możliwości należy używać standardowych kont użytkowników z uwierzytelnianiem wieloczynnikowym zamiast kont z uprawnieniami administracyjnymi.
  • Wprowadzić opóźnienia w uwierzytelnianiu lub skonfigurować automatyczną blokadę konta jako obronę przed automatycznymi próbami odgadnięcia haseł.
  • Przydzielanie i zarządzanie uprawnieniami do wszystkich zasobów przedsiębiorstwa i oprogramowania oraz okresowe sprawdzanie, czy każde konto ma tylko niezbędny dostęp zgodnie z zasadą najmniejszych uprawnień.
  • Przechowuj dane w niezmiennym formacie (aby baza danych nie nadpisywała automatycznie starszych danych, gdy udostępniane są nowe).
  • Zezwalaj na zewnętrzny dostęp do wewnętrznych zasobów sieciowych wyłącznie poprzez bezpieczne połączenia wirtualnej sieci prywatnej (VPN).
  1. Ułatw sobie odzyskanie przechowywanych informacji po przyszłym zdarzeniu związanym z oprogramowaniem ransomware.
  • Opracuj plan naprawczy dla incydentu. Opracuj, wdróż i regularnie ćwicz plan odbudowy po incydencie z określonymi rolami i strategiami podejmowania decyzji. Może to być część planu ciągłości działania. Plan ten powinien określać usługi krytyczne dla misji i inne usługi istotne dla biznesu, aby umożliwić ustalenie priorytetów w zakresie odzyskiwania danych, a także plany ciągłości działania dla tych usług krytycznych.
  • Twórz kopie zapasowe danych, zabezpieczaj kopie zapasowe i testuj przywracanie. Starannie zaplanuj, wdróż i przetestuj strategię tworzenia kopii zapasowych i przywracania danych – zabezpiecz i odizoluj kopie zapasowe ważnych danych.
  • Zachowaj kontakty. Utrzymuj aktualną listę wewnętrznych i zewnętrznych kontaktów w przypadku ataków ransomware, w tym organów ścigania, radców prawnych i zasobów reagowania na incydenty

Jeżeli chcesz aby przeprowadzić audyt w zakresie bezpieczeństwa informacji, w tym cyberbezpieczeństwa prosimy o kontakt z nami z pomocą formularza kontaktowego, adresu e-mail: biuro@opentech.com.pl, biuro@iqsecurity.pl lub telefonicznie w zakładce kontakt – tutaj.

Materiał opracowano na podstawie nomy i standardów NISTIR 8374.

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.