Ataki Ransomware są coraz bardziej nasilone, a świadomość przeciwdziałania i zapobiegania nim chociaż wzrasta, nadal jest na bardzo niskim poziomie. Należy przede wszystkim uświadomić naczelne kierownictwo organizacji przed szkodliwymi działaniami tego typu ataków i ich wysokimi konsekwencjami. Można jednak zminimalizować podatność poprzez pewne podstawowe kroki zapobiegawcze, które organizacja może podjąć już teraz, aby chronić się przed zagrożeniem ransomware i odzyskać je. Obejmują one:
- Edukacja pracowników w zakresie unikania infekcji ransomware.
- Nie otwieraj plików ani nie klikaj linków z nieznanych źródeł, chyba że najpierw uruchomisz skanowanie antywirusowe lub dokładnie obejrzysz linki.
- Unikaj korzystania z osobistych stron internetowych i osobistych aplikacji – takich jak poczta elektroniczna, czat i media społecznościowe – z komputerów w pracy.
- Nie należy podłączać urządzeń będących własnością prywatną do sieci służbowych bez wcześniejszego upoważnienia.
- Unikaj posiadania luk w systemach, które mogłyby zostać wykorzystane przez ransomware.
- Utrzymuj odpowiednie systemy w stanie pełnej gotowości. Przeprowadzaj zaplanowane kontrole w celu zidentyfikowania dostępnych poprawek i instaluj je tak szybko, jak to możliwe.
- Stosowanie zasad „zero zaufania” we wszystkich systemach sieciowych. Zarządzaj dostępem do wszystkich funkcji sieciowych i segmentuj sieci wewnętrzne tam, gdzie to możliwe, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania wśród potencjalnych systemów docelowych.
- Zezwalaj na instalację i wykonywanie tylko autoryzowanych aplikacji. Skonfiguruj systemy operacyjne i/lub oprogramowanie firm trzecich tak, aby uruchamiały tylko autoryzowane aplikacje. Może to być również wspierane przez przyjęcie polityki przeglądania, a następnie dodawania lub usuwania autoryzowanych aplikacji na liście dozwolonych.
- Poinformuj dostawców technologii o swoich oczekiwaniach (np. w języku umowy), że będą stosować środki zniechęcające do ataków ransomware.
- Szybkie wykrywanie i zatrzymywanie ataków i infekcji ransomware.
- Przez cały czas używaj oprogramowania do wykrywania złośliwego oprogramowania, np. oprogramowania antywirusowego. Ustaw je na automatyczne skanowanie wiadomości e-mail i dysków flash.
- Stale monitoruj usługi katalogowe (i inne podstawowe magazyny użytkowników) pod kątem wskaźników kompromisu lub aktywnego ataku.
- Blokowanie dostępu do niezaufanych zasobów internetowych. Używaj produktów lub usług blokujących dostęp do nazw serwerów, adresów IP lub portów i protokołów, o których wiadomo, że są złośliwe lub podejrzewa się, że są wskaźnikami złośliwej aktywności systemu. Obejmuje to korzystanie z produktów i usług zapewniających ochronę integralności komponentu domenowego adresów (np. hacker@poser.com).
- Utrudnij rozprzestrzenianie się oprogramowania ransomware.
- W miarę możliwości należy używać standardowych kont użytkowników z uwierzytelnianiem wieloczynnikowym zamiast kont z uprawnieniami administracyjnymi.
- Wprowadzić opóźnienia w uwierzytelnianiu lub skonfigurować automatyczną blokadę konta jako obronę przed automatycznymi próbami odgadnięcia haseł.
- Przydzielanie i zarządzanie uprawnieniami do wszystkich zasobów przedsiębiorstwa i oprogramowania oraz okresowe sprawdzanie, czy każde konto ma tylko niezbędny dostęp zgodnie z zasadą najmniejszych uprawnień.
- Przechowuj dane w niezmiennym formacie (aby baza danych nie nadpisywała automatycznie starszych danych, gdy udostępniane są nowe).
- Zezwalaj na zewnętrzny dostęp do wewnętrznych zasobów sieciowych wyłącznie poprzez bezpieczne połączenia wirtualnej sieci prywatnej (VPN).
- Ułatw sobie odzyskanie przechowywanych informacji po przyszłym zdarzeniu związanym z oprogramowaniem ransomware.
- Opracuj plan naprawczy dla incydentu. Opracuj, wdróż i regularnie ćwicz plan odbudowy po incydencie z określonymi rolami i strategiami podejmowania decyzji. Może to być część planu ciągłości działania. Plan ten powinien określać usługi krytyczne dla misji i inne usługi istotne dla biznesu, aby umożliwić ustalenie priorytetów w zakresie odzyskiwania danych, a także plany ciągłości działania dla tych usług krytycznych.
- Twórz kopie zapasowe danych, zabezpieczaj kopie zapasowe i testuj przywracanie. Starannie zaplanuj, wdróż i przetestuj strategię tworzenia kopii zapasowych i przywracania danych – zabezpiecz i odizoluj kopie zapasowe ważnych danych.
- Zachowaj kontakty. Utrzymuj aktualną listę wewnętrznych i zewnętrznych kontaktów w przypadku ataków ransomware, w tym organów ścigania, radców prawnych i zasobów reagowania na incydenty
Jeżeli chcesz aby przeprowadzić audyt w zakresie bezpieczeństwa informacji, w tym cyberbezpieczeństwa prosimy o kontakt z nami z pomocą formularza kontaktowego, adresu e-mail: biuro@opentech.com.pl, biuro@iqsecurity.pl lub telefonicznie w zakładce kontakt – tutaj.
Materiał opracowano na podstawie nomy i standardów NISTIR 8374.