Стратегия защиты от шифровальщиков

Новости об атаках шифровальщиков-вымогателей перестали восприниматься как нечто необычное — сообщения об очередных жертвах появляются с завидной регулярностью. Поэтому сейчас каждой компании особенно важно иметь продуманную многоуровневую стратегию защиты от этой угрозы.

Усильте защиту наиболее вероятных точек входа злоумышленников

Большая часть атак при помощи шифровальщиков-вымогателей происходит достаточно стандартно: либо кто-то из сотрудников поддается на уловки социальной инженерии и открывает присланный файл, либо злоумышленники добывают удаленный доступ к системам компании (узнавая пароли из утечек, подбирая брутфорсом или скупая их у брокеров первоначального доступа). В отдельных случаях они используют уязвимости в серверном ПО. Поэтому от большей части проблем можно избавиться, если:

• Kaspersky Automated Security Awareness Platform правилам информационной безопасности и цифровой гигиены. Если люди смогут самостоятельно отличать фишинговое письмо от легитимного и будут бережно относиться к паролям, это изрядно уменьшит нагрузку на сотрудников ИБ-отделов;
• продвигать строгую парольную политику — запретить повторяющиеся пароли, настаивать на использовании сложных и обязательно применять надежное ПО для хранения паролей;
• не использовать без лишней необходимости службы удаленных рабочих столов (такие как RDP) в публичных сетях, а если такая надобность все-таки возникает, то организовывать удаленный доступ только через защищенный VPN-канал;
• приоритезировать установку обновлений на все подключенные устройства — в первую очередь, оперативно устанавливать патчи для критического ПО (операционных систем, браузеров, офисных пакетов, VPN-клиентов, серверных приложений), как можно скорее закрывать уязвимости, позволяющие удаленное исполнение кода (RCE) и повышение привилегий.

Убедитесь, что ваша команда ИБ готова к отражению современных киберугроз

Инструменты и защитные технологии, применяемые вашей командой ИБ-специалистов, должны быть готовы к современным угрозам. Более того, сами эксперты также должны иметь доступ к оперативной информации об изменениях в ландшафте угроз. Поэтому мы советуем:

• используйте актуальные данные об угрозах (threat intelligence), чтобы ваши эксперты всегда были в курсе тактик, методов и процедур, которые используют злоумышленники;
• своевременно обновляйте защитные решения, чтобы они могли со стопроцентной вероятностью выявлять угрозы, наиболее часто используемые для доставки шифровальщиков (трояны типа RAT, эксплойты, активность ботнетов);
• применяйте инструменты, способные не просто выявлять вредоносное ПО, но и отслеживать подозрительную активность в инфраструктуре компании (решения класса Extended Detection and Response);
• в условиях ограниченных ресурсов внутренней команды задумайтесь о том, чтобы воспользоваться помощью сторонних экспертов (или решениями класса Managed Detection and Response);
• не забывайте отслеживать исходящий трафик, это поможет выявлять несанкционированные подключения извне корпоративной инфраструктуры;
• уделяйте особенное внимание отслеживанию применения скриптовых языков и инструментов для горизонтального распространения в сети компании;
• отслеживайте новости о шифровальщиках и не забывайте при появлении новых распространенных штаммов убеждаться, что ваши защитные технологии способны с ними справиться.

Разработайте стратегию на случай успешной атаки шифровальщика

Полагаться на технологии детектирования и противодействия шифровальщикам можно, но лучше иметь и продуманный план на случай, если они не сработают. Ситуации бывают разные. Например, зловредный инсайдер, особенно с правами администратора, может сделать вашу систему защиты бесполезной. Важно, чтобы инцидент не застал вас врасплох. Чтобы избежать простоев из-за возможного киберинцидента:

• регулярно создавайте резервные копии данных, особенно критических для бизнеса;
• обеспечьте быстрый доступ к ним для экстренных случаев.