Strategia ochrony przed oprogramowaniem ransomware

Praktyczne wskazówki dotyczące ochrony firmy przed oprogramowaniem ransomware.

Ataki z użyciem oprogramowania ransomware nie wywołują już takiej sensacji jak dawniej. Doniesienia o nowych ofiarach pojawiają się niemal każdego dnia. Dlatego teraz tak ważne jest, aby firmy miały dobrze przemyślaną wielopoziomową strategię ochrony przed tym zagrożeniem.

Zamknij punkty wejścia

Większość ataków ransomware jest dość standardowa: albo pracownik daje się nabrać na socjotechnikę i otwiera załącznik do wiadomości e-mail, albo atakujący uzyskują zdalny dostęp do systemów firmy (źródłem danych są wycieki, siłowe łamanie haseł lub kupowanie ich od brokerów). W niektórych przypadkach wykorzystywane są luki w oprogramowaniu po stronie serwera. Dlatego większość problemów można wyeliminować poprzez:

  • Szkolenie pracowników w zakresie bezpieczeństwa informacji i higieny cyfrowej. Jeśli ludzie są w stanie odróżnić wiadomość phishingową od prawdziwej i zadbać o bezpieczeństwo haseł, w znaczący sposób zwiększają poziom ochrony w firmie.
  • Posiadanie ścisłej polityki haseł, która uniemożliwia stosowanie słabych i zduplikowanych haseł i wymaga użycia menedżera haseł.
  • Nieużywanie usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, chyba że jest to absolutnie konieczne. W takim przypadku skonfiguruj dostęp zdalny tylko za pośrednictwem bezpiecznego kanału VPN.
  • Priorytetowe instalowanie aktualizacji na wszystkich urządzeniach połączonych z internetem – przede wszystkim tych dla krytycznego oprogramowania (systemy operacyjne, przeglądarki, pakiety biurowe, klienty VPN, aplikacje serwerowe) oraz tych, które eliminują luki umożliwiające zdalne wykonanie kodu (RCE) i eskalację uprawnień.

Przygotuj swój zespół ds. bezpieczeństwa informacji na najnowsze cyberzagrożenia

Narzędzia i technologie ochrony wykorzystywane przez zespół ds. bezpieczeństwa informacji muszą być dostosowane do najnowszych zagrożeń; z kolei sami eksperci powinni mieć dostęp do aktualnych informacji na temat zmieniającego się krajobrazu zagrożeń. Dlatego warto zastosować się do poniższych wskazówek:

  • Korzystaj z najnowszych analiz zagrożeń, aby eksperci mieli bieżące informacje dotyczące taktyk, technik i procedur stosowanych przez cyberprzestępców.
  • Nie zwlekaj z instalowaniem aktualizacji rozwiązania zabezpieczającego, tak aby zapewniało ono kompleksową ochronę przed zagrożeniami dostarczającymi oprogramowanie ransomware (trojany zdalnego dostępu (RAT), exploity, aktywność botnetów).
  • Korzystaj z narzędzi, które nie tylko wykrywają szkodliwe oprogramowanie, ale także śledzą podejrzaną aktywność w infrastrukturze firmy (rozwiązania klasy Extended Detection and Response).
  • Jeśli masz ograniczone zasoby wewnętrzne, zatrudnij ekspertów zewnętrznych (lub zacznij korzystać z rozwiązań typu Managed Detection and Response).
  • Monitoruj ruch wychodzący w celu wykrycia nieautoryzowanych połączeń spoza infrastruktury korporacyjnej.
  • Ściśle monitoruj wykorzystanie języków skryptowych i narzędzi do ruchu poprzecznego w sieci firmy.
  • Bądź na bieżąco z wiadomościami dotyczącymi oprogramowania ransomware i upewnij się, że używane technologie ochrony poradzą sobie z nowymi wariantami.

Opracuj strategię działania na wypadek, gdyby atak ransomware się powiódł

Chociaż na technologiach wykrywania i ochrony przed oprogramowaniem ransomware możesz polegać, zawsze lepiej jest mieć plan B — na wypadek, gdyby jednak zawiodły. Na przykład ktoś, kto jest firmie nieprzychylny (i w dodatku ma uprawnienia administratora), może wyłączyć system zabezpieczeń. Zadbaj o to, aby incydent Cię nie zaskoczył. Aby uniknąć przestojów spowodowanych cyberincydentami:

  • regularne twórz kopie zapasowe danych — zwłaszcza jeśli mają kluczowe znaczenie dla ciągłości działania firmy,
  • zapewnij szybki dostęp do nich w nagłych wypadkach.
Porady