Casa Negocis Com es pot defensar contra el ransomware

Com es pot defensar contra el ransomware

2024

Taula de continguts:

Com evitar un atac de Ransomware
Per què el Ransomware és diferent?
Com Protegir-se
Advertències i proteccions anticipades
Haureu de pagar el Ransom?

Vídeo: Smart Coffee Maker Hacked With Ransomware & Starts Mining Monero (Setembre 2024)

Tots sabem que el ransomware és una de les variants de programari maliciós més destructives que hi ha. Esteu parlant de fer clic a l’enllaç equivocat i de que les dades de la vostra organització desapareguin en un pantà de botó de dades xifrat, o fins i tot dels seus sistemes operatius del servidor (SO) i d’altres fitxers crítics que simplement s’esvaeixen un dia. Podeu pagar el rescat, però això no només pot ser car, sinó que no garanteix que els dolents us proporcionin les vostres dades.

Quan us toca, les vostres opcions són desagradables: o bé espereu que pugueu restaurar els vostres sistemes mitjançant el funcionament de còpies de seguretat basades en núvol o bé pagueu la rescat i espereu que la clau de desxifrat funciona. Però només és si et colpeja. La millor opció és evitar que els vostres fitxers estiguin xifrats en primer lloc o, si es produeixen alguns fitxers, es deixi de propagar l'atac. La clau és millorar el joc de seguretat de la vostra empresa per evitar que sigui atacat.

Com evitar un atac de Ransomware

El primer pas és el que Israel Barak, responsable de Seguretat de la Informació (CISO) del desenvolupador de programari de detecció i resposta de punt final Cybereason anomena "higiene informàtica i de seguretat". Això significa evitar vulnerabilitats i filtrar el trànsit de correu electrònic i web. També significa proporcionar formació als usuaris i assegurar-se que els pegats del vostre sistema operatiu, aplicacions i productes de seguretat estan completament actualitzats.

El segon pas és tenir una continuïtat empresarial i una estratègia de recuperació. Això significa realment fer un pla per quan les coses vagin malament en lloc només d’esperar que no ho faran. Barak va dir que inclou incloure còpies de seguretat al seu lloc i provar-les, saber com recuperarà els serveis afectats, saber on obtindràs recursos informàtics per a la recuperació i saber que funcionarà el vostre pla de recuperació completament perquè ja ho heu provat.

El tercer pas és tenir una protecció anti-malware al seu lloc. Barak va dir que això inclou protegir contra programari maliciós que entra a la vostra xarxa i proteccions contra l'execució de programari maliciós durant el vostre sistema. Afortunadament, la majoria de programari maliciós és força fàcil de detectar perquè els autors de programari maliciós comparteixen habitualment rutines d’èxit.

Per què el Ransomware és diferent?

Malauradament, ransomware no és com un altre programari maliciós. Barak va dir que, com que el ransomware només és resident en un ordinador breument, no és difícil evitar la detecció abans de completar el seu xifratge i enviar el missatge del ransomware. A més, a diferència d’altres tipus de programari maliciós, el programari maliciós que realment realitza el xifratge d’arxius pot arribar als ordinadors de la víctima només uns instants abans que comenci el xifratge.

Dos tipus de malware relativament recents (Ryuk i SamSam) entren als vostres sistemes sota la tutela d’un operador humà. En el cas de Ryuk, aquest operador es troba probablement a Corea del Nord i amb SamSam, a l'Iran. En cada cas, l’atac comença amb la cerca de credencials que permetin l’entrada al sistema. Un cop allà, l’operador examina el contingut del sistema, decideix quins fitxers cal xifrar, eleva privilegis, busca i desactiva el programari anti-malware i els enllaços a còpies de seguretat que també es xifraran, o en alguns casos, desactiva les còpies de seguretat. Aleshores, després de potser mesos de preparació, es carrega i es llança el malware de xifratge; pot acabar la seva feina en pocs minuts, massa ràpidament perquè hi intervingui un operador humà.

"A SamSam, no utilitzaven phishing convencional", va explicar Carlos Solari, vicepresident del desenvolupador de solucions de ciberseguretat Comodo Cybersecurity i ex Casa Blanca CIO. "Utilitzaven llocs web i roben credencials de persones i utilitzaven la força bruta per obtenir les contrasenyes."

Solari va dir que aquestes intrusions no es detecten freqüentment perquè no hi ha programari maliciós fins al final. Però va dir que, fet correctament, hi ha maneres d’aturar l’atac en aquest moment. Normalment, va dir que els delinqüents aniran després dels serveis de directori de la xarxa i ataquen els que puguin obtenir els privilegis de nivell administratiu necessaris per a la seva posada en escena per a l'atac. En aquest moment, un sistema de detecció d’intrusions (IDS) pot detectar els canvis i, si els operadors de xarxa saben què buscar, poden bloquejar el sistema i fer fora els intrusos.

"Si estan atenent, s'adonaran que hi ha algú per dins", va dir Solari. "És important trobar intel·ligència d’amenaça interna i externa. Esteu buscant anomalies al sistema."

Com Protegir-se

Per a empreses més petites, Solari suggereix que les empreses trobin com a servei un Centre d’operacions de seguretat de detecció i resposta (MDR) de detecció i resposta gestionades. Va afegir que les empreses més grans podrien voler trobar un proveïdor de serveis de seguretat gestionat (MSSP). Ambdues solucions permetran estar atent als esdeveniments de seguretat, inclosa la posada en escena abans d’un atac important de ransomware.

A més de controlar la vostra xarxa, també és important que la vostra xarxa sigui més inhòspita per als delinqüents. Segons Adam Kujawa, director de Malwarebyte Labs, un pas crític és segmentar la vostra xarxa perquè un intrús no es pugui moure simplement per la vostra xarxa i tenir accés a tot. "No heu de mantenir totes les vostres dades al mateix lloc", va dir Kujawa. "Necessiteu un nivell de seguretat més profund."

Però, si resulta que no heu detectat les etapes invasives abans de l’atac de ransomware, hi ha una altra capa o resposta, que és la detecció del comportament del programari maliciós quan comença a xifrar fitxers.

"El que hem afegit és un mecanisme comportamental que es basa en un comportament propi del ransomware", explica Barak. Va dir que aquest programari mira el que podria estar fent el ransomware, com ara xifrar fitxers o esborrar còpies de seguretat, i que després es pren mesures per matar el procés abans que pugui fer cap mal. "És més eficaç contra les soques de ransomware mai abans vistes".

Advertències i proteccions anticipades

Per proporcionar un formulari d’avís precoç, Barak va dir que la cibereasonca fa un altre pas. "El que hem fet és utilitzar un mecanisme d'excepció", va dir. "Quan el programari Cybereason continua en un punt final, crea una sèrie de fitxers base que es posicionen en carpetes del disc dur que farien que el ransomware tractés de xifrar-los primer." Va dir que es detecten immediatament canvis a aquests fitxers, Aleshores, el programari de Cybereason o un programari similar de Malwarebytes acabarà el procés i, en molts casos, contenirà el malware de manera que no pugui fer cap més dany.

Per tant, hi ha diverses capes de defensa que poden prevenir un atac de ransomware i, si les teniu totes funcionals i al seu lloc, un atac amb èxit hauria de seguir una sèrie de fallades per tal de produir-se. I podeu aturar aquests atacs a qualsevol part de la cadena.

Haureu de pagar el Ransom?

Però suposeu que voleu pagar les operacions de rescat i restaurar immediatament? "Per a algunes organitzacions, és una opció viable", va dir Barak.

Hauríeu d’avaluar el cost de la interrupció del negoci per determinar si el cost de tornar a funcionar és millor que el de la restauració, totes les coses considerades. Barak va dir que, per als atacs de ransomware empresarial, "en la majoria dels casos, torneu els fitxers".

Però Barak va dir que, si es paga el rescat és una possibilitat, també teniu altres consideracions. "Com ens preparem amb antelació per tenir el mecanisme per negociar el cost de recuperar els serveis? Com els paguem? Com podem formar el mecanisme per fer efectiu aquest tipus de pagament?"

Segons Barak, gairebé tots els atacs de ransomware inclouen un mitjà de comunicació amb l’atacant i la majoria de les empreses intenten negociar un acord al qual solen estar oberts els atacants de ransomware. Per exemple, podeu decidir que només necessiteu una part de les màquines xifrades i negociar només la devolució d'aquestes màquines.

La Millor Protecció Ransomware per al 2019 La Millor Protecció Ransomware per al 2019
Els hackers de SamSam Ransomware es recorren a 5, 9 milions de dòlars. Els hackers de SamSam Ransomware es reuneixen a 5, 9 milions de dòlars
2 iranians darrere dels atacs de SamSam Ransomware, reclamacions dels Estats Units 2 iranians darrere dels atacs de Samsam Ransomware, reclamacions dels Estats Units

"El pla s'ha de posar en marxa amb antelació. Com respondràs, qui es comunicarà, com pagareu el rescat?" Va dir Barak.

Si bé el pagament és una opció viable, per a la majoria de les organitzacions segueix sent una opció de darrera rasa, no una resposta de resposta. Hi ha moltes variables que no podeu controlar en aquest escenari, a més, un cop pagat un cop, mai podreu garantir que no sereu atacats amb més diners en el futur. Un pla millor és utilitzar una defensa sòlida que sigui prou difícil per desviar la majoria dels atacs de programari maliciós i derrotar als pocs que tenen èxit. Però, tot el que decidiu, recordeu que pràcticament totes les solucions requereixen fer una còpia de seguretat religiosa. Fes-ho ara, fes-ho sovint i prova sovint també per assegurar-te que les coses funcionen bé.