Борьба с программами-вымогателями

Программа-вымогатели быстро стали одним из главных кошмаров в области кибербезопасности. В статье рассматриваются стратегии 

• профилактика, 
• подготовка к отражению атак, 
• реагирование на атаку,
• восстановление после атаки.

Программы-вымогатели вышли на новый уровень сложности, а требования к платежам взлетели до десятков миллионов долларов. По оценкам Cybersecurity Ventures, затраты на программы-вымогатели к 2031 году должны достичь 265 миллиардов долларов.

Некоторые примеры: 

• Colonial Pipeline заплатила выкуп в размере 4,4 миллиона долларов. 
• Мировой производитель мяса JBS заплатил 11 миллионов долларов,
• Глобальная страховая компания CNA Financial заплатила 40 миллионов долларов. 
• Атака программы-вымогателя на американского поставщика программного обеспечения Kaseya была нацелена на удаленное управление компьютерами и поставила под угрозу до 2000 компаний по всему миру.

Компаниям необходимо сосредоточить внимание на стратегиях противодействия программам-вымогателям с тем, чтобы обеспечить устойчивость бизнеса. Ниже - описание таких стратегий.

Профилактические меры противодействия программам-вымогателям

Бдительность является ключевым фактором создания безопасной рабочей среды. А безопасность должна рассматривать как непрерывная работа всех подразделений фирмы, все, - от совета директоров и топ-менеджеров до нижних звеньев, должны быть на одной волне.

Согласно отчетов Coveware - в 75% случаях программы-вымогателей начинают вторжение либо с фишинговой электронной почты, либо с компрометацией протокола удаленного рабочего стола (RDP). Согласно отчету Verizon о расследовании утечек данных за 2021 год (DBIR), в 60% случаях программы-вымогатели и другое вредоносное ПО устанавливаются или напрямую или через приложения для RDP.

Профилактические меры сродни гигиене, и здесь используются следующие тактические приемы.

Это показывает, насколько важна гигиена кибербезопасности для всей организации, от сотрудников и поставщиков до сторонних цепочек поставок. Это первая линия защиты от кибератак. Компании добиваются успеха, используя следующую тактику:

Защита RDP

Меры включают

• надежные пароли, 
• многофакторную аутентификацию, 
• своевременное обновление программного обеспечения, 
• ограниченный доступ и аутентификацию на уровне сети.

Многофакторная аутентификация (MFA). Настоятельно рекомендуется MFA для критически важных активов и пользователей с высоким уровнем риска. Эта тактика может стать сильным барьером для атак, использующих доступ на основе учетных данных.

Управление патчами. Устаревшие системы имеют в своем составе известные хакерам проблемами безопасности. После RDP и фишинговых атак уязвимое программное обеспечение является следующим по величине вектором атаки.

Отключение возможностей командной строки на уровне пользователя и блокировка порта 445 протокола управления передачей (TCP). Вымогатели используют бесплатное или недорогое программное обеспечение, а также инструменты сканирования для сбора учетных данных и для обнаружения внутренних незащищенных портов. И это делается путем анализа работы с командной строкой. Если командная строка отключена, компания становится более сложной мишенью для вымогателей. Блокировка порта 445 внешней инфраструктуры и внутренних брандмауэров также помогает уменьшить возможности атак.

Защита Active Directory - каталог (база данных) и набор служб, которые соединяют пользователей с сетевыми ресурсами, необходимыми им для выполнения своей работы. Каталог содержит важную информацию о среде, о пользователях и компьютерах, а также о правах пользователей.

Образование и обучение. Обучение и образование в области кибербезопасности должны быть обязательными. Вам не нужно быть высококвалифицированным и опытным специалистом в области кибербезопасности, но обязаные иметь базовые знания и осведомленность об угрозах и способах их реализации.

Подготовка к отражению атак

Отработка способов и сценариев отражения атак позволит заранее подготовиться к атаке, нежели разбираться на лету - что случилось.

Такая подготовка включает в себя следующее:

Определение - кто и какие принимает решения:

• Кто возглавит группу реагирования? 
• Участвует ли генеральный директор во мероприятиях по реагированию на атаку?
• Может ли ИТ-отдел на начальном этапе самостоятельно принимать решения не оглядываясь на бизнес?
• Кто в конечном итоге будет принимать решения защищать эти решения внутри и за пределами компании?

В итоге должен быть назначен человек, ответственный за антикризисное реагирование, а также должны быть построены и согласованы деревья решений.

Подготовка ко всем вариантам и понимание ограниченности переговоров.

Прежде чем столкнуться с атакой программ-вымогателей, большинство компаний заявляют, что не будут платить выкуп. Однако, согласно отчету ThycoticCentrify за 2021 год о состоянии программ-вымогателей, более 80% удовлетворили требования о выкупе.

Активизация совета директоров.

Как правило, члены совета директоров захотят помочь решить проблемы, возникающие в ходе атаки.. Поэтому Совет директоров должен получить описание роли и действий членов совета директоров и правления в отражении атаки. Это позволит быстро организовать совместную работу и принятие быстрых решений. В современных условиях кибербезопасность становится совместной задачей совета директоров и руководителей всех уровней организации.

Повышение устойчивости бизнеса.

Для обеспечения непрерывности бизнеса нужно иметь ответ на вопрос: 

«Как мы будем управлять этим процессом, если какая-то технология или человек будут нарушены?»

Операционная устойчивость нацелена на выработку ответ на немного другой вопрос: 

«Как мы организуем работу, чтобы конкретное событие не мешало нам?»

Компании должны иметь ответы на оба вопроса, чтобы подготовиться к кибератакам.

Одна из причин, побуждающая компании платить, состоит в том, что оплата — «более безопасный» вариант по сравнению с потерей непрерывности и устойчивости бизнеса. Для обоснованного ответа стоит выяснить следующее:

• Какие активы важны и где они находятся. Это может не только помочь оценить потенциальные последствия атаки программы-вымогателя, но также позволит расставить приоритеты и определиться с инвестициями в инфраструктуру и безопасность.
• Уточните процессы резервного копирования и возможности восстановления. А также определиться с тем, что нужно хранить, а от чего избавиться.
• Провести тестирование процессов восстановления.

Реагирование на атаку

При атаке программы-вымогателя время имеет решающее значение, поэтому важны согласованные действия. Директору по информационной безопасности или ответственному руководителю необходимо обеспечить прозрачность и сотрудничество с заинтересованными сторонами внутри компании, включая совет директоров, высшее руководство и вовлеченные в атаку бизнес-группы. Также и внешние внешние заинтересованные стороны могут помочь в отражении атаки. В частности, организация может обратиться в правоохранительные органы и воспользоваться их возможностями.

Займитесь криминалистикой и разведкой. На самых ранних этапах атаки используйте разведданные, чтобы определить, кто стоит за атакой и как они смогли получить доступ к системе и активировать вредоносное ПО.

Исследуйте альтернативы оплате. Попытайтесь найти или получить доступ к известным незашифрованным теневым копиям данных или даже к ключу дешифрования, используя ресурсы сторонних дружественных организаций.

Восстановление после атаки

Несмотря ни на что, восстановление после атаки программы-вымогателя может быть сложным. Если удовлетворить требование вымогателей, то есть заплатить, - и получить ключ дешифрования - и даже если он сработает, - придется провести значительные работы по очистке системы от вмешательств и закладок злоумышленников. Если требования вымогателей не удовлетворяются, то много времени займет восстановление систем с резервных копий.

Согласно отчета Coveware, среднее время простоя компании после атаки программ-вымогателей составляет 21 день. Кроме того, по данным Института национальной безопасности, средняя запрашиваемая плата за выкуп увеличилась с 5000 долларов в 2018 году до примерно 200 000 долларов в 2020 году. Хотя следует иметь в виду, что запрашиваемый выкуп зависит от размера компании, дохода, отрасли и важность данных.

Кроме того, помните, что если организация подвергается атаке и чувствует, что должна заплатить, злоумышленник становится "деловым" партнером, поэтому помните об этих правилах:

• Проверка - дейтвительно ли вымогатели в состояние вернуть систему в работоспособное состояние. Для злоумышленников программы-вымогатели — это бизнес, и они хотят сохранить свою репутацию. Чем ближе дело подходит к выплате выкупа, тем важнее доказательства того, что злоумышленники действительно имеют то, что нужно.
• Что нужно обсуждать? В крупных организациях криминалистические группы обычно могут выяснить, как найти или активировать ключ дешифрования. В этих случаях решение о выплате выкупа зависит от элементов данных, находящихся под угрозой, и от того, сколько компания готова заплатить, чтобы не допустить уничтожения или раскрытия данных.

Заключение

Программы-вымогатели уродливы. Но обеспечение устойчивости предприятия с помощью стратегий предотвращения, подготовки, реагирования и восстановления позволит компании восстанавливаться после атак и не платить огромный выкуп.

Источник.

Предотвращение программ-вымогателей: как организации могут дать отпор
14 февраля 2022 г. | Статья
Джим Бём , Франц Холл, Рич Изенберг и Марисса Мишель

English:
Ransomware prevention: How organizations can fight back
February 14, 2022 | Article
By Jim Boehm, Franz Hall, Rich Isenberg, and Marissa Michel

https://www.mckinsey.com/Business-Functions/Risk-and-Resilience/Our-Insights/Ransomware-prevention-How-organizations-can-fight-back?cid=other-eml-dre-mip-mck&hlkid=bdeb6a98a3d9412e98fd81fdd3ba4e19&hctky=1520452&hdpid=dd7e926c-2c97-4fc8-b90b-f3bc533bf737