Программа-вымогатели быстро стали одним из главных кошмаров в области кибербезопасности. В статье рассматриваются стратегии
Некоторые примеры:
- Colonial Pipeline заплатила выкуп в размере 4,4 миллиона долларов.
- Мировой производитель мяса JBS заплатил 11 миллионов долларов,
- Глобальная страховая компания CNA Financial заплатила 40 миллионов долларов.
- Атака программы-вымогателя на американского поставщика программного обеспечения Kaseya была нацелена на удаленное управление компьютерами и поставила под угрозу до 2000 компаний по всему миру.
Компаниям необходимо сосредоточить внимание на стратегиях противодействия программам-вымогателям с тем, чтобы обеспечить устойчивость бизнеса. Ниже - описание таких стратегий.
Профилактические меры противодействия программам-вымогателям
Бдительность является ключевым фактором создания безопасной рабочей среды. А безопасность должна рассматривать как непрерывная работа всех подразделений фирмы, все, - от совета директоров и топ-менеджеров до нижних звеньев, должны быть на одной волне.
Согласно отчетов Coveware - в 75% случаях программы-вымогателей начинают вторжение либо с фишинговой электронной почты, либо с компрометацией протокола удаленного рабочего стола (RDP). Согласно отчету Verizon о расследовании утечек данных за 2021 год (DBIR), в 60% случаях программы-вымогатели и другое вредоносное ПО устанавливаются или напрямую или через приложения для RDP.
Профилактические меры сродни гигиене, и здесь используются следующие тактические приемы.
Это показывает, насколько важна гигиена кибербезопасности для всей организации, от сотрудников и поставщиков до сторонних цепочек поставок. Это первая линия защиты от кибератак. Компании добиваются успеха, используя следующую тактику:
Защита RDP
Меры включают
- надежные пароли,
- многофакторную аутентификацию,
- своевременное обновление программного обеспечения,
- ограниченный доступ и аутентификацию на уровне сети.
Многофакторная аутентификация (MFA). Настоятельно рекомендуется MFA для критически важных активов и пользователей с высоким уровнем риска. Эта тактика может стать сильным барьером для атак, использующих доступ на основе учетных данных.
Управление патчами. Устаревшие системы имеют в своем составе известные хакерам проблемами безопасности. После RDP и фишинговых атак уязвимое программное обеспечение является следующим по величине вектором атаки.
Отключение возможностей командной строки на уровне пользователя и блокировка порта 445 протокола управления передачей (TCP). Вымогатели используют бесплатное или недорогое программное обеспечение, а также инструменты сканирования для сбора учетных данных и для обнаружения внутренних незащищенных портов. И это делается путем анализа работы с командной строкой. Если командная строка отключена, компания становится более сложной мишенью для вымогателей. Блокировка порта 445 внешней инфраструктуры и внутренних брандмауэров также помогает уменьшить возможности атак.
Защита Active Directory - каталог (база данных) и набор служб, которые соединяют пользователей с сетевыми ресурсами, необходимыми им для выполнения своей работы. Каталог содержит важную информацию о среде, о пользователях и компьютерах, а также о правах пользователей.
Образование и обучение. Обучение и образование в области кибербезопасности должны быть обязательными. Вам не нужно быть высококвалифицированным и опытным специалистом в области кибербезопасности, но обязаные иметь базовые знания и осведомленность об угрозах и способах их реализации.
Подготовка к отражению атак
Отработка способов и сценариев отражения атак позволит заранее подготовиться к атаке, нежели разбираться на лету - что случилось.
Такая подготовка включает в себя следующее:
Определение - кто и какие принимает решения:
- Кто возглавит группу реагирования?
- Участвует ли генеральный директор во мероприятиях по реагированию на атаку?
- Может ли ИТ-отдел на начальном этапе самостоятельно принимать решения не оглядываясь на бизнес?
- Кто в конечном итоге будет принимать решения защищать эти решения внутри и за пределами компании?
В итоге должен быть назначен человек, ответственный за антикризисное реагирование, а также должны быть построены и согласованы деревья решений.
Подготовка ко всем вариантам и понимание ограниченности переговоров.
Прежде чем столкнуться с атакой программ-вымогателей, большинство компаний заявляют, что не будут платить выкуп. Однако, согласно отчету ThycoticCentrify за 2021 год о состоянии программ-вымогателей, более 80% удовлетворили требования о выкупе.
Активизация совета директоров.
Как правило, члены совета директоров захотят помочь решить проблемы, возникающие в ходе атаки.. Поэтому Совет директоров должен получить описание роли и действий членов совета директоров и правления в отражении атаки. Это позволит быстро организовать совместную работу и принятие быстрых решений. В современных условиях кибербезопасность становится совместной задачей совета директоров и руководителей всех уровней организации.
Повышение устойчивости бизнеса.
Для обеспечения непрерывности бизнеса нужно иметь ответ на вопрос:
«Как мы будем управлять этим процессом, если какая-то технология или человек будут нарушены?»
Операционная устойчивость нацелена на выработку ответ на немного другой вопрос:
«Как мы организуем работу, чтобы конкретное событие не мешало нам?»
Компании должны иметь ответы на оба вопроса, чтобы подготовиться к кибератакам.
Одна из причин, побуждающая компании платить, состоит в том, что оплата — «более безопасный» вариант по сравнению с потерей непрерывности и устойчивости бизнеса. Для обоснованного ответа стоит выяснить следующее:
- Какие активы важны и где они находятся. Это может не только помочь оценить потенциальные последствия атаки программы-вымогателя, но также позволит расставить приоритеты и определиться с инвестициями в инфраструктуру и безопасность.
- Уточните процессы резервного копирования и возможности восстановления. А также определиться с тем, что нужно хранить, а от чего избавиться.
- Провести тестирование процессов восстановления.
Реагирование на атаку
При атаке программы-вымогателя время имеет решающее значение, поэтому важны согласованные действия. Директору по информационной безопасности или ответственному руководителю необходимо обеспечить прозрачность и сотрудничество с заинтересованными сторонами внутри компании, включая совет директоров, высшее руководство и вовлеченные в атаку бизнес-группы. Также и внешние внешние заинтересованные стороны могут помочь в отражении атаки. В частности, организация может обратиться в правоохранительные органы и воспользоваться их возможностями.
Займитесь криминалистикой и разведкой. На самых ранних этапах атаки используйте разведданные, чтобы определить, кто стоит за атакой и как они смогли получить доступ к системе и активировать вредоносное ПО.
Исследуйте альтернативы оплате. Попытайтесь найти или получить доступ к известным незашифрованным теневым копиям данных или даже к ключу дешифрования, используя ресурсы сторонних дружественных организаций.
Восстановление после атаки
Несмотря ни на что, восстановление после атаки программы-вымогателя может быть сложным. Если удовлетворить требование вымогателей, то есть заплатить, - и получить ключ дешифрования - и даже если он сработает, - придется провести значительные работы по очистке системы от вмешательств и закладок злоумышленников. Если требования вымогателей не удовлетворяются, то много времени займет восстановление систем с резервных копий.Согласно отчета Coveware, среднее время простоя компании после атаки программ-вымогателей составляет 21 день. Кроме того, по данным Института национальной безопасности, средняя запрашиваемая плата за выкуп увеличилась с 5000 долларов в 2018 году до примерно 200 000 долларов в 2020 году. Хотя следует иметь в виду, что запрашиваемый выкуп зависит от размера компании, дохода, отрасли и важность данных.
Кроме того, помните, что если организация подвергается атаке и чувствует, что должна заплатить, злоумышленник становится "деловым" партнером, поэтому помните об этих правилах:
- Проверка - дейтвительно ли вымогатели в состояние вернуть систему в работоспособное состояние. Для злоумышленников программы-вымогатели — это бизнес, и они хотят сохранить свою репутацию. Чем ближе дело подходит к выплате выкупа, тем важнее доказательства того, что злоумышленники действительно имеют то, что нужно.
- Что нужно обсуждать? В крупных организациях криминалистические группы обычно могут выяснить, как найти или активировать ключ дешифрования. В этих случаях решение о выплате выкупа зависит от элементов данных, находящихся под угрозой, и от того, сколько компания готова заплатить, чтобы не допустить уничтожения или раскрытия данных.
Заключение
Программы-вымогатели уродливы. Но обеспечение устойчивости предприятия с помощью стратегий предотвращения, подготовки, реагирования и восстановления позволит компании восстанавливаться после атак и не платить огромный выкуп.
Источник.
Предотвращение программ-вымогателей: как организации могут дать отпор
14 февраля 2022 г. | Статья
Джим Бём , Франц Холл, Рич Изенберг и Марисса Мишель
English:
Ransomware prevention: How organizations can fight back
February 14, 2022 | Article
By Jim Boehm, Franz Hall, Rich Isenberg, and Marissa Michel
https://www.mckinsey.com/Business-Functions/Risk-and-Resilience/Our-Insights/Ransomware-prevention-How-organizations-can-fight-back?cid=other-eml-dre-mip-mck&hlkid=bdeb6a98a3d9412e98fd81fdd3ba4e19&hctky=1520452&hdpid=dd7e926c-2c97-4fc8-b90b-f3bc533bf737