- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Программы-вымогатели активно развиваются. Придумываются и реализуются все более изощренные угрозы, и способы их доставки кратно растут. Средний бизнес особенно уязвим: в последнем квартале 2018 года 71% атак программ-вымогателей был совершен именно на средний и малый бизнес.
Введение
Для киберпреступников 2018 год был успешным. Особенно для вымогателей: к концу 2018 года число программ-вымогателей и размеры требуемых выкупов достигли рекордно высокого уровня. Успешные атаки вымогателей наносят заметный ущерб бизнесу: программы-вымогатели блокируют или удаляют важные данные, работа компаний — жертв атаки останавливается. Но даже те, кто платит выкуп, могут никогда больше не увидеть свои данные, поскольку некоторые программы-вымогатели работают таким образом, что восстановление данных невозможно. Финансовые потери из-за простоя, выплаты выкупа и потери данных — не единственные негативные последствия: некоторые вредоносные программы-вымогатели сопровождаются троянами для взлома банковских данных и данных учетных записей.
Столкнувшись с проблемой
Первым шагом в борьбе с вымогателями является собственно признание проблемы и повышение осведомленности. Вредоносные программы-вымогатели — это движущаяся цель, где угрозы и точки входа регулярно меняются, поэтому важно развивать понимание предмета и идти в ногу со временем. Это относится не только к руководству, но и ко всему персоналу: вложения электронной почты, ссылки, небезопасные веб-сайты, файлы для загрузки и вредоносная реклама — все это векторы, через которые вымогатели проникают в системы, поэтому каждый в организации должен знать, как с ними обращаться. Операционные системы и все программное обеспечение нужно регулярно исправлять и обновлять, а все данные — архивировать. Полезно применять «правило 321»: иметь как минимум три копии данных, хранящихся как минимум в двух местах, из которых по крайней мере одна должна находиться в автономном режиме. Также полезно следить за привилегиями учетных записей: вредоносные программы имеют тенденцию работать на уровне пользователя, который их запустил, поэтому ограничение привилегий учетной записи снижает риск распространения вымогателей.
Что насчет RDP?
Протокол удаленного рабочего стола (RDP) — это полезный способ развертывания программного обеспечения для удаленного функционирования на рабочих компьютерах и, как правило, безопасный (если он защищен должным образом). Оставшись без защиты, RDP может легко стать точкой входа киберпреступника. Для компаний целесообразно подумать, нужно ли им использовать RDP, а если нет, отключить его (RDP предустановлен в Windows и доступен для других операционных систем). Если RDP имеет важное значение, его следует использовать как можно более безопасно: включение аутентификации на уровне сети, обязательное использование надежных паролей, защиту сети от внутренних и внешних атак и ограничение использования RDP до тех пользователей, которые действительно в этом нуждаются. RDP является популярной, но не единственной точкой входа для злоумышленников. Большинство атак с помощью вредоносных программ, с использованием RDP или любых других средств, являются брутфорс-атаками, поэтому обычные меры предосторожности (безопасные пароли, использование многофакторной аутентификации, ограничение использования ненадежных устройств, минимизация уровней пользователей, особенно для учетных записей, подключающихся к интернету, и т. д.) как никогда важны как для пользователей RDP, так и для других.
Смотреть на облака?
Многие люди по ошибке связывают вымогателей с локальными машинами. Ввиду большого объема данных, переносимых в облако, и более широкого использования программного обеспечения в качестве сервиса, легко представить облако как безопасное убежище для данных. Это верно лишь до некоторой степени: облако является отличным хранилищем для части любого резервного копирования данных (в соответствии с «правилом 321», описанным выше). Но вредоносные программы атакуют и облако. Синхронизация локальных (особенно общих) файлов с зараженной машины в облако может способствовать распространению программ-вымогателей. В этот момент можно восстановить более раннюю версию файлов, но почти ничего более. Кроме того, киберпреступники атакуют облачные сервисы напрямую: в 2016 году вымогатели Cerber атаковали облачный сервис Microsoft Office 365, а в 2017 году Microsoft признала огромный рост атак на свои облачные сервисы. Вот почему так же важно сканировать и защищать облачные системы и сервисы, как и защищать локальные сети и машины. Организации могут установить обеспечение безопасности на облачных серверах и в облачном хранилище, но часто, особенно на уровне среднего бизнеса, они могут передавать эти услуги на аутсорс. В этом случае организация должна убедиться, что она работает с партнером, который обеспечивает соответствующий уровень защиты, попросить его предоставить подробную информацию об используемых системах, частоте обнаружения, скорости, с которой развернутые инструменты обнаруживают программы-вымогатели, и о частоте потери файлов. Если поставщик не может ответить на эти вопросы удовлетворительно, вероятно, пришло время искать другого.
Выводы
Подводя итоги: вредоносные программы-вымогатели — это развивающаяся угроза, которая может нанести вред организациям всех размеров, в особенности малому и среднему бизнесу. Чтобы избежать ransomware-атак, малые и средние предприятия должны обеспечить безопасность всех устройств и облачных сервисов, убедиться, что они используют «правило 321» для регулярного резервного копирования данных и продолжают применять традиционные правила безопасности: используют надежные пароли, ограничивают ненадежные устройства, используют только учетные записи администратора для доступа к сети, где этого нельзя избежать, и используют многофакторную аутентификацию. Наконец, когда компании используют стороннюю организацию для предоставления сетевых услуг, они должны обсудить с этим поставщиком доступные уровни безопасности (включая облачную защиту) и убедиться, что те соответствуют их потребностям.
Введение
Для киберпреступников 2018 год был успешным. Особенно для вымогателей: к концу 2018 года число программ-вымогателей и размеры требуемых выкупов достигли рекордно высокого уровня. Успешные атаки вымогателей наносят заметный ущерб бизнесу: программы-вымогатели блокируют или удаляют важные данные, работа компаний — жертв атаки останавливается. Но даже те, кто платит выкуп, могут никогда больше не увидеть свои данные, поскольку некоторые программы-вымогатели работают таким образом, что восстановление данных невозможно. Финансовые потери из-за простоя, выплаты выкупа и потери данных — не единственные негативные последствия: некоторые вредоносные программы-вымогатели сопровождаются троянами для взлома банковских данных и данных учетных записей.
Столкнувшись с проблемой
Первым шагом в борьбе с вымогателями является собственно признание проблемы и повышение осведомленности. Вредоносные программы-вымогатели — это движущаяся цель, где угрозы и точки входа регулярно меняются, поэтому важно развивать понимание предмета и идти в ногу со временем. Это относится не только к руководству, но и ко всему персоналу: вложения электронной почты, ссылки, небезопасные веб-сайты, файлы для загрузки и вредоносная реклама — все это векторы, через которые вымогатели проникают в системы, поэтому каждый в организации должен знать, как с ними обращаться. Операционные системы и все программное обеспечение нужно регулярно исправлять и обновлять, а все данные — архивировать. Полезно применять «правило 321»: иметь как минимум три копии данных, хранящихся как минимум в двух местах, из которых по крайней мере одна должна находиться в автономном режиме. Также полезно следить за привилегиями учетных записей: вредоносные программы имеют тенденцию работать на уровне пользователя, который их запустил, поэтому ограничение привилегий учетной записи снижает риск распространения вымогателей.
Что насчет RDP?
Протокол удаленного рабочего стола (RDP) — это полезный способ развертывания программного обеспечения для удаленного функционирования на рабочих компьютерах и, как правило, безопасный (если он защищен должным образом). Оставшись без защиты, RDP может легко стать точкой входа киберпреступника. Для компаний целесообразно подумать, нужно ли им использовать RDP, а если нет, отключить его (RDP предустановлен в Windows и доступен для других операционных систем). Если RDP имеет важное значение, его следует использовать как можно более безопасно: включение аутентификации на уровне сети, обязательное использование надежных паролей, защиту сети от внутренних и внешних атак и ограничение использования RDP до тех пользователей, которые действительно в этом нуждаются. RDP является популярной, но не единственной точкой входа для злоумышленников. Большинство атак с помощью вредоносных программ, с использованием RDP или любых других средств, являются брутфорс-атаками, поэтому обычные меры предосторожности (безопасные пароли, использование многофакторной аутентификации, ограничение использования ненадежных устройств, минимизация уровней пользователей, особенно для учетных записей, подключающихся к интернету, и т. д.) как никогда важны как для пользователей RDP, так и для других.
Смотреть на облака?
Многие люди по ошибке связывают вымогателей с локальными машинами. Ввиду большого объема данных, переносимых в облако, и более широкого использования программного обеспечения в качестве сервиса, легко представить облако как безопасное убежище для данных. Это верно лишь до некоторой степени: облако является отличным хранилищем для части любого резервного копирования данных (в соответствии с «правилом 321», описанным выше). Но вредоносные программы атакуют и облако. Синхронизация локальных (особенно общих) файлов с зараженной машины в облако может способствовать распространению программ-вымогателей. В этот момент можно восстановить более раннюю версию файлов, но почти ничего более. Кроме того, киберпреступники атакуют облачные сервисы напрямую: в 2016 году вымогатели Cerber атаковали облачный сервис Microsoft Office 365, а в 2017 году Microsoft признала огромный рост атак на свои облачные сервисы. Вот почему так же важно сканировать и защищать облачные системы и сервисы, как и защищать локальные сети и машины. Организации могут установить обеспечение безопасности на облачных серверах и в облачном хранилище, но часто, особенно на уровне среднего бизнеса, они могут передавать эти услуги на аутсорс. В этом случае организация должна убедиться, что она работает с партнером, который обеспечивает соответствующий уровень защиты, попросить его предоставить подробную информацию об используемых системах, частоте обнаружения, скорости, с которой развернутые инструменты обнаруживают программы-вымогатели, и о частоте потери файлов. Если поставщик не может ответить на эти вопросы удовлетворительно, вероятно, пришло время искать другого.
Выводы
Подводя итоги: вредоносные программы-вымогатели — это развивающаяся угроза, которая может нанести вред организациям всех размеров, в особенности малому и среднему бизнесу. Чтобы избежать ransomware-атак, малые и средние предприятия должны обеспечить безопасность всех устройств и облачных сервисов, убедиться, что они используют «правило 321» для регулярного резервного копирования данных и продолжают применять традиционные правила безопасности: используют надежные пароли, ограничивают ненадежные устройства, используют только учетные записи администратора для доступа к сети, где этого нельзя избежать, и используют многофакторную аутентификацию. Наконец, когда компании используют стороннюю организацию для предоставления сетевых услуг, они должны обсудить с этим поставщиком доступные уровни безопасности (включая облачную защиту) и убедиться, что те соответствуют их потребностям.
