+7 495 223 35 33
8 800 550 52 23

Защитите себя от атак вирусов-вымогателей

Вирусы-вымогатели по-прежнему создают риск нарушения информационной безопасности — с ними сложно бороться, так как они образуют эффективный вектор атаки против большинства средств защиты. И ситуация только ухудшается, поскольку вирусы-вымогатели становятся все более узконаправленными и часто используют несколько векторов атаки. Они пользуются уязвимостями, для которых временно отсутствуют исправления, а также другими инструментами для взлома, включая вредоносную рекламу, фишинг-атаки, технологии на основе социальной инженерии и прочее.

Программы-вымогатели стали настолько развитыми, что злоумышленники даже могут узнать, какие продукты киберстрахования использует компания, которую они хотят взломать, и зачастую имеют своих людей из числа сотрудников этой компании, которые помогают им внедрить вредоносный программный код. В теневом интернете можно даже купить вирус-вымогатель, который предлагается в виде сервиса. Таким образом злоумышленники могут осуществлять свои атаки, не имея даже минимальных знаний в области программирования.

Поэтому, по мере того как количество атак, реализуемых с помощью вирусов-вымогателей, продолжает увеличиваться, компаниям следует рассмотреть возможность использования целого набора защитных механизмов для снижения риска нарушения информационной безопасности.

Механизмы защиты от вирусов-вымогателей

Компаниям необходимо иметь автономно хранящуюся резервную копию своих корпоративных данных с возможностью восстановления

Самый важный и простой способ обеспечить защиту от вирусов-вымогателей — это создание восстанавливаемой резервной копии цифровых активов, которую можно использовать для полного восстановления корпоративных данных. Очевидная вещь, которая часто не воспринимается всерьез, заключается в том, что резервная копия эффективна только в том случае, если ее можно использовать для восстановления. Резервное копирование бессмысленно, если его нельзя использовать для восстановления. Поэтому необходимо регулярно проверять резервный архив.

Более того, резервная копия не должна быть доступной ни для кого, а это означает, что после ее создания она должна быть изолирована от всех сетевых подключений. Это гарантирует, что она не будет доступна для внутренних и внешних злоумышленников. Такой подход защищает ее от изменения в любое время, чтобы компании могли быть уверены, что они смогут применить ее только в случае необходимости. К сожалению, слишком часто при разработке мер борьбы со злоумышленниками резервные копии удалялись до того, как вредоносный программный код вируса-вымогателя попал внутрь корпоративной инфраструктуры через удаленный канал доступа злоумышленника.

Таким образом, приоритетная защита от вирусов-вымогателей должна в первую очередь гарантировать, что восстанавливаемая, недоступная для посторонних резервная копия корпоративных данных существует и позволяет вернуть в исходное состояние данные, когда это необходимо. Как только эта задача будет решена, можно будет рассмотреть другие варианты защиты для комплексной борьбы с вирусами-вымогателями. Важно не попасть в такую ситуацию, когда во время атаки вы начинаете понимать, что резервная копия, которая считалась работоспособной, не подлежит восстановлению или уязвима. Регулярное тестирование позволит избежать подобного рода неприятных сюрпризов.

Компаниям необходимо обеспечить изоляцию оконечных устройств и серверов

Если у вас плоская сеть, т. е. все системы могут обмениваться информацией друг с другом, велика вероятность того, что злоумышленники могут воспользоваться техникой бокового смещения, которая подразумевает боковое перемещение данных от одной системы к другой. Для борьбы с такого рода угрозой необходимо создать заградительный барьер между вашими корпоративными системами. Заградительный барьер представляет собой отдельную часть сети, которая делает так, чтобы каждый компьютер работал в отдельной сети. Работа этой сети контролируется набором правил, определяющих допустимый объем трафика. Таким образом, можно контролировать боковое смещение трафика, причем не только пользователей, но и вредоносных программ, таких как вирусы-вымогатели.

Эта стратегия обеспечения информационной безопасности работает во многих типах сетей, в том числе в локальных сетях, домашних сетях сотрудников, работающих в удаленном режиме, и облачных сетях. Она помогает организациям обнаруживать вредоносные программы и вирусы-вымогатели.

Беспроводные сети особенно сложно защищать, и с помощью этой методики вы получите эффективный способ для управления боковым смещением во всех ваших сетях.

Компаниям необходимо сканировать электронную почту на предмет наличия вредоносного ПО

Большинство заражений вирусами-вымогателями происходит через электронную почту. Многие компании используют пакет программ Microsoft 365, но технология сканирования электронной почты оказывается неэффективной для защиты от вирусов-вымогателей. Таким образом, многие из этих компаний по-прежнему остаются уязвимыми для атак. Для снижения угрозы необходимо усовершенствованное решение, которое ограничит выполнение любой ссылки, отправленной по электронной почте. Существует несколько систем для удаления ссылок из электронных писем и перехода только по ссылкам из «списка разрешенных ссылок». Такие типы систем также устанавливают на ПК программу-агента, которая изолирует ссылки. В условиях, когда каждая ссылка несет потенциальную угрозу и каждое вложение может внедрить вредоносный программный код, вы можете подумать, что вам не удастся решить эту проблему, но надежда все же есть. В настоящее время большинство вирусов-вымогателей (пока) не может легко вырваться из изолированной программной среды (так называемой, песочницы), их можно обнаружить и нейтрализовать с помощью продуктов для сканирования крупных компаний-разработчиков ПО. Любая широко используемая технология становится неэффективной по мере того, как злоумышленники получают к ней доступ. Такие решения, как Microsoft 365, являются примитивными и на данный момент, если они не используются в сочетании с антивирусной программой или более продвинутыми средствами защиты от вредоносного ПО, делают организации уязвимыми. Техника переписывания ссылок и составления белых списков URL-адресов, которые могут посещать пользователи, а также тщательное сканирование вложений являются эффективным средством защиты от вирусов-вымогателей.

Компаниям необходимо контролировать веб-трафик

Когда пользователи получают электронное письмо и нажимают на ссылку, они попадают на веб-страницу, которая либо загружает вредоносное ПО, либо убеждает пользователей сделать это. Разрешить неограниченный доступ ко всем ресурсам сети Интернет — это все равно что разрешить ребенку гулять по городу одному ночью. Лучше всего будет добавить сайты, связанные с работой, в белый список и разрешить пользователям доступ к ним только после их проверки. Если это невозможно, стоит рассмотреть такое решение, как HP Sure Click Enterprise. Оно создает песочницу, в которой можно щелкнуть по любой ссылке и перейти куда угодно. В этих изолированных программных средах все данные удаляются после их закрытия. Вирусу-вымогателю будет сложно выйти из этой песочницы. Кроме того, использование этого средства является хорошим сдерживающим фактором: пока существуют более легкие для взлома цели, злоумышленники будут выбирать их. Поэтому убедитесь, что вы или ваша организация — это не легкая цель!

Компаниям необходимо отказаться от привилегированных учетных записей

В сфере кибербезопасности всегда рекомендуется удалить все права администратора и использовать компьютеры с минимально возможными привилегиями. Это еще один барьер на пути вирусов-вымогателей, который сдерживает их активность и помогает обнаруживать случаи нарушения информационной безопасности.

Компаниям необходимо устанавливать исправления для всех программных продуктов как можно быстрее

Один из наиболее распространенных способов распространения вирусов-вымогателей — использование уязвимости самораспространяющимися программами-червями. Большинство червей используют старые уязвимости. Часто это происходит из-за того, что исправления не устанавливаются регулярно. Злоумышленники располагают средствами разработки, не уступающими коммерческим компаниям-разработчикам ПО, поэтому они могут действовать достаточно быстро. Поэтому, как только они выявляют уязвимость, они могут быстро адаптировать свой код для ее использования. Именно это и произошло в случае, когда группа злоумышленников Hafnium атаковала почтовый сервер Microsoft Exchange Server.

Большинство компаний очень медленно устанавливает исправления. Как правило, на это у них уходит несколько дней, если не недель. Но, не выполняя операций подобного рода, компании значительно упрощают задачу хакерам. Злоумышленники постоянно пытаются найти брешь, и как только им это удается, они получают лазейку, которой они не преминут воспользоваться, когда будут готовы внедрить вредоносный программный код. В качестве альтернативного решения они продают за криптовалюту возможность доступа к ней в теневом интернете другим злоумышленникам или просто оставляют ее до лучших времен, пока не определят наилучший способ взломать компанию в тот момент, когда она ничего не подозревает.

Вирусы-вымогатели — это весьма прибыльный бизнес

По оценкам, сейчас оборот рынка вирусов-вымогателей превышает полмиллиарда долларов. Для злоумышленников это простой и очень прибыльный способ заработать деньги. Благодаря активному и успешному развитию этого бизнеса крупные группировки разрабатывают целые комплексы атак, на которые люди могут подписаться или приобрести в качестве сервиса.

Рост рынка криптовалют также облегчает получение оплаты за «работу» и усложняет отслеживание подобного рода операций (в результате злоумышленники редко попадают в руки органов правопорядка). Таким образом, на растущем рынке вирусов-вымогателей действует много профессиональных злоумышленников.

ИТ-отрасль создает целевую рабочую группу для борьбы с этой растущей проблемой. Однако это немного напоминает игру в кошки-мышки, и, к сожалению, успех в этой игре не на стороне компаний.

GFI LanGuard — Ваш консультант по киберзащите

  • пробная версия на 30 дней
  • поддержка по телефону и почте
  • помощь в установке и настройке
  • подготовка ПМИ и проведение тестирования
GFI - программы для защиты сети

Компания-разработчик программных решений и облачных услуг для задач обеспечения сетевой безопасности, мониторинга и автоматизации.

Более 700 000 малых и средних компаний по всему миру, включая несколько тысяч компаний в России, используют программы GFI Software для обеспечения безопасности своей сети и сокращения расходов на обслуживание ИТ.

www.GFI.com

ООО «АФИ Дистрибьюшн» — дистрибьютор решений для защиты и автоматизации компьютерных сетей в России, СНГ и Грузии.

Наши специалисты и партнеры-интеграторы помогут вам: проконсультируют, рассчитают проект, внедрят решения в сетях любых масштабов и обучат ваших сотрудников.

www.AFI-Distribution.ru

Смольная ул., 24А, 1122
г. Москва, 125445, Россия

Телефон: 8 495 223 35 33
Телефон: 8 800 550 52 23
E-mail: info@gfi-software.ru

Цены в рублях, указанные на веб-сайте, являются рекомендованными для территории России и стран СНГ, не включают в себя возможные локальные налоги и сборы.