Vašu organizaciju pogađa rensomver. Odmah se postavlja milion pitanja: Šta je rensomver? Koje mašine inficira? Šta je uzrok nastanka problema? Kakav je plan oporavka? Kako možemo da sprečimo da se to desi u budućnosti?
To je bio slučaj za mnoge stručnjake za bezbednost kada je WannaCry rensomver izvršio napad u maju 2017. godine. Ako je vaša organizacija imala jako upravljanje krajnjim tačkama, i na odgovarajući način je zakrpila i ažurirala vaše krajnje tačke, WannaCry nije predstavljao nikakav značajan događaj. Međutim, ako vaše mašine nisu bile ažurirane, pitanja poput ovih postala su stvarna jako brzo jer je napad obišao ceo svet, bacajući kompanije na kolena.
Nije u pitanju samo WannaCry; napadi rensomvera bili su najdominantnija vrsta zlonamernog softvera protekle godine, u skladu sa „Izveštajem o istragama neovlašćenih pristupa podacima za 2018. godinu“ kompanije Verizon. U međuvremenu, Malwarebytes Labs pratio je uvećanje od 90 procenata detektovanih napada rensomvera za poslovne klijente u 2017. godini i primetio da se „mesečna stopa napada rensomvera na kompanije uvećala za do 10 posto u odnosu na stopu iz 2016. godine.“ Očigledno je vreme da kompanije prestanu da misle da se to neće njima dogoditi — i da budu spremne kada se dogodi.
Šta je rensomver?
Pre nego što pređemo na ono što možete da učinite da se pripremite na neizbežno, hajde da razjasnimo šta je zapravo rensomver i kako funkcioniše. Rensomver je zlonamerni softver koji vam zarobljava podatke i traži da platite da ih oslobodi. On se obično ubacuje u sistem preko phishing mejla ili inficiranjem veb-sajta i iskorišćava postojeću ranjivost krajnje tačke.
Rensomver tada uspostavlja uporište, proširuje se na druge krajnje tačke i kreće se kako bi otkrio, prikupio, održavao (stage) i šifrovao ciljane podatke. Kada je šteta učinjena, on pokriva svoje tragove i izvlači podatke radi upotrebe ili prodaje istih na dark vebu. Rensomver je jedinstven jer kada jednom uđe u vaše okruženje, ima jako malo toga što možete učiniti — sva rešenja su skupa i prekid poslovanja je neizbežan.
Kako da zaštitite poslovanje od rensomvera?
Dobra vest je da mnoge mane koje se iskorišćavaju tokom napada rensomvera predstavljaju poznate ranjivosti. To znači da organizacije imaju priliku da spreče da većina rensomvera bude uspešna pre nego što uopšte dođe do napada.
Važno je da pripremite svoju odbranu kako biste mogli da reagujete brzo i efikasno tokom napada, i izvršite popravku i restauraciju onde gde je neophodno posle napada. Prvi i najefikasniji lek je sprečavanje.
SAZNAJTE VIŠE O RENSOMVERU
Pre napada
Kao što izreka kaže: „Bolje sprečiti nego lečiti“. Razvijte plan za reagovanje na incidente i vežbajte njegovu primenu. Umesto da čekate da dođe do napada, proaktivno obučite svoje zaposlene kako biste im pomogli da prepoznaju pretnje rensomvera i njihove razne infekcijske vektore, uključujući imejl, makro naredbe i ugrožene veb-sajtove.
Iz administrativne perspektive, potrebno je da razumete šta je na vašoj mreži u svakom trenutku i da održavate aktivan opis ovih uređaja. To vam omogućava da znate gde i u kojoj meri ste izloženi riziku od raznih ranjivosti i pomaže da unapredite popravku tako što ćete znati koje uređaje da najpre popravite.
Da bi se vektori napada poznatih ranjivosti sveli na minimum, uspostavite agresivnu i aktuelnu politiku upravljanja zakrpama za ažuriranje krajnjih tačaka, operativnih sistema i aplikacija. Fokusirajte se na to da ostvarite visoke stope uspeha zakrpe prilikom prvog prolaska kako biste sveli na minimum vreme koje morate da utrošite da biste utvrdili uzroke nastanka problema kod višestrukih neuspelih zakrpa. Razmotrite da koristite automatsku alatku za upravljanje zakrpama kako biste umanjili vreme instaliranja zakrpe sa nekoliko dana ili nedelja na nekoliko sati ili minuta, uvećavajući produktivnost i oslobađajući resurse za bavljenje drugim bezbednosnim problemima.
Pored toga, trebalo bi da uspostavite minimalnu bezbednosnu osnovu. Uvedite najbolje bezbednosne prakse u sve verzije krajnjih tačaka i obezbedite doslednu „zlatnu sliku“ koja se pridržava vaše bezbednosne politike. Primenite ove kontrole konfiguracije i bezbednosnih osnova na svim krajnjim tačkama. Ovo će pomoći da se eliminiše odstupanje od konfiguracije i usaglašenosti sa zaštitom koja prati mašinu.
Sledeće, obezbedite da vaše željene kontrole postoje i da su aktivne. Koristite antivirus, platforme za zaštitu krajnjih tačaka (EPP) i alatke za detektovanje i reakciju na krajnje tačke (EDR) da biste unapredili bezbednost i automatsko restartovanje ako dođe do obustave usluga iz bilo kog razloga. Ograničite pokretanje programa iz privremenih foldera i potvrdite da samo ovlašćene izvršne datoteke rade na vašim uređajima. Razmotrite zabranu priloga sa izvršnim datotekama iz mejla kako biste umanjili broj potencijalnih napadača koji mogu da inficiraju vaše okruženje. Takođe bi trebalo da primenite metodologiju najmanje privilegije i ograničite korisničke naloge i aplikacije samo na one koje su neophodne da bi se vršile poslovne funkcije; to će pomoći da se uticaj koji rensomver može imati na druge naloge i aplikacije svede na minimum.
Na kraju, ograničite uobičajene vektore napada onemogućavanjem Flash-a i Windows Script Host-a (WSH). Što se bolje pripremite unapred, to su vam bolje šanse da izbegnete (ili prebrodite) napad rensomvera.
Tokom napada
U slučaju da rensomver uspešno stekne uporište u vašoj organizaciji, postojanje plana reagovanja i pravih alatki je od ključne važnosti za ograničavanje potencijalne štete. Organizacije moraju biti u stanju da identifikuju obim napada, brzo kontrolišu događaj, zaštite mašine koje nisu pogođene, izoluju one mašine koje jesu, izvrše rekonstruisanje iz rezervne kopije gde je to moguće i ažuriraju i zakrpe mašine onde gde su ranjive.
Počnite time što ćete znati kako da prepoznate događaj rensomvera. Obratite pažnju na iskačuće poruke koje zahtevaju plaćanje da bi se omogućio pristup podacima. Proverite da li vaši korisnici pokušavaju da pristupe nekoj datoteci na mreži ili na lokalnom uređaju i saznajte da li je šifrovana. Zatim, utvrdite da li neke krajnje tačke prave neobične veze.
Ako ste izloženi aktivnom napadu, pridržavajte se svog plana reakcije/popravke i odlučite da li možete da izvršite rekonstrukciju iz rezervne kopije ili da platite otkup. Vodite računa da se obratite organima zakona — nije na odmet znati da FBI ne preporučuje plaćanje otkupa. Uostalom, ne postoji garancija da će vam plaćanjem otkupa biti vraćeni podaci. Dobra je ideja da iskoristite smart telefon ili kameru da fotografišete poruku o otkupu i da je dostavite organima zakona.
Sledeće, utvrdite tip varijante rensomvera. Ponekad možete pronaći ime u poruci za otkup. U suprotnom, možete da podelite kopije poruke za otkup i/ili šifrovanu datoteku sa podacima sa stručnjacima za rensomver koji mogu da izvrše procenu iste u odnosu na poznate napade i potpise. Poznavanje tipa rensomvera pomoći će vam da odredite najbolju opciju za rekonstrukciju.
Da bi se ograničila šteta, isključite sve potencijalno inficirane krajnje tačke i otkačite ih sa mreže. Takođe je dobra ideja da se isključe svi ostali uređaji (uključujući eksterne diskove) tokom trajanja napada dok ne budete sigurni da su u potpunosti očišćeni. Takođe, radite oflajn dok čistite/proveravate mašine i prekinite vezu sa lokalnim mrežama i usluge za sinhronizovanje datoteka kako bi se izbeglo da se rensomver proširi na druge uređaje.
Mnogi oblici rensomvera koji vrši enkripciju kopiraju vaše datoteke, šifruju kopije i brišu originale. Pokušajte da povratite izgubljene ili oštećene datoteke korišćenjem alatki za rekonstrukciju kako biste videli da li možete sami da ih povratite. Ako to ne funkcioniše, nastavite da sprovodite plan rekonstrukcije koji je definisan pre napada i proverite da li možete da povratite svoje datoteke iz neke rezervne kopije. Pre nego što to učinite, trebalo bi da proverite da rensomver nije deo procesa pravljenja rezervne kopije i da vaši podaci iz rezervnih kopija nisu šifrovani.
Potom, uklonite rensomver iz inficiranih uređaja. Koristite antivirus ili programe protiv zlonamernog softvera da očistite inficiranu mašinu, ali ne zaboravite da prosto uklanjanje rensomvera neće dešifrovati vaše datoteke, i može da utiče na vašu mogućnost da povratite datoteke ako odlučite da platite otkup. Takođe možete i razmotrite to da izbrišete ceo hard disk i reinstalirate svoj operativni sistem i aplikacije.
Posle napada
Da biste sprečili ponovnu infekciju, primenite sve kritične zakrpe na svoje operativne sisteme i aplikacije. Počnite sa zakrpom ranjivosti koja je eksploatisana u vašem celom okruženju i potvrdite da je zlonamerni softver uspešno i potpuno uklonjen.
Na kraju, podnesite policijski izveštaj. Ovo je važan pravni korak koji se često zahteva ako podnosite reklamaciju za osiguranje ili razmatrate da podnesete tužbu u vezi sa infekcijom. Na taj način se pomaže organima zakona da prate aktivnost, rast i druge trendove rensomvera.
Držite rensomver dalje od svoje mreže
Najuspešniji napadi rensomvera stiču pristup vašem okruženju preko neke poznate ranjivosti na nekoj ugroženoj krajnjoj tački. Najbolji način da se to izbegne je zaštitite svoje krajnje tačke od rensomvera. Higijena krajnjih tačaka trebalo bi da obezbedi da zakrpe budu ažurirane i da su aplikacije u svojoj najbezbednijoj verziji. Takođe vam je potreban uvid u ono što se događa na krajnjoj tački i širom cele mreže, da biste mogli da brzo kontrolišete napade.
Koristite rešenje za upravljanje krajnjim tačkama koje pruža vidljivost u realnom vremenu i kontrolu koja vam je potrebna da biste se borili sa napadima. Ono bi trebalo da vam omogući da otkrijete, zakrpite i izveštavate o svim krajnjim tačkama bez obzira na lokaciju, povezanost ili propusni opseg. Platforma bi takođe trebalo da obezbedi mogućnosti softverskog inventara i sredstava koje vam omogućuju da brzo vidite sve nivoe zakrpa, verzije softvera i konfiguracije na svim krajnjim tačkama — bez obzira na operativni sistem ili povezanost mreže. Trebalo bi da sve to obavi bezbedno, sa minimalnim promenama zaštitnog zida i sa izuzetno čvrstom arhitekturom.
Takođe bi trebalo da razmotrite rešenja koja se integrišu sa ostalim ključnim bezbednosnim aplikacijama koje koristite, poput vaših rešenja upravljanja bezbednosnim informacijama i događajima (SIEM), reagovanja na incidente (IR), EDR, kontrole mrežnog pristupa (NAC) upravljanja ranjivostima. Time ćete dalje unaprediti svoj sveukupni bezbednosni položaj dok optimizujete uloženo vreme i resurse. Najvažnije, uvek imajte na umu da je najbolji način da se borite protiv rensomvera da ga u potpunosti držite dalje od svoje mreže.
Da biste saznali više, registrujte se i pogledajte vebinar na zahtev, „Život i vreme rensomvera: Pre, tokom i posle.“