Как избежать иллюзии безопасности – чек-лист для защиты от программ-вымогателей

Black Friday discounts for hosting and VPS


По определению не существует 100% безопасной ИТ-системы, даже если она полностью изолирована от внешнего мира. Все, что создано людьми, может быть взломано или уничтожено другими людьми.


В то время как технологии стремительно развиваются, меняя облик мира, плохие парни остаются на вершине технологической волны. Пусть вас не вводит в заблуждение обманчивое ощущение, что с вашей инфраструктурой ничего не может произойти, будь то строго контролируемая локальная среда или инфраструктура где-то в защищенном облаке.


Любой прогресс в информационных технологиях незамедлительно используется опытными хакерами для построения будущих атак. Облачные вычисления, искусственный интеллект, машинное обучение, анализ больших данных, блокчейн и чат-боты - все эти великие научные достижения также используются и для злых намерений.


Спасение утопающих – дело рук самих утопающих


Обеспечение безопасности будущего - сложная задача, потому что в большинстве случаев вы не знаете, откуда ожидать следующую атаку. Пессимистическое мнение гласит, что, если ваша система становится приоритетной целью какой-то банды хакеров, вам никуда не деться от ущерба. Но эта распространенная «мудрость» не оправдывает менталитет жертвы.


Существует набор простых правил безопасности, при соблюдении которых процесс взлома не стоит затраченных усилий. Примите их и прекратите выставлять напоказ свои ИТ-активы как легкую добычу..


Защитите свой бизнес от потенциальных киберугроз до наступления критического дня!


Основы кибер-гигиены


Среди трех основных аспектов кибербезопасности, к которым относятся люди, процессы и технологии, люди являются самым слабым звеном.


Примером крайней беспечности является тот факт, что 50% людей используют один и тот же пароль для личных и рабочих учетных записей. При современном взаимодействии с социальными сетями, вместе с несколькими рабочими «учетками» многие имеют десятки личных аккаунтов. Зачем же сохранять все пароли разными, особенно в виде непонятной, незапоминающейся последовательности примерно из 15 случайных символов? Это так не практично! Увы, удобство и практичность часто играют злую шутку.


Многие люди не заботятся о правильной парольной защите. Они создают легко запоминающиеся пароли, а это означает, что их так же легко взломать даже с помощью программных инструментов и вычислительных ресурсов, доступных 20 лет назад, не говоря уже современном хакерском вооружении. Более того. В настоящее время люди чаще склонны делиться своими паролями с коллегами и друзьями, которые со временем становятся бывшими коллегами и бывшими друзьями, чем несколько десятилетий назад..


Отсутствие гигиены кибербезопасности на этом примитивном уровне приводит к далеко идущим последствиям. Речь идет не только о том, чтобы подвергнуться угрозам сегодняшнего дня. Это увеличивает вероятность будущих атак, гораздо более разрушительных. Появление сетей 5G и Интернета вещей означает, что текущее количество уязвимостей резко возрастет вместе с количеством устройств.


Уроки пострадавших отраслей


Кибератаки обычно связаны с массовыми скандалами вокруг кражи данных с сайтов социальных сетей или эмитентов кредитных карт. Это традиционные типы добычи, которые можно найти на свалках данных. Однако любые предприятия и организации тоже постоянно находятся в поле зрения хакеров. И ценность данных таких компаний продолжает расти.


Согласно исследованию Radware, 39% организаций здравоохранения ежедневно или еженедельно подвергаются атакам хакеров. Большинство публичных организаций сообщают об увеличении числа атак вредоносного ПО. При этом они также наблюдают рост числа распределенных атак типа DDoS и атак с применением социальной инженерии. Уроки здравоохранения, финансов, государственных органов и других отраслей ясно показывают, что уязвимости растут по мере того, как все больше и больше организаций переносят свои процессы в онлайн..


С каждым новым входом в систему и подключением очередного устройства появляется новая уязвимость.


Нехватка навыков безопасности - что можно сделать?


Никакие инвестиции в программное обеспечение безопасности не спасут мир и вашу конкретную организацию. Постоянно развивающиеся методы кибербезопасности, софтверные решения и холистические программы все еще не способны снизить количество ежегодных кибератак.


Помните, люди - первая линия обороны. В случае неудачи, все остальные линии обороны станут бесполезными. Речь идет о формировании всеобъемлющей культуры безопасности в вашей организации.


  • Обновите политику безопасности и восстановите правила.
  • Обсудите угрозы и предупреждающие действия со своей командой.
  • Убедитесь, что все знают основные требования безопасности, строго им следуют и знают о развивающихся угрозах.

  • Мы не ставим цели (и не считаем возможным) обучить вас с помощью блог-постов. Мы стремимся предупредить вас о том, что цифровизация мира и массовая миграция в онлайн, наряду с большими возможностями, ежедневно создают новые угрозы.


    Ниже приведен пример чек-листа защиты от программ-вымогателей, чтобы вы могли пойти дальше и составить свой собственный набор чек-листов для контроля других аспектов кибербезопасности.


    Чек-лист защиты от программ-вымогателей


    Защита конечных точек
    Отключите возможность запуска приложений из нестандартных мест (например, временные каталоги - temp directories).
    Используйте безсигнатурные решения для защиты от вредоносных программ.
    Проверьте учетные записи с привилегированным доступом и рандомизируйте выбор учетных записей для локальных администраторов.
    Ограничьте доступ к USB-портам только необходимому персоналу.
    Просмотрите программное обеспечение, установленное в системах, и, если возможно, используйте белые списки.

    Управление патчами и конфигурацией
    Установите обновления безопасности Windows для защиты от программ-вымогателей.
    Включите теневые копии Windows (shadow copies).
    Убедитесь, что «Активное содержимое» отключено в Microsoft Office
    Получите возможность получать уведомления об изменениях конфигурации и возвращать их к золотым стандартам.

    Цепь поставок и третьи стороны
    Регламентируйте доступ оборудования поставщика к внутренней локальной сети строго по мере необходимости.
    Перед подключением к сети проведите проверку рисков безопасности по всем поставщикам.
    Убедитесь, что оборудование сторонних поставщиков выполняет управление патчами в соответствии с вашими стандартами.
    Убедитесь, что оборудование поставщика сканируется, регламентируется и на нем работают средства защиты от вредоносных программ в соответствии с вашими стандартами.

    Управление уязвимостями
    Выполняйте непрерывный мониторинг уязвимостей для выявления угроз для ваших активов.
    Сканируйте свою сеть на наличие уязвимостей как изнутри, так и снаружи.
    Расставьте приоритеты при обнаружении уязвимостей, чтобы в первую очередь защитить критически важные ресурсы.
    Используйте инструменты для поиска инверсии управления (IOC) по всему предприятию.

    Безопасность периметра
    Убедитесь, что технологии фильтрации (например, веб-фильтрация, IPS и брандмауэры) соответствуют последним сигнатурам.
    Внедрите брандмауэры для ограничения доступа к определенным областям сети, в которых хранятся критически важные активы и данные.
    Отключите все ненужные порты и протоколы для доступа извне (например, RDP, NetBIOS, SMBv1).
    Добавьте аналитику угроз, чтобы помочь определить злоумышленников в сетевом трафике.
    Внедрите антифишинговое решение, чтобы ограничить доставку данных программ-вымогателей конечным пользователям по электронной почте.

    Хранение и резервное копирование
    Внедрите решение для резервного копирования с резервными копиями, хранящимися вне офиса.
    Определите подходящие RPO и RTO для восстановления данных.
    Проверьте свою стратегию резервного копирования и восстановления.
    Определите наименьшие привилегии для всех файлов и папок, чтобы снизить вероятность бокового распространения программ-вымогателей.

    Сеть
    Просмотрите наборы правил для сетевых устройств и убедитесь, что в сети установлены минимальные права доступа.
    Используйте «синкхолинг» (sinkholing) DNS в качестве дополнительного уровня сетевой безопасности.
    Внедрите решения для наблюдения за сетевым трафиком (восток / запад) по всей сети для обнаружения программ-вымогателей.
    Внедрите SIEM / Log Monitoring для более эффективного обнаружения программ-вымогателей в сети.
    Используйте частные виртуальные локальные сети для предотвращения бокового распространения программ-вымогателей в сети.

    Осведомленность о правилах безопасности
    Информируйте пользователей об угрозах фишинга / программ-вымогателей и распространенных методах эксплуатации уязвимостей.
    Проактивно тестируйте пользователей с помощью иммитации попыток фишинга для проверки осведомленности персонала.
    Настройте файлы-приманки, чтобы определить, следуют ли пользователи надлежащей политике и процедурам в отношении общих файловых ресурсов.

    Проверка веб-фильтрации
    Заблокируйте все ненужные и потенциально опасные категории (например, личные учетные записи электронной почты или припаркованные домены).
    Убедитесь, что вы можете обнаруживать соединения C2 с известными вредоносными IP-адресами.
    Реализуйте веб-фильтры, которые позволяют использовать прокси-соединения, выполнять перезапись URL-адресов и использовать облачный доступ.

    Обнаружение и классификация данных
    Определите, где хранятся ваши секретные данные.
    Проверьте права доступа к этим данным и при необходимости ограничьте их.
    Установите правила особой бдительности в отношении критически важных активов, чтобы защитить конфиденциальные данные.

    Реагирование на инцидент
    Создайте тренировочный курс на случай проникновения программы-вымогателя в вашу сеть.
    Убедитесь, что существует план коммуникации для связи с необходимым персоналом (например, с руководством, техническими специалистами, правоохранительными органами, MSSP).
    Заранее определите роли и обязанности, чтобы более эффективно бороться с заражением программами-вымогателями.
    Обратитесь в страховую компанию для страхования своих активов от кибер-ущерба, если такой вид страхования имеется в вашей стране.



    Автор: Павел Берёза

Понравилась статья? Поделитесь ею в социальных сетях!

close