Защита от атак вредоносных программ и программ-вымогателей
Действия, которые вы можете предпринять, чтобы подготовить свою организацию к потенциальным атакам.
Как защитить организации от атак вредоносных программ или программ-вымогателей?
Это руководство помогает организациям частного и государственного секторов справляться с последствиями вредоносных программ, включая программы-вымогатели. Следуя этому руководству, вы уменьшите:
- вероятность заражения;
- распространение вредоносного ПО в вашей организации.
Что такое вредоносное ПО и программы-вымогатели?
Вредоносное ПО — это вредоносное ПО, которое при запуске может причинить вред различными способами, в том числе:
- блокировка или невозможность использования устройства;
- кража, удаление или шифрование данных;
- получение контроля над вашими устройствами для атак на другие организации;
- получение учетных данных, которые позволяют получить доступ к системам или службам вашей организации, которые вы используете;
- "майнинг" криптовалюты;
- использование услуг, которые могут стоить вам денег (например, телефонные звонки по повышенным тарифам).
Программы-вымогатели — это тип вредоносного ПО, которое предотвращает доступ к вашему компьютеру или данным, которые на нем хранятся. Сам компьютер может быть заблокирован или данные на нем могут быть украдены, удалены или зашифрованы. Некоторые программы-вымогатели также будут пытаться распространяться на другие машины в сети, как, например, вредоносное ПО Wannacry.
Обычно злоумышленники просят связаться через анонимный адрес электронной почты или следовать инструкциям на анонимной интернет-странице, чтобы произвести платеж. Оплата неизменно требуется в криптовалюте, чтобы разблокировать ваш компьютер или получить доступ к вашим данным.
Между тем, даже если вы заплатите выкуп, нет гарантии, что вы получите доступ к своему компьютеру или своим файлам. Иногда вредоносное ПО представляется как вымогатель, но после уплаты выкупа файлы не расшифровываются. Это известно, как вредоносное ПО для очистки. По этим причинам важно, чтобы у вас всегда была последняя автономная резервная копия ваших самых важных файлов и данных. Стоит ли платить выкуп? Правоохранительные органы не одобряют и не оправдывают требования о выплате выкупа.
Если вы заплатите выкуп:
- нет гарантии, что вы получите доступ к своим данным или компьютеру;
- ваш компьютер все равно будет заражен;
- вы будете платить преступным группам;
- вы с большей вероятностью станете целью в будущем.
Злоумышленники также угрожают опубликовать данные, если оплата не будет произведена. Чтобы противостоять этому, организациям следует принять меры по минимизации воздействия кражи данных. Поскольку невозможно полностью защитить вашу организацию от заражения вредоносными программами, вам следует принять подход "глубокой защиты".
Это означает использование уровней защиты с несколькими смягчениями на каждом уровне. У вас будет больше возможностей обнаружить вредоносное ПО, а затем остановить его, прежде чем оно нанесет реальный вред вашей организации.
Вот некоторые действия, которые вы можете предпринять, чтобы подготовить свою организацию к потенциальным атакам вредоносных программ и программ-вымогателей.
Действие 1: делайте регулярные резервные копии. Актуальные резервные копии — самый эффективный способ восстановления после атаки вымогателя.
Регулярно создавайте резервные копии самых важных файлов — в каждой организации они разные — проверяйте, умеете ли вы восстанавливать файлы из резервной копии и регулярно проверяйте, работает ли она должным образом.
Убедитесь, что вы создаете автономные резервные копии, которые хранятся отдельно, в другом месте (в идеале за пределами площадки), в вашей сети и системах или в облачной службе, предназначенной для этой цели, поскольку программы-вымогатели активно нацелены на резервные копии, чтобы повысить вероятность оплаты.
Создавайте несколько копий файлов, используя разные решения для резервного копирования и разные места хранения. Вам не следует полагаться на наличие двух копий на одном съемном диске или на несколько копий в одной облачной службе.
Убедитесь, что устройства, содержащие резервную копию (например, внешние жесткие диски и USB-накопители), не подключены к вашей сети постоянно. Злоумышленники будут нацелены на подключенные устройства резервного копирования и решения, чтобы затруднить восстановление.
Вы должны убедиться, что облачная служба защищает предыдущие версии резервной копии от немедленного удаления и позволяет восстанавливать их. Это предотвратит недоступность ваших текущих и резервных данных — облачные сервисы часто автоматически синхронизируются сразу после того, как ваши файлы были заменены зашифрованными копиями.
Перед началом восстановления убедитесь, что резервные копии подключены только к известным чистым устройствам.
Сканируйте резервные копии на наличие вредоносных программ перед восстановлением файлов. Программа-вымогатель могла проникнуть в вашу сеть в течение определенного периода времени и реплицироваться в резервные копии до того, как будет обнаружена.
Регулярно обновляйте продукты, используемые для резервного копирования, чтобы злоумышленники не могли использовать какие-либо известные уязвимости, которые они могут содержать. Были случаи, когда злоумышленники уничтожали скопированные файлы или прерывали процессы восстановления перед проведением атак программ-вымогателей.
В идеале, учетные записи и решения для резервного копирования должны быть защищены с помощью рабочих станций с привилегированным доступом (PAM) и аппаратных брандмауэров для принудительного включения в список разрешенных IP-адресов. Должна быть включена многофакторная аутентификация (MFA), и метод MFA не должен устанавливаться на том же устройстве, которое используется для администрирования резервных копий. Решения Privileged Access Management (PAM) устраняют необходимость для администраторов в прямом доступе к системам резервного копирования высокой ценности.
Действие 2: предотвратить доставку и распространение вредоносных программ на устройства. Вы можете снизить вероятность попадания вредоносного контента на ваши устройства с помощью комбинации:
- фильтрация, чтобы разрешать только типы файлов, которые вы ожидаете получить;
- блокировка заведомо вредоносных интернет-ресурсов;
- активное изучение контента;
- использование сигнатур для блокировки известного вредоносного кода. Обычно это делается сетевыми службами, а не пользовательскими устройствами.
- фильтрация почты (в сочетании с фильтрацией спама), которая может блокировать вредоносные электронные письма и удалять исполняемые вложения;
- перехват прокси-серверов, которые блокируют заведомо вредоносные интернет-ресурсы;
- шлюзы безопасности в интернете, которые могут проверять контент в определенных протоколах (включая некоторые зашифрованные протоколы) на предмет известных вредоносных программ;
- программы-вымогатели все чаще внедряются злоумышленниками, получившими удаленный доступ через открытые службы, такие как протокол удаленного рабочего стола (RDP) или устройства удаленного доступа без исправлений.
Для предотвращения этого необходимо:
- отключить RDP, если он не нужен;
- включить MFA на всех удаленных точках доступа в сеть и принудительно включить список разрешенных IP-адресов с помощью аппаратных брандмауэров;
- использовать VPN, которая соответствует рекомендациям KZ-CERT, для удаленного доступа к услугам;
- использовать модель с наименьшими привилегиями для предоставления удаленного доступа — использовать учетные записи с низкими привилегиями для аутентификации и предоставлять проверенный процесс, позволяющий пользователю при необходимости повышать свои привилегии в удаленном сеансе;
- немедленно исправлять известные уязвимости во всех устройствах удаленного доступа и внешних устройствах.
Действие 3: предотвратить запуск вредоносных программ на устройствах. Подход "глубокоэшелонированной защиты" предполагает, что вредоносное ПО достигнет ваших устройств. Поэтому вам следует принять меры для предотвращения запуска вредоносных программ.
Необходимые меры будут различаться для каждого типа устройства, ОС и версии, но в целом вам следует использовать функции безопасности на уровне устройства. Организации должны:
- иметь централизованное управление устройствами, чтобы разрешить запуск на устройствах только приложений, которым доверяет предприятие, с использованием технологий, включая AppLocker, или из надежных магазинов приложений;
- решить, нужны ли корпоративные антивирусные или антивирусные продукты и поддерживать программное обеспечение и его файлы определений в актуальном состоянии;
- повышать осведомленность сотрудников в области информационной безопасности;
- отключать или ограничивать среды сценариев и макросы: принудительное применение режима ограниченного языка PowerShell с помощью политики целостности кода пользовательского режима (UMCI) — вы можете использовать AppLocker в качестве интерфейса к UMCI для автоматического применения режима ограниченного языка o защите вашей системы от вредоносных макросов Microsoft Office;
- отключить автозапуск для подключенных носителей, запретить использование съемных носителей, если они не нужны. Кроме того, злоумышленники могут принудительно выполнить свой код, используя уязвимости в устройстве. Предотвратите это, регулярно обновляя и настраивая устройства.
Мы рекомендуем вам:
- устанавливать обновления безопасности, как только они становятся доступными, чтобы исправить уязвимые ошибки в ваших продуктах;
- включить автоматические обновления для ОС, приложений и прошивки;
- использовать последние версии ОС и приложений, чтобы воспользоваться новейшими функциями безопасности;
- настраивать межсетевые экраны на основе хоста и сети, запрещая входящие соединения по умолчанию.
Действие 4: подготовьтесь к вредоносным программам, в частности к атаке программ-вымогателей, поскольку они могут иметь разрушительные последствия для организаций, так как компьютерные системы больше не доступны для использования, а в некоторых случаях данные никогда не будут восстановлены.
Если восстановление возможно, оно может занять несколько недель. Но восстановление вашей корпоративной репутации и стоимости бренда может занять гораздо больше времени.
Следующие рекомендации помогут вашей организации быстро восстановиться:
- Определите ваши критически важные активы и определите влияние на них, если они подверглись атаке вредоносного ПО.
- Учитывайте вероятность инцидента информационной безопасности, даже если вы думаете, что она маловероятна. Существует множество примеров организаций, которые пострадали от сопутствующих вредоносных программ, хотя они и не являлись предполагаемой целью.
- Разработайте внутреннюю и внешнюю коммуникационную стратегию. Важно, чтобы соответствующая информация своевременно доходила до заинтересованных сторон.
- Определите, как вы отреагируете на требование выкупа и угрозу публикации данных вашей организации.
- Убедитесь, что у вас есть инструкции по управлению инцидентами и вспомогательные ресурсы, такие как контрольные списки и контактные данные, если у вас нет доступа к вашим компьютерным системам.
- Определите свои юридические обязательства в отношении уведомления отраслевого регулятора, Национального координационного центра информационной безопасности или Оперативного центра информационной безопасности об инцидентах информационной безопасности.
- Утвердите план управления инцидентами в своей организации. Это помогает уточнить роли и обязанности персонала и третьих лиц, а также определить приоритеты восстановления системы. Например, если широко распространенная атака программ-вымогателей означала необходимость полного отключения сети, вам следует принять во внимание следующее: сколько времени потребуется, чтобы восстановить минимально необходимое количество устройств из образов и перенастроить их для использования.
- После инцидента пересмотрите свой план управления инцидентами, включив в него извлеченные уроки, чтобы убедиться, что одно и то же событие не может повториться снова.
Если ваша организация уже была заражена вредоносным ПО, эти шаги могут помочь ограничить воздействие:
- Немедленно отключите зараженные компьютеры, ноутбуки или планшеты от всех сетевых подключений, будь то проводных, беспроводных или мобильных телефонов.
- При серьезном инциденте подумайте над необходимостью отключения Wi-Fi, отключения любых основных сетевых подключений (включая переключатели) и отключения от интернета.
- Сбросьте учетные данные, включая пароли (особенно для учетных записей администратора и других системных учетных записей), но убедитесь, что вы не блокируете доступ к системам, которые необходимы для восстановления.
- Безопасно сотрите зараженные устройства и переустановите ОС.