5 шагов для защиты от программ-вымогателей
22.07.2021
Статьи
Если и есть какая-то киберугроза, о которой все сейчас думают, то это, безусловно, программы-вымогатели. Они превратились в многоуровневую, многомиллиардную индустрию для злоумышленников.
Мы продолжаем наблюдать всплеск инцидентов с использованием шифровальщиков, направленных на организации всех отраслей, форм и размеров. Субъекты угроз, похоже, не слишком разборчивы в выборе жертв (несмотря на их публичные сообщения в блогах), и их жертвами становятся самые разные организации - от нефтепроводов до страховых агентств и учреждений высшего образования. Обычно суммы выкупа исчисляются миллионами или десятками миллионов долларов.
Учитывая внимание СМИ, непомерные суммы, которые мало кто может себе позволить, и общую распространенность угрозы, почему мы продолжаем наблюдать успешные атаки?
Совет № 1: Разработать план
Мы продолжаем наблюдать всплеск инцидентов с использованием шифровальщиков, направленных на организации всех отраслей, форм и размеров. Субъекты угроз, похоже, не слишком разборчивы в выборе жертв (несмотря на их публичные сообщения в блогах), и их жертвами становятся самые разные организации - от нефтепроводов до страховых агентств и учреждений высшего образования. Обычно суммы выкупа исчисляются миллионами или десятками миллионов долларов.
Учитывая внимание СМИ, непомерные суммы, которые мало кто может себе позволить, и общую распространенность угрозы, почему мы продолжаем наблюдать успешные атаки?
Совет № 1: Разработать план
Начнем с простого: имейте план. Если вы не подверглись атаке ransomware, поздравляем! Теперь у вас есть время. Используйте его, чтобы разработать план, даже если у вас нет команды безопасности. Начните с такого простого вопроса: Если бы вы подверглись атаке прямо сейчас, как бы вы отреагировали?
Начните заполнять каждый выявленный вами пробел, будь то способ обнаружения инцидента, способы минимизации ущерба, восстановления данных и т.д.
Совет № 2: Работайте вместе
Начните заполнять каждый выявленный вами пробел, будь то способ обнаружения инцидента, способы минимизации ущерба, восстановления данных и т.д.
Совет № 2: Работайте вместе
Ransomware больше не является просто "проблемой безопасности". Атака ransomware затрагивает пользователей, юристов, HR, финансистов и многих других, включая, конечно же, команду безопасности. Вы не сможете успешно защититься от атаки, если организация замкнута в себе.
Системные и серверные администраторы играют важную роль в аудите вашей среды Active Directory. Сетевые инженеры отвечают за время безотказной работы и поток трафика - они имеют представление о том, куда могут и куда не могут попасть пакеты в среде.
Работайте с юридической службой, чтобы понять позицию вашей организации в отношении ransomware и какие запасные варианты существуют. Налаживайте эти важные отношения сейчас, поскольку они будут иметь решающее значение для аудита вашей среды, улучшения защиты и, если это когда-нибудь произойдет, реагирования и восстановления после атаки.
Совет №3: Аудит и ограничение привилегированных учетных записей в Active Directory
Системные и серверные администраторы играют важную роль в аудите вашей среды Active Directory. Сетевые инженеры отвечают за время безотказной работы и поток трафика - они имеют представление о том, куда могут и куда не могут попасть пакеты в среде.
Работайте с юридической службой, чтобы понять позицию вашей организации в отношении ransomware и какие запасные варианты существуют. Налаживайте эти важные отношения сейчас, поскольку они будут иметь решающее значение для аудита вашей среды, улучшения защиты и, если это когда-нибудь произойдет, реагирования и восстановления после атаки.
Совет №3: Аудит и ограничение привилегированных учетных записей в Active Directory
Одной из первых целей злоумышленников в среде жертвы является поиск и получение привилегированных учетных записей. Эти полномочия часто необходимы для достижения поставленных целей - им нужны привилегии для поиска дополнительных систем, перемещения по среде, выполнения определенных команд и т.д. Слишком часто в ходе наших расследований мы обнаруживаем среды со слишком большим количеством привилегированных учетных записей - и злоумышленники делают на это ставку.
Существует множество инструментов, доступных злоумышленникам, которые профилируют Active Directory. К счастью, эти инструменты работают в обоих направлениях: их можно использовать внутри компании для проведения собственного анализа и использовать полученные результаты для ограничения учетных записей со слишком большими привилегиями.
Совет №4: Используйте встроенные средства защиты для привилегированных учетных записей
Существует множество инструментов, доступных злоумышленникам, которые профилируют Active Directory. К счастью, эти инструменты работают в обоих направлениях: их можно использовать внутри компании для проведения собственного анализа и использовать полученные результаты для ограничения учетных записей со слишком большими привилегиями.
Совет №4: Используйте встроенные средства защиты для привилегированных учетных записей
После того как вы провели аудит и ограничили привилегированные учетные записи, следующим шагом будет использование встроенных средств защиты, которые могут снизить риск кражи учетных данных.
Новые операционные системы Windows, например, включают такие средства защиты, как Credential Guard и Remote Credential Guard для Windows 10 и Windows Sever 2016+. Используйте их. Для старых конечных точек используйте режим ограниченного администрирования.
Поместите неслужебные привилегированные учетные записи в группу безопасности Protected Users - они будут защищены во всем домене. Отключите методы, которые хранят учетные данные в открытом виде в памяти. Если у вас есть агенты обнаружения и реагирования на конечные точки (EDR), проверьте, предлагают ли они защиту учетных записей пользователей. Большинство методов злоумышленников для кражи учетных данных известны, и многие организации, к сожалению, не используют доступные средства защиты для имеющихся у них решений.
Совет №5: Внедряйте и моделируйте
Новые операционные системы Windows, например, включают такие средства защиты, как Credential Guard и Remote Credential Guard для Windows 10 и Windows Sever 2016+. Используйте их. Для старых конечных точек используйте режим ограниченного администрирования.
Поместите неслужебные привилегированные учетные записи в группу безопасности Protected Users - они будут защищены во всем домене. Отключите методы, которые хранят учетные данные в открытом виде в памяти. Если у вас есть агенты обнаружения и реагирования на конечные точки (EDR), проверьте, предлагают ли они защиту учетных записей пользователей. Большинство методов злоумышленников для кражи учетных данных известны, и многие организации, к сожалению, не используют доступные средства защиты для имеющихся у них решений.
Совет №5: Внедряйте и моделируйте
Как только вы установили защиту учетных записей, используйте специализированные инструменты или обратитесь к поставщику услуг безопасности для тестирования вашей среды. Сосредоточьтесьна ранних стадиях атаки, таких как кража учетных данных или боковое перемещение. Что вы обнаружили, чего смогли достичь? Частое тестирование не только даст вам больше информации о вашей среде, но и покажет, где у вас есть пробелы в обнаружении и предотвращении.
Мы не можем просто подключить инструменты и ожидать, что защита будет обеспечена "нажатием одной кнопки". Надлежащая информационная безопасность требует знания среды, частого тестирования и настройки. Если вы не подверглись атаке, это хорошо. Не ждите "если" - вместо этого минимизируйте "когда".
Мы не можем просто подключить инструменты и ожидать, что защита будет обеспечена "нажатием одной кнопки". Надлежащая информационная безопасность требует знания среды, частого тестирования и настройки. Если вы не подверглись атаке, это хорошо. Не ждите "если" - вместо этого минимизируйте "когда".