Рекомендации по защите от вирусов-вымогателей

Вирусы-вымогатели причиняют огромный вред. Как от них защититься?

Вирусы-вымогатели перестали быть проблемой только специалистов по кибербезопасности. Теперь они повсюду: о них говорят в вечерних новостях и на саммите «Большой семерки». Они приобрели массовый характер и стали общей проблемой, поскольку хакеры все чаще атакуют системы важнейших операторов инфраструктуры, которые не могут позволить себе сбои или нарушение работы из-за кибератак, ― от поставщиков продуктов питания и транспортных компаний до энергетики и систем здравоохранения.

Большинство людей слышали о вирусах-вымогателях (если вы не знаете, что это такое, посмотрите здесь). Но как именно они работают? Почему приносят такой вред? И как организации могут защититься от них? Правительство США недавно заявило о том, что направит больше усилий на противодействие вирусам-вымогателям и другим кибератакам, но также подчеркнуло значимость содействия со стороны частного сектора. В то же время частный сектор требует от правительства более решительных мер по борьбе с этой угрозой, приобретающей все большие масштабы.

Вирусы-вымогатели стали общей проблемой, затрагивающей всех: от правительства и корпораций до отдельных пользователей. Благодаря пандемии хакеры получили новые «козыри», ведь теперь сотрудники получают доступ к ресурсам компании с массы устройств и сетей, которые не контролируются ИТ-отделом. Как только операторам вирусов-вымогателей удастся попасть в вашу сеть и зашифровать данные и файлы, они начнут требовать значительные суммы за их восстановление.

Почему вирусы-вымогатели так опасны, особенно сейчас?

Данные ― это плоть и кровь любой организации: проблемы с доступом к данным могут сковать работу всей компании. Вирусы-вымогатели изначально нацеливались на системы отдельных пользователей, требуя несколько сотен долларов за восстановление данных на конкретном компьютере. Теперь же злоумышленники «работают по-крупному», выбирая более крупные цели и выискивая в среде критически важные системы. Получив доступ, они развертывают вирусы-вымогатели в нескольких точках в сети, чтобы заставить жертву заплатить немалый выкуп (иногда суммы доходят до миллионов).

Чтобы повысить шансы на получение выкупа, операторы вирусов-вымогателей могут использовать и более агрессивные тактики. Например, они могут взломать системы резервного копирования, чтобы администраторы не могли ими воспользоваться для восстановления данных. Иногда злоумышленники применяют «двойной шантаж», не только блокируя работу предприятия, но и угрожая выпустить конфиденциальную информацию в открытый доступ.

Помимо всего прочего, действует модель «вирус-вымогатель как услуга», когда запустить вирусную атаку можно, даже не имея специальных знаний. Злоумышленники, не обладающие достаточными навыками и ресурсами для создания собственного вируса, могут просто приобрести «услугу» ― готовый комплект для запуска атаки. Таким образом любой желающий провести кибератаку может легко получить вредоносный код, нацеленный на неисправленные уязвимости.

А разве нельзя просто заплатить вымогателям?

Хотя суммы, запрашиваемые вымогателями, могут достигать миллионов долларов, такая цена за восстановление данных может оказаться меньше, чем убытки, связанные с замедлением или нарушением (особенно когда речь идет о важнейшей инфраструктуре) работы всего предприятия. Так почему же просто не заплатить выкуп?

Специалисты по безопасности и правительственные эксперты рекомендуют компаниям не поддаваться на шантаж, так как это ведет за собой продолжение цикла атак. Если злоумышленнику удается получить выкуп от жертвы, это побуждает его снова атаковать те организации, которые готовы платить. К тому же, даже если организация решит заплатить выкуп, совсем не факт, что данные будут восстановлены, а конфиденциальная информация не уйдет на сторону.

Как именно злоумышленники получают доступ?

Хакеры могут проникать в сеть разными способами. Очень часто для хищения учетных данных и/или побуждения сотрудников перейти по вредоносной ссылке или открыть вложение используется фишинг и психологические атаки. Кроме того, вирусы могут содержаться на зараженных веб-сайтах или просто использовать известные уязвимости ПО на сетевом периметре организации. В некоторых случаях злоумышленники могут сначала взломать систему бизнес-партнера, поставщика услуг организации или сторонних лиц, чтобы в конечном итоге поразить намеченную цель.

В наши дни люди привыкли быстро листать электронные сообщения, страницы в социальных сетях и новости в Интернете. Злоумышленники используют эту привычку, инициируя атаки еще до того как пользователь сообразит, куда именно он перешел по ссылке. Однако, как уже упоминалось выше, само вторжение ― лишь часть процесса.

Чтобы сделать атаку максимально прибыльной, операторы вирусов-вымогателей, как правило, дожидаются того момента, когда получат доступ к большому сегменту сети, прежде чем приступать к развертыванию вируса. Основной целью систем защиты является предотвращение доступа хакеров к сети, но не менее важно внедрять правильные политики, ограничивающие разрешенные пользователям действия, на случай получения контроля над сетью или учетной записью.

Что можно сделать, чтобы защититься от вирусов-вымогателей?

Вирусные атаки очень многогранны, а значит такой же должна быть и система защиты. Отдельной технологии или методике это не под силу. Защиту от вирусов-вымогателей нужно воспринимать как непрерывный, многоуровневый процесс. Необходимо внедрять лучшие технологии, поддерживать их актуальность (для противодействия новым угрозам) и обеспечить интеграцию (чтобы все решения работали слаженно и дублировали друг друга).

В борьбе с вирусами-вымогателями важную роль играет информированность конечных пользователей: они должны знать, каковы последствия бездумного просмотра сайтов и перехода по ссылкам. Однако, по мнению старшего консультанта руководителей отделов информационной безопасности Cisco, Венди Нейзер (Wendy Nather), все это можно делать правильно или неправильно.

«Наши традиции проверок и выговоров, принятые в сфере безопасности, нельзя назвать хорошей тенденцией... Если люди будут знать, что вы их поддерживаете и стремитесь сотрудничать с ними, решая проблему, они будут оказывать больше содействия», ― считает она.

Венди рассказала о том, как в ее отделе проводились учения по фишингу: сотрудников, которые выявили фишинг-атаки и сообщили о них, хвалили (а не критиковали тех, кому это не удалось). «Это прекрасный способ подчеркнуть и стимулировать желаемое поведение», ― добавила она.

Рекомендации по защите от вирусов-вымогателей

Если вы не знаете, с чего начать защиту от вирусов-вымогателей, начните с базовой культуры кибербезопасности. Некоторые из ее элементов могут показаться банальными, но их часто упускают из вида из-за недостатка ресурсов, более приоритетных проектов и задач и т. д. Злоумышленники знают об этом и часто используют подобные уязвимости и слабости.

1. Регулярно обновляйте системы и применяйте исправления. Автоматическая (по возможности) установка исправлений поможет предотвратить взломы и утечку данных, а также снизит нагрузку на специалистов по ИТ и безопасности. Мы проанализировали 25 рекомендаций в исследовании, посвященном эффективности программ по безопасности за 2021 г., и выяснили, что упреждающее обновление технологий оказывает максимальное влияние на повышение общей эффективности защиты.

2. Обязательно выполняйте резервное копирование данных на случай нештатных ситуаций. Храните резервные копии на автономных носителях, чтобы хакеры не могли получить к ним доступ. Разработайте план восстановления, который позволит проводить масштабное восстановление данных, не затрагивая бизнес-процессы.

3. Ведите точные и актуальные записи инвентаризации активов. Старые, забытые компьютеры часто становятся отправной точкой для злоумышленников.

4. Регулярно проводите оценку рисков, чтобы своевременно выявлять уязвимости в инфраструктуре.

5. Реализуйте шифрование конфиденциальных данных и сегментацию сети: это затруднит доступ злоумышленников к критически важным системам.

6. Убедитесь, что вашим сотрудникам известны принципы кибербезопасности и защиты от вирусов-вымогателей. Проведите обучение на тему надежных паролей, выявления фишинговых писем, порядка действий в случае получения подозрительных сообщений и т. д.

7. Будьте в курсе новых угроз и тактик защиты и внедрите надежный план реагирования на инциденты, который помог бы противостоять непредвиденным угрозам. Такие организации, как Cisco Talos, предлагают услуги реагирования на инциденты, которые помогут вам подготовиться к взломам и принять адекватные меры по реагированию и восстановлению.

Полезные технологии

И, конечно же, обязательно внедрите комплекс решений безопасности, чтобы охватить широкий вектор атак, используемых злоумышленниками. Мы рекомендуем в том числе следующие решения:

Межсетевой экран нового поколения и IPS-система ― защитите сеть от атак, реализуя современные технологии межсетевых экранов и предотвращения вторжений (IPS).

Обеспечение безопасности эл. почты ― блокируйте вирусы-вымогатели, поступающие через спам и фишинг, и автоматически выявляйте вредоносные вложения и URL-адреса.

Обеспечение безопасности Интернета и облака ― защитите пользователей от вирусов-вымогателей и другого вредоносного ПО во время работы в Интернете или использования облачных приложений.

Защита оконечных устройств ― выявляйте и устраняйте угрозы, которые могут заражать различные оконечные устройства в сети.

Защищенный доступ ― обеспечьте доступ к ресурсам только для авторизованных пользователей и устройств, внедрив многофакторную проверку подлинности (MFA) и другие защитные меры.

Контроль и аналитика сетевых ресурсов ― отслеживание всего происходящего в сети позволит быстро выявить аномальное поведение. Используйте решение, которое может анализировать как зашифрованный, так и незашифрованный трафик.

Используя эти и другие технологии, организации должны реализовывать в сфере безопасности принцип нулевого доверия: никакие пользователи, устройства и приложения не должны считаться по умолчанию надежными. Система безопасности, основанная на принципе нулевого доверия, затрудняет доступ злоумышленников и успешный запуск вирусов-вымогателей в вашей сети.

Продукты для защиты от вирусов-вымогателей Cisco Ransomware Defense

Если вам нужна помощь в реализации стратегии защиты от вирусов-вымогателей, в портфеле Cisco Secure вы найдете все вышеперечисленные технологии и много других решений. Дополнительная эффективность достигается за счет интеграции в рамках платформы Cisco SecureX и поддержки со стороны ведущих специалистов по аналитике угроз из группы Cisco Talos.

Если вас заинтересовала эта тема, рекомендуем ознакомиться с эксклюзивным интервью Cisco Talos с оператором вирусов-вымогателей, чтобы получить представление о человеческом факторе угроз. Если вас интересует технический анализ всех новых атак, подпишитесь на блог Cisco Talos.