RansomCare – záchranná brzda před zašifrováním vašich dat

10. 4. 2024

Sdílet

 Autor: Ricoh
V nedávné době se uskutečnila v rámci PoC řada simulovaných útoků pomocí ransomwaru na testované prostředí u společností v České republice s robustní ochranou dat. V každém testu prošel touto ochranou vzorek ransomwaru a spustil procesy, které by nenávratně zašifrovaly jejich data. Při nasazení nástroje RICOH RansomCare, který doplňuje existující ochranu, došlo k okamžitému rozpoznání činnosti ransomwaru (šifrování) a ukončení jeho aktivity. Toto řešení totiž nabízí unikátní způsob, jak rozpoznat škodlivou činnost, a svou úspěšnou strategií sbírá úspěchy po celém světě.

Shrnutí situace

Ransomwarové útoky jsou stále propracovanější a pravděpodobnější. Nárůst takových útoků na organizace podle průzkumů společnosti Gartner dosahuje za poslední rok až 715 %. Obchodní transformace a agilní způsoby práce vytvářejí pro škodlivé útoky více příležitostí. Ochrana proti kybernetickým útokům celé roky zahrnovala uzavření vašich dat a zařízení za neprostupnou zeď. Když se veškerá vaše on-line aktivita odehrávala na jednom centrálním místě, tato taktika fungovala. Digitální vlastnictví moderní firmy však již není centralizované. Vaši zaměstnanci a partneři očekávají, že budou mít přístup k vaší organizaci odkudkoli, aniž to ovlivní produktivitu. Společnosti, které se přizpůsobují a tento nový trh přijímají, prosperují. Ale pokud už ve vašem podnikání neexistuje „venku“ a „uvnitř“, jak můžete zůstat chráněni jednou obrannou linií? A jak tedy zvládnout boj s vašimi potenciálními útočníky?

Ochrana založená na perimetru

Podniky tradičně uzavírají všechna svá data a zařízení do perimetru, který se skládá z kombinace firewallu, e-mailových skenerů, webových filtrovacích řešení a agentů pro zabezpečení koncových bodů. Tím se pokouší prověřovat vše, co přichází do sítě, a poté zablokovat nebo odstranit vše, co je označeno za škodlivé. Firma by tím pádem měla mít pocit, že se ubrání útočníkům a že bude veškerá její činnost v bezpečí. Po digitální transformaci to už ale neplatí.

To znamená, že nekalá aktivita má více šancí proniknout dovnitř. Pokud něco oklame váš firewall nebo najde způsob, jak uniknout detekci na koncových bodech, pak to prolomí vaši obranu a infiltruje váš systém. A jelikož mnoho předních antivirových softwarových řešení nedokáže nové varianty ransomwaru někdy až po dobu čtyř týdnů detekovat – přičemž rychlost šifrování může být až 50 000 souborů za minutu – mohou být následky katastrofální.

Důsledky tradiční ochrany

Obvykle to může trvat hodiny, nebo dokonce dny, než si organizace uvědomí, že byla vystavena útoku ransomwaru – během této doby může být ohrožena velká část sítě. Zločinci často zaútočí o víkendech, kdy není poblíž personál, který by zareagoval. Útočníci mají dostatek času na to, aby se dostali do vašeho datového centra a ukradli soukromé duševní vlastnictví. A přesně to by použili k vyjednání o platbě za vydání. Útok povede k masivnímu narušení vašich služeb a produktivity lidí, protože budou nedostupné potřebné soubory. Při útoku ransomwarem je objem zasažených dat obrovský, proto může trvat jejich obnova velmi dlouho. Navíc nebudou obnovena všechna data. Zastavení šíření šifrování tedy zabrání výrazným ztrátám.

Proč je RICOH RansomCare jiný

Řešení založená na principu zastavení šifrování jsou navržena tak, aby zastavila jakýkoli ransomwarový útok, který dokáže proniknout přímo do vašeho prostředí. Pomocí vytvořených skriptů deaktivuje uživatele v AD, od kterého přišel útok na hlídaný server. Zároveň odpojí i nakažený server. Tím se zabrání šíření šifrování v rámci sítě. Zároveň je vygenerována zpráva o incidentu, která kromě jiného obsahuje i seznam již poškozených souborů. Rovněž je odeslána zpráva vašemu bezpečnostnímu týmu s podrobnostmi o útoku.

ICTS24

RICOH RansomCare, používající technologii BullWall, detekuje a rychle reaguje na nelegitimní šifrování na serverech. Po instalaci prochází řešení tzv. machine learning procesem (čtyři až šest týdnů), kdy se učí, jak standardně vypadají data na hlídaných serverech. V případě podezřelé činnosti okamžitě zakročí. Zastavuje šíření ransomwaru tím, že deaktivuje napadené zařízení v okamžiku, kdy je u sdílení souborů zjištěno nelegitimní šifrování. Chrání tak celou kritickou infrastrukturu, nejen on-premise nebo cloud sdílené soubory, ale také vaše SAN/NAS, databáze a aplikační servery, doménové řadiče. Funguje jako virtuální počítač s oprávněním pouze pro čtení. Jeho instalace a implementace zabere dvě až šest hodin a aktivní nasazení je možné během čtyř až šesti týdnů. Problematika ransomwaru je navíc součástí přicházející směrnice NIS2.

RICOH RansomCare posílí vaši dosavadní bezpečnost plnou integrací, která zvýší vaši ochranu. Pro nezávaznou konzultaci využijte kontakty na www.ricoh.cz.

Autor článku