Hrozby pro podniková data se sice liší v metodách útoků, ale nejvýznamnějším rizikem známým organizacím po celém světe zůstává ransomware, jehož útoky jen v roce 2019 narostly o 41 %. Je důležité, aby se společnosti zaměřily na uznání této hrozby a nasazení strategií, jak se připravit, bránit a napravit škody po incidentech ještě dříve, než se adaptují na model hybridní pracovní síly. Tento proces zabrání, aby se organizace staly oběťmi útoků, ve kterých budou jedinými nešťastnými možnostmi ztráta dat nebo zaplacení výkupného. Aby vyhrály válku s ransomwarem, měly by organizace vytvořit plán pro IT oddělení, který zajistí, že získají odolnost potřebnou pro překonání jakéhokoli útoku. Podívejme se detailně na tři základní kroky k získání odolnosti proti ransomwaru.
Nejdříve se soustřeďte na vzdělávání a poté se vyhněte reaktivním přístupům k hrozbám
Vzdělávání – začínající ihned po identifikaci původců hrozeb – by mělo být prvním krokem učiněným na cestě směrem k odolnosti. Abyste se vyhnuli přistižení v reaktivní pozici, když dojde k ransomwarovému incidentu, je důležité porozumět třem hlavním mechanismům jeho průniku: internetové připojení přes RDP nebo jiný typ vzdáleného přístupu, phishingové útoky a zranitelnosti softwaru. Jakmile organizace vědí, kde se nacházejí hrozby, mohou taktně přistoupit ke školení se strategiemi pro zdokonalení zabezpečení IT a uživatelů a zavádět další taktiky přípravy. Identifikace těchto tří hlavních mechanismů může IT administrátorům pomoci izolovat RDP servery se záložními komponentami, integrovat nástroje na posouzení hrozby phishingových útoků, pomoci je odhalit a správně na ně reagovat, a informovat uživatele o opakujících se aktualizacích kriticky důležitých kategorií IT oblastí jako jsou operační systémy, aplikace, databáze a firmware zařízení.
Kromě toho, příprava jak používat ransomwarové nástroje pomůže IT organizacím seznámit se s různými scénáři obnovy. Ať už se jedná o bezpečný proces obnovy, který bude přerušen, když bude detekován malware, nebo software, který dokáže detekovat ransomware před obnovením systému, schopnost provádět různé scénáře obnovy bude pro organizace neocenitelnou. Když dojde k útoku, rozpoznají jej, pochopí a budou mít důvěru v proces směřující k nápravě. Pokud budou brát vzdělávací hledisko těchto kroků vážně, mohou organizace snížit riziko ransomwarového útoku, náklady i tlak na vypořádání se s ransomwarovým incidentem bez přípravy.
Implementujte zálohovací řešení, které udrží podnik v chodu
Důležitou součástí odolnosti proti ransomwaru je implementace zálohovací infrastruktury, která vytvoří a udrží možnost nepřerušeného provozu. Organizace potřebují mít nasazený spolehlivý systém, který ochrání jejich servery a zajistí, že nikdy nebudou muset zaplatit, aby dostali svá data zpět. Zvažte, zdali ponechat zálohovací server izolovaný od internetu, a omezte sdílené účty, které umožňují přístup všem uživatelům. Namísto toho přidělte v rámci serveru specifické úlohy, které budou pro uživatele relevantní a pro vzdálený přístup k pracovní ploše vyžadují dvoufaktorovou autentizaci. Jednu z nejdůležitějších obran proti ransomwaru, vnitřním hrozbám a náhodnému vymazání budou navíc poskytovat ze sítě nedostupné, off-line či neměnné kopie dat spárované s pravidlem 3-2-1.
Detekování ransomwarové hrozby tak brzy, jak je to jen možné, dává navíc IT organizacím podstatnou výhodu. To ale vyžaduje nasazení nástrojů, které označí možné ohrožující aktivity. U vzdálených koncových zařízení poskytnou záložní repozitáře, které budou nastaveny na identifikaci rizik, IT oddělení další informace o neuvěřitelném prostoru pro potenciální zahájení útoku. Jestliže implementace nezabrání útokům, je další schůdnou možností šifrování záloh všude tam, kde je to možné, jako další vrstva ochrany. Útočníci, kteří chtějí výkupné za nezveřejnění dat, je nebudou chtít dešifrovat. Když dojde k ransomwarovému incidentu, neexistuje jediná cesta k nápravě, ale je zde mnoho možností, které mohou organizace využít. Je důležité si zapamatovat, že odolnost bude záviset na tom, jak jsou implementována zálohovací řešení, na chování hrozby a průběhu nápravy. Udělejte si čas na prozkoumání dostupných možností a zajistěte, aby byla implementována řešení na ochranu vaší společnosti.
Předem se připravte na nápravu incidentů
I když existují kroky, které využívají vzdělání a implementační techniky k boji s ransomwarem ještě než dojde k útoku, organizace by stále měly být připraveny na nápravu, pokud dojde k ohrožení. Vrstvy obrany proti útokům jsou nedocenitelné, ale organizace musí také přesně zmapovat, co dělat, když bude odhalena hrozba. Pokud dojde k ransomwarovému incidentu, musí mít organizace nastavenou podporu, která povede proces obnovy, aby nebyly ohroženy zálohy. Klíčová je komunikace a procesu směrem k nápravě pomůže, když budete mít pro případ potřeby seznam kontaktů na osoby zodpovědné za bezpečnost, reakci na incidenty a řízení identit – ať už v rámci organizace, nebo externisty.
Dále je třeba mít předem schválený řetězec osob s rozhodující pravomocí. Když bude potřeba rozhodnout, například zdali v případě útoku obnovit podniková data, nebo použít záložní kopii, měla by organizace vědět, na koho se pro takové rozhodnutí obrátit. Pokud jsou připraveny podmínky k obnově, mělo by být IT oddělení seznámeno s možnostmi obnovy na základě situace s ransomwarem. Před opětovným uvedením systémů do sítě proveďte další bezpečnostní kontroly – jako je antivirová kontrola před dokončením obnovy – a ujistěte se, že probíhá správný proces. Po dokončení procesu proveďte rozsáhlou nucenou změnu hesel, aby se omezilo riziko opětovného ohrožení.
Ransomware představuje reálnou hrozbu pro velké i malé organizace. Zatímco nikdo nemůže předvídat, kdy a jak k útoku dojde, IT organizace, které mají nastavenou silnou vícevrstvou obranu a strategii, mají větší šanci na zotavení. Se správnou přípravou mohou zde uvedené kroky zvýšit odolnost kterékoli organizace – ať už v kanceláři, při práci na dálku nebo v kombinaci obou – proti ransomwarovým incidentům a zabránit ztrátě dat, finančním ztrátám, poškození pověsti a dalším následkům.
Autor je Senior director, Veeam
PŘEDPLATNÉ
ČLÁNKY DO MAILU