Innholdsfortegnelse:
- Hvordan unngå et Ransomware-angrep
- Hvorfor Ransomware er annerledes
- Hvordan beskytte deg selv
- Tidlige advarsler og beskyttelse
- Bør du betale løsepenger?
Video: What is Ransomware, How it Works and What You Can Do to Stay Protected (Oktober 2024)
Vi vet alle at ransomware er en av de mest destruktive malware-variantene der ute. Du snakker om å klikke på feil kobling og få organisasjonens data til å forsvinne i en sump av kryptert gibberish, eller til og med serveroperativsystemene (OSes) og andre kritiske filer som ganske enkelt forsvinner en dag. Du kan betale løsepenger, men det kan ikke bare være dyrt, men har heller ingen garanti for at skurkene vil gi deg tilbake dataene dine.
Hvordan unngå et Ransomware-angrep
Det første trinnet er det Israel Barak, Chief Information Security Officer (CISO) av sluttpoengdeteksjons- og responsprogramvareutvikler Cybereason kaller "IT og sikkerhetshygiene." Dette betyr å unngå sårbarheter og filtrere e-post og nettrafikk. Det betyr også å gi brukeropplæring, og sørge for at oppdateringer for OS, applikasjoner og sikkerhetsprodukter er helt oppdatert.
Det andre trinnet er å ha en forretningskontinuitet og utvinningsstrategi. Dette betyr faktisk å lage en plan for når ting går dårlig i stedet for bare å håpe at de ikke vil det. Barak sa at dette inkluderer å ha sikkerhetskopier på plass og testet, vite hvordan du vil gjenopprette påvirkede tjenester, vite hvor du får databehandlingsressurser for utvinning, og å vite at den fulle gjenopprettingsplanen din vil fungere fordi du faktisk har testet den.
Det tredje trinnet er å ha beskyttelse mot skadelig programvare. Barak sa at dette inkluderer å ha beskyttelse mot skadelig programvare som kommer inn i nettverket ditt og beskyttelse mot skadelig programvare som kjøres mens du er på systemene dine. Heldigvis er mest skadelig programvare ganske lett å oppdage fordi malware-forfattere ofte deler vellykkede rutiner.
Hvorfor Ransomware er annerledes
Dessverre er ikke ransomware som annen skadelig programvare. Barak sa at fordi ransomware bare er bosatt på en datamaskin kort, er det ikke vanskelig å unngå oppdagelse før den har fullført krypteringen og sendt ransomware-meldingen. I tillegg, i motsetning til andre typer skadelig programvare, kan skadelig programvare som faktisk utfører filkrypteringen ankomme offerets datamaskiner bare øyeblikk før krypteringen begynner.
To relativt nylige typer malware - Ryuk og SamSam - kommer inn i systemene dine under veiledning av en menneskelig operatør. Når det gjelder Ryuk, er den operatøren trolig lokalisert i Nord-Korea, og med SamSam, i Iran. I begge tilfeller starter angrepet med å finne legitimasjon som tillater innreise i systemet. Når den er der, undersøker operatøren innholdet i systemet, bestemmer hvilke filer som skal krypteres, hever privilegier, leter etter og deaktiverer programvare mot skadelig programvare og lenker til sikkerhetskopier for også å bli kryptert, eller i noen tilfeller deaktiverer sikkerhetskopier. Deretter, etter kanskje måneder med klargjøring, lastes og lanseres krypterings malware; det kan være ferdig med jobben på få minutter - altfor raskt til at en menneskelig operatør kan gripe inn.
"I SamSam brukte de ikke konvensjonell phishing, " forklarte Carlos Solari, visepresident for utvikler av cybersecurity-løsninger Comodo Cybersecurity og tidligere White House CIO. "De brukte nettsteder og stjal legitimasjon av mennesker og brukte brute force for å få passordene."
Solari sa at disse inntrengingene ofte ikke blir oppdaget fordi det ikke er noen skadelig programvare involvert før det er slutt. Men han sa at det, gjort ordentlig, det er måter å stoppe angrepet på dette tidspunktet. Vanligvis, sa han, vil de kriminelle etterkomme katalogtjenestene for nettverket og angripe dem slik at de kan få de administrative privilegiene som kreves for deres iscenesettelse for angrepet. På dette tidspunktet kan et inntrengingsdeteksjonssystem (IDS) oppdage endringene, og hvis nettverksoperatørene vet hva de skal se etter, kan de låse systemet og sparke inntrengerne.
"Hvis de er oppmerksom, så vil de innse at noen er på innsiden, " sa Solari. "Det er viktig å finne intern og ekstern trusselintelligens. Du leter etter avvik i systemet."
Hvordan beskytte deg selv
For mindre selskaper foreslår Solari at selskaper finner et Managed Detection and Response (MDR) Security Operations Center (SOC) som en tjeneste. Han la til at større selskaper kan være lurt å finne en Managed Security Services Provider (MSSP). En av løsningene vil gjøre det mulig å følge med på sikkerhetshendelser, inkludert iscenesettelse før et stort ransomware-angrep.
I tillegg til å overvåke nettverket ditt, er det også viktig å gjøre nettverket ditt slik at det er så ugjestmildt for kriminelle som mulig. I følge Adam Kujawa, direktør for Malwarebyte Labs, er et kritisk skritt å segmentere nettverket slik at en inntrenger ikke uten videre kan bevege seg over nettverket ditt og ha tilgang til alt. "Du skal ikke oppbevare alle dataene dine på samme sted, " sa Kujawa. "Du trenger et dypere sikkerhetsnivå."
Men hvis det viser seg at du ikke oppdaget de invasive stadiene foran ransomware-angrepet, er det et annet lag eller respons, som er atferdsdeteksjon av skadelig programvare når den begynner å kryptere filer.
"Det vi har lagt til, er atferdsmekanismer som er avhengige av atferd som er typisk for ransomware, " forklarer Barak. Han sa at slik programvare ser på hva ransomware kan gjøre, for eksempel å kryptere filer eller slette sikkerhetskopier, og deretter tar det tiltak for å drepe prosessen før den kan skade seg. "Det er mer effektivt mot aldri før sett stammer av ransomware."
Tidlige advarsler og beskyttelse
For å gi en form for tidlig advarsel, sa Barak at Cybereason tar et nytt skritt. "Det vi har gjort er å bruke en unntaksmekanisme, " sa han. "Når Cybereason-programvaren går på et sluttpunkt, lager det en serie basefiler som er plassert i mapper på harddisken som vil gjøre at ransomware prøver å kryptere dem først." Han sa at endringer i filene blir oppdaget umiddelbart, Deretter vil Cybereasons programvare eller lignende programvare fra Malwarebytes avslutte prosessen, og i mange tilfeller beholde malware, slik at den ikke kan skade seg.
Så det er flere lag med forsvar som kan forhindre et ransomware-angrep, og hvis du har dem alle funksjonelle og på plass, må et vellykket angrep følge en rekke feil for å kunne skje. Og du kan stoppe disse angrepene hvor som helst langs kjeden.
Bør du betale løsepenger?
Men antar at du bestemmer deg for at du vil betale løsepenger og gjenopprette driften umiddelbart? "For noen organisasjoner er det et levedyktig alternativ, " sa Barak.
Du må vurdere kostnadene for driftsavbrudd for å avgjøre om kostnadene for å komme tilbake i drift er bedre enn kostnadene for restaurering, alt tatt i betraktning. Barak sa at "for de fleste ransomware-angrep, " får du filene tilbake i de fleste tilfeller."
Men Barak sa at hvis du betaler løsepenger er en mulighet, så har du andre hensyn. "Hvordan forbereder vi oss på forhånd for å ha mekanismen til å forhandle om kostnadene for å få tjenestene tilbake? Hvordan betaler vi dem? Hvordan danner vi mekanismen for å megle den typen betaling?"
I følge Barak inkluderer nesten alle ransomware-angrep et middel for å kommunisere med angriperen, og de fleste bedrifter prøver å forhandle frem en avtale som ransomware-angripere vanligvis er åpne. Du kan for eksempel bestemme at du bare trenger en del av maskinene som er kryptert, og bare forhandle om retur av disse maskinene.
- The Best Ransomware Protection for 2019 The Best Ransomware Protection for 2019
- SamSam Ransomware Hackere raker i $ 5, 9 millioner SamSam Ransomware hackere raker i $ 5, 9 millioner
- 2 iranere bak SamSam Ransomware-angrep, amerikanske krav 2 iranere bak SamSam Ransomware-angrep, amerikanske krav
"Planen må settes på plass i forkant. Hvordan vil du svare, hvem som vil kommunisere, hvordan du betaler løsepenger?" Sa Barak.
Selv om betaling er et levedyktig alternativ, er det for de fleste organisasjoner fortsatt et alternativ for siste grøft, ikke et svar. Det er mange variabler du ikke kan kontrollere i det scenariet, og når du har betalt en gang, kan du aldri garantere at du ikke blir angrepet for mer penger i fremtiden. En bedre plan er å bruke et solid forsvar som er vanskelig nok til å avlede de fleste malware-angrep og beseire de få som lykkes. Men uansett hva du bestemmer deg, husk at praktisk talt alle løsninger krever at du tar sikkerhetskopi av deg. Gjør det nå, gjør det ofte, og test ofte også for å forsikre deg om at ting fungerer jevnt i en klype.
