Hvordan beskytte og gjenopprette virksomheten din fra ransomware

USA støtter full effekt av en global ransomware-epidemi basert på Wanna Decryptor-skadestammen. Det er viktig å beskytte virksomheten og dataene dine mot denne raskt spredte trusselen, men når vi er forbi den, må du huske at Wanna Decryptor bare er det støyende eksemplet på ransomware-problemet.

Det er tre ting å vite om ransomware: det er skummelt, det vokser raskt og det er big business. I følge FBIs Internet Crime Complaint Center (IC3) ble mer enn 992 CryptoWall-relaterte klager mottatt mellom april 2014 og juni 2015, noe som resulterte i mer enn 18 millioner dollar i tap. Den ondartede suksessen gjenspeiles i ransomwares vekstrate med Infoblox DNS Threat Index, og rapporterte om 35 ganger økning i nye domener opprettet for ransomware i første kvartal 2016 (sammenlignet med fjerde kvartal 2015).

Generelt slipper ransomware en kryptert vegg mellom en virksomhet og interne data og applikasjoner som virksomheten trenger for å drive. Men disse angrepene kan være langt mer alvorlige enn bare utilgjengeligheten av dataene. Hvis du ikke er forberedt, kan virksomheten din stoppe opp.

Bare spør Hollywood Presbyterian Medical Center. Lenge før Wanna Decryptor lærte sykehuset en smertefull leksjon da personalet mistet tilgangen til PC-ene sine under et ransomware-utbrudd tidlig i 2016. Sykehuset betalte løsepenger på $ 17 000 etter at ansatte brukte 10 dager på å stole på faksmaskiner og papirkart. Eller spør Tewksbury Police Department. I april 2015 betalte de løsepengene for å gjenvinne tilgang til kryptert arrestasjon og hendelsesregister.

Hvordan blir bedrifter smittet?

Hvis det er et sølvfor til Wanna Decryptor på noe nivå, er det at det tjener til å bevise, uten tvil, at trusselen som ransomware presenterer er reell. Ingen virksomheter eller ansatte er immun mot et potensielt ransomware-angrep. Det er viktig å forstå hvordan ransomware infiserer datamaskiner før du diskuterer hvordan du kan beskytte virksomheten din mot den, eller hvordan du skal svare hvis du er kompromittert. Å forstå smittens opprinnelse og modus gir innsikt i å holde deg trygg.

Ransomware kommer vanligvis fra en av to kilder: kompromitterte nettsteder og e-postvedlegg. Et legitimt nettsted som har blitt kompromittert, kan være vert for et utnyttelsessett som infiserer maskinen din, vanligvis gjennom nettleserutnyttelse. Den samme metodikken kan brukes av et phishing-nettsted. En drive-by nedlasting installerer ransomware og den begynner å kryptere filene dine.

I tilfelle et skadelig e-postvedlegg, blir brukere lurt til å åpne vedlegget, som deretter installerer ransomware. Dette kan være så enkelt som en falsk e-postmelding med et kjørbart vedlegg, en infisert Microsoft Word-fil som lurer deg til å aktivere makroer, eller en fil med et nytt navn som en fil som ender i "PDF", men som virkelig er en EXE fil (en kjørbar).

"I begge disse tilfellene brukes en slags sosialteknikk for å lokke brukeren til å infisere seg selv, " sier Luis Corrons, PandaLabs tekniske direktør i Panda Security. "Dette gir bedrifter en flott mulighet til å utdanne brukerne sine til å unngå denne risikoen, men dessverre forsømmer de fleste små bedrifter dette og går glipp av sjansen til å redde seg selv en stor hodepine."

For øyeblikket er det ingen sølvkule som sikrer din organisasjons sikkerhet mot ransomware. Men det er fem trinn hver bedrift bør ta som kan redusere sjansene for infeksjon drastisk - og også lette smertene hvis et angrep lykkes.

Forberede

En sentral komponent for å forberede seg på et ransomware-angrep er å utvikle en robust sikkerhetskopi-strategi og lage vanlige sikkerhetskopier. "Robuste sikkerhetskopier er en nøkkelkomponent i en anti-ransomware-strategi, " sier Philip Casesa, produktutviklingsstrateg ved ISC2, en global ideell organisasjon som sertifiserer sikkerhetsfagfolk. "Når filene dine er kryptert, er det eneste levedyktige alternativet å gjenopprette sikkerhetskopien. De andre alternativene dine er å betale løsepenger eller miste dataene."

"Du må ha en slags sikkerhetskopi, en ekte sikkerhetskopiløsning av eiendelene du har bestemt er avgjørende for virksomheten din, " fortsatte Casesa. "Sanntids sikkerhetskopiering eller synkronisering av filer vil bare sikkerhetskopiere de krypterte filene. Du trenger en robust sikkerhetskopieringsprosess der du kan rulle tilbake noen dager, og gjenopprette lokale apps og serverapper og data."

Panda Securitys Corrons tilbyr en ytterligere advarsel: sikkerhetskopier "er avgjørende i tilfelle forsvaret ditt mislykkes, men sørg for å ha fjernet ransomware helt før du gjenoppretter sikkerhetskopier. Hos PandaLabs har vi sett ransomware kryptere sikkerhetskopifiler."

En god strategi å ta i betraktning er en lagdelt eller distribuert sikkerhetskopiløsning som oppbevarer flere kopier av sikkerhetskopifiler på forskjellige steder og på forskjellige medier (slik at en infisert node ikke umiddelbart har tilgang til både gjeldende fildatabaser og sikkerhetskopiearkiv). Slike løsninger er tilgjengelige fra flere små til mellomstore bedrifter (SMB) online backup-leverandører, så vel som de fleste DRAaS-leverandører av Disaster-Recovery-as-a-Service.

Forhindre

Som tidligere nevnt, brukerutdanning er et kraftig, men ofte oversett våpen i arsenalet ditt mot ransomware. Tren brukerne til å gjenkjenne sosialtekniske teknikker, unngå clickbait og aldri åpne et vedlegg fra noen de ikke kjenner. Vedlegg fra folk de kjenner, bør vises og åpnes med forsiktighet.

"Å forstå hvordan ransomware sprer identifiserer brukerens atferd som må endres for å beskytte virksomheten din, " sa Casesa. "E-postvedlegg er den største risikoen for infeksjon, nedlastbare enheter er nummer to, og ondsinnede lenker i e-post er nummer tre. Mennesker spiller en viktig faktor for å bli smittet med ransomware."

Å trene brukere til å vurdere ransomware-trusselen er enklere enn du tror, ​​spesielt for SMB-er. Jada, det kan ta den tradisjonelle formen for et langvarig internt seminar, men det kan også ganske enkelt være en serie gruppelunsjer der IT får sjansen til å informere brukere via interaktiv diskusjon - til den lave prisen på noen få pizza. Du kan til og med vurdere å ansette en ekstern sikkerhetskonsulent for å levere opplæringen, med noen tilleggsvideoer eller eksempler fra den virkelige verden.

Beskytte

Det beste stedet å begynne å beskytte SMB mot ransomware er med disse Top Four Mitigation Strategies: hvitlisting av apper, patching av apper, patching operativsystemer (OSes) og minimering av administrative rettigheter. Casesa var raskt ute med å påpeke at "disse fire kontrollene tar seg av 85 prosent eller mer av malware-trusler."

For små og mellomstore bedrifter som fremdeles er avhengige av individuell PC-antivirus (AV) for sikkerhet, kan det å sentralisere sikkerhet for hele organisasjonen og ta full kontroll over disse tiltakene ved å flytte til en administrert sikkerhetsløsning for endepunktet. Det kan øke AV og anti-malware effektivitet drastisk.

Uansett hvilken løsning du velger, må du sørge for at den inkluderer atferdsbasert beskyttelse. Alle våre tre eksperter var enige om at signaturbasert anti-malware ikke er effektivt mot moderne programvaretrusler.

Ikke betal

Hvis du ikke har forberedt deg på og beskyttet deg mot ransomware og blir smittet, kan det være fristende å betale løsepenger. Når vi ble spurt om dette var et klokt grep, var imidlertid våre tre eksperter samlet i svaret. Corrons var raskt ute med å påpeke at "å betale er risikabelt. Nå mister du absolutt pengene dine, og kanskje får du filene tilbake ukryptert." Tross alt, hvorfor skulle en kriminell bli ærlig etter at du har betalt ham?

Ved å betale kriminelle gir du dem et incitament og midler til å utvikle bedre løsepenger. "Hvis du betaler, gjør du det så mye verre for alle andre, " sier Casesa. "De slemme gutta bruker pengene dine på å utvikle nastier skadelig programvare og smitte andre."

Å beskytte fremtidige ofre er kanskje ikke av høyde når du prøver å drive en virksomhet med dataene som gisler, men bare se på det fra dette perspektivet: Det neste offeret kan være deg igjen, denne gangen kjemper enda mer effektiv skadelig programvare som du bidro til å betale for å utvikle.

Casesa påpeker at "ved å betale løsepenger, har du nå blitt et modermål for kriminelle fordi de vet at du vil betale." Du blir i salgssalg en kvalifisert leder. Akkurat som det ikke er noen ære blant tyvene, er det ingen garanti for at løsepengene vil bli fullstendig fjernet. Kriminelen har tilgang til maskinen din, og kan avkryptere filene dine og la malware være på den for å overvåke aktivitetene dine og stjele tilleggsinformasjon.

Forbli produktiv

Hvis skaden forårsaket av ransomware handler om forstyrrelse i virksomheten din, hvorfor ikke ta skritt for å øke kontinuiteten ved å flytte til skyen? "Nivået på beskyttelse og generell sikkerhet du får fra skyen er langt større enn hva en liten bedrift hadde råd til selv, " påpeker Brandon Dunlap, Global CISO for Black & Veatch. "Cloud-leverandører har skanning av skadelig programvare, forbedret autentisering og en rekke andre beskyttelser som gjør at sjansen for at de lider av et ransomware-angrep er veldig lav."

Flytt e-postservere til skyen i det minste. Dunlap påpeker at "e-post er en stor angrepsvektor for ransomware. Flytt den til skyen der leverandører samler flere sikkerhetskontroller som malware skanning og DLP i tjenesten." Ytterligere sikkerhetslag, for eksempel proxy-basert nettsted-omdømme og trafikkskanning, kan legges til gjennom mange skytjenester og kan ytterligere begrense eksponeringen din for ransomware.

Dunlap er begeistret for beskyttelsen skyen tilbyr mot ransomware. "Vi er i et fantastisk øyeblikk i teknologihistorien med en rekke lavfriksjonsløsninger på mange av problemene som småbedrifter står overfor, " sa Dunlap. "Dette gjør små bedrifter mer kvikke fra et IT-perspektiv."

Hvis din lokale maskin blir infisert med ransomware, kan det ikke en gang ha noe å si om dataene dine er i skyen. Tørk av din lokale maskin, bilde den på nytt, koble til skytjenestene på nytt, og du er i gang igjen.

Ikke vent til skoen dropper

Dette er ikke en av de situasjonene der en vent-og-se-tilnærming er din beste taktikk. Wanna Decryptor viser tydelig at ransomware er der ute; det vokser i kjempesprang, både i raffinement og dårlig fyr-popularitet - og det er definitivt ute etter deg. Selv etter at denne nåværende trusselen har gått over, er det kritisk viktig at du tar skritt for å beskytte data og sluttpunkter mot infeksjon.

Lag regelmessige sikkerhetskopier, tren ansatte for å unngå infeksjon, lapp apps og OS, begrense administratorrettigheter og kjør ikke-signaturbasert programvare mot malware. Hvis du følger dette rådet, kan du forhindre alle bortsett fra de mest blødende infeksjonene (og de som sannsynligvis ikke er rettet mot SMB). I det tilfellet et angrep kommer gjennom forsvaret, har du en klar, testet plan for at IT skal rydde opp infeksjonen, gjenopprette sikkerhetskopier og gjenoppta normal forretningsdrift.

Hvis du ikke følger disse beste praksisene, og du blir smittet, vet du at det å betale løsepenger uten garantier, kvalifiserer deg som en sucker for de kriminelle og gir dem mulighet til å utvikle enda mer lumske løsepenger (og insentivet å bruke den på deg så ofte som mulig). Ikke vær et offer. Ta i stedet tid nå til å høste fordelene senere: forberede, forebygge, beskytte og holde deg produktiv.