sposobów na ograniczenie skutków ataku ransomware
Oprogramowanie ransomware stało się ogromnym problemem dla podmiotów biznesowych i nie tylko. W ciągu ostatniego roku przestępcy wykorzystywali je do atakowania firm, szkół czy placówek ochrony zdrowia. Biorąc pod uwagę dotkliwość ataków oraz zakres wywoływanych przez nie skutków, specjaliści ds. bezpieczeństwa wciąż muszą szukać nowych sposobów na zabezpieczenie swoich systemów i sieci.
Zaawansowane ataki ransomware trwają obecnie sekundy i w tym czasie mogą doprowadzić do uszkodzenia systemów, infrastruktury IT i danych. Dodatkowo, im bardziej wyrafinowane się stają, tym bardziej ich skutki wykraczają poza straty finansowe związane z przestojem w działaniu firm.
Trzeba też sobie uzmysłowić, że nie można uniknąć próby ataku ze strony przestępców. Zdarzają się już wszędzie – wielkość firmy i branża nie mają znaczenia. Co więcej, globalna zmiana w kierunku pracy zdalnej zwiększyła ryzyko naruszenia bezpieczeństwa.
Mając te kwestie na uwadze, specjaliści z firmy Fortinet zalecają stosowanie platformowego modelu bezpieczeństwa, który obejmuje ochronę przed atakami ransomware sieci, urządzeń końcowych, aplikacji i centrów danych.
1. Zabezpieczenie poczty elektronicznej i sandboxing
Oprogramowanie ransomware bardzo często jest dystrybuowane z pocztą elektroniczną w wiadomościach phishingowych. Bezpieczna brama poczty elektronicznej zapewni zaawansowaną wielowarstwową ochronę przed pełnym spektrum zagrożeń dystrybuowanych e-mailami. Każda wiadomość, która przejdzie przez filtr poczty na serwerze, a zawiera podejrzane linki, adresy nadawców lub typy plików, powinna zostać przetestowana, zanim dotrze do odbiorcy. Środowisko testowe sandbox, dostępne na serwerze poczty elektronicznej lub urządzeniu końcowym, stanowi w tym przypadku dodatkową warstwę ochrony. Odizolowuje niebezpieczną zawartość do czasu jej zweryfikowania przez oprogramowanie antywirusowe.
2. Ochrona aplikacji internetowych
Zapora aplikacji internetowych (Web Application Firewall, WAF) pomaga chronić je poprzez filtrowanie i monitorowanie ruchu płynącego do oraz z serwisu internetowego. Jest to kluczowy element bezpieczeństwa, ponieważ działa jako pierwsza linia obrony przed cyberatakami. Cyfrowy rozwój firm często wpływa jednocześnie na zwiększenie ilości zasobów, które mogą zaatakować przestępcy. Nowe aplikacje internetowe i ich interfejsy (Application Programming Interface, API) mogą być narażone na niebezpieczeństwo, np. z powodu luk w serwerze internetowym. WAF zapewnia ochronę tych aplikacji i treści, do których mają dostęp.
3. Udostępnianie informacji o zagrożeniach
Firmy muszą mieć dostęp do informacji o zagrożeniach w czasie rzeczywistym. Powinny być one wymieniane pomiędzy różnymi rozwiązaniami zabezpieczającymi, aby zapewnić proaktywną ochronę. Ponadto, wymiana informacji powinna mieć miejsce także w ramach szerszej społeczności zajmującej się cyberbezpieczeństwem.
4. Ochrona urządzeń końcowych
Tradycyjne antywirusy w miarę ewolucji zagrożeń zazwyczaj nie są w stanie za nimi nadążyć. Należy więc upewnić się, że firma odpowiednio chroni urządzenia końcowe za pomocą rozwiązań do wykrywania zagrożeń i reagowania na nie (Endpoint Detection and Response, EDR) oraz innych nowoczesnych, działających w czasie rzeczywistym technik.
5. Zapasowe kopie danych i reagowanie na incydenty
Firma powinna wykonywać zapasowe kopie (backup) wszystkich systemów i danych oraz przechowywać je poza siecią. Należy również weryfikować poprawność wykonanego zapisu, jak też regularnie testować procedury przywracania danych, aby upewnić się, że będzie można skutecznie je odzyskać w przypadku zaszyfrowania przez ransomware.
6. Wdrożenie podejścia Zero Trust
Model Zero Trust zakłada, że każdy lub wszystko, co próbuje połączyć się z siecią, jest potencjalnym zagrożeniem. Według tej filozofii bezpieczeństwa nie należy ufać nikomu, dopóki jego tożsamość nie zostanie dokładnie sprawdzona. Weryfikacja ta wykorzystuje m.in. uwierzytelnianie wieloskładnikowe. Zero Trust obejmuje również kontrolę dostępu do sieci (Network Access Control, NAC), która służy do ograniczania dostępu nieupoważnionym użytkowników i urządzeń.
7. Firewalle i segmentacja sieci
Segmentacja sieci staje się coraz ważniejsza wraz ze wzrostem stopnia popularności środowisk wielochmurowych i hybrydowych. Dzięki niej firmy mogą dzielić swoją sieć zgodnie z potrzebami biznesowymi i przyznawać dostęp do danego segmentu w zależności od roli pracownika lub urządzenia oraz ich aktualnego statusu zaufania. Uprawnienia te weryfikowane są przy każdym żądaniu dostępu do danych. W ten sposób zapobiega się przemieszczaniu zagrożeń w obrębie sieci.
8. Szkolenia pracowników są kluczowe
Ludzie powinni być uwzględnieni jako istotny aspekt każdej strategii cyberbezpieczeństwa. Według raportu Verizon Data Breach Investigations Report z 2021 roku, 85% przypadków naruszenia danych wiąże się z interakcją międzyludzką. Można posiadać wszystkie możliwe rozwiązania ochronne, ale jeśli pominięte zostaną szkolenia pracowników w zakresie cyberświadomości, firma nigdy nie będzie naprawdę bezpieczna.
9. Mechanizm podstępu
Przedsiębiorstwa powinny być również świadome możliwości, jakie daje tzw. mechanizm podstępu. Zastosowane w nim wabiki naśladują rzeczywiste serwery, aplikacje i dane. Dzięki temu przestępcy są oszukiwani – myślą, że przeniknęli do sieci i uzyskali dostęp do najważniejszych zasobów przedsiębiorstwa, podczas gdy w rzeczywistości tak nie jest. Takie podejście można wykorzystać do zminimalizowania szkód i ochrony prawdziwych zasobów. Ponadto, może ono przyspieszyć średni czas wykrywania zagrożeń i reagowania na nie.
Mechanizm podstępu nie stanowi podstawowej strategii cyberbezpieczeństwa, ale zastosowanie go może pomóc w ochronie systemów, jeśli mimo wdrożenia wszystkich innych rozwiązań hakerzy nadal znajdują drogę do wnętrza infrastruktury.