Cisco Poland Blog

Ransomware – 10 sprawdzonych sposobów na obronę

4 min read



Skutki niedawnych ataków wirusem Petya (nazywanym również Netya, aby odróżnić go od poprzedniej generacji) odczuwalne są nadal przez wiele firm na całym świecie. Straty wynikające z zablokowanego dostępu do danych będą pewnie szacowane przez długi czas. Nikt nie może czuć się bezpieczny, ale kilka poniższych wskazówek pozwoli lepiej przygotować się do obrony przed jednym z najbardziej złośliwych programów w historii:

  1. Kopia zapasowa to podstawa

Głównym celem ataków wykorzystujących oprogramowanie ransomware są dane. Dlatego tak istotne jest częste i regularne planowanie tworzenia kopii zapasowych. Częstotliwość wykonywania kopii zapasowej zależy od stopnia, w jakim posiadane dane mają znaczenie dla prowadzonej działalności. Im częściej wykonywany jest backup tym mniej danych narażonych jest na straty. W przypadku ataku, aby wyeliminować ransomware i nie dopuścić do jego rozprzestrzeniania się na inne systemy w sieci konieczne będzie sformatowanie systemu. Wtedy z pewnością przyda się ostatnia zapisana wersja kopii zapasowej lub migawkowa kopia zapasowa.

  1. Po drugie, aktualizacja

Przestarzała, nieaktualizowana od dawna wersja oprogramowania to wymarzone środowisko dla ransomware. Dzięki znanym lukom w zabezpieczeniach złośliwy program jest w stanie szybko i niezauważenie przeniknąć do firmowej sieci. Konsekwencja i regularność w instalowaniu udostępnianych przez producentów aktualizacji zdecydowanie wpływa na zwiększenie poziomu ochrony przed atakami ransomware.

  1. Człowiek najsłabszym ogniwem łańcucha zabezpieczeń

Posiadając najwyższej klasy zabezpieczenia pozostaniemy bezbronni wobec ransomware, jeśli nie zadbamy o edukowanie pracowników w kwestiach bezpieczeństwa. Cyberprzestępcy w swoich działaniach wykorzystują arsenał socjotechnicznych tricków na które tak podatni są ludzie. Aby uniknąć elementu ryzyka ze strony nieświadomych pracowników warto zadbać o ich edukację w zakresie procedur bezpieczeństwa. Poinstruuj pracowników, aby podczas czytania wiadomości e-mail zadawali sobie pytania: 1. Czy znam nadawcę? 2. Czy naprawdę muszą otworzyć ten plik albo kliknąć to łącze? 3. Czy naprawdę zdarzyło mi się zamówić coś z tej firmy?

  1. Chroń swoją sieć przed ransomware na wielu poziomach

Zadbaj o ochronę sieci korzystając z metody warstwowej, która pozwala egzekwować środki bezpieczeństwa w różnych jej obszarach za pomocą wielu metod. Usuwając pojedyncze punkty podatności na awarie można skutecznie zabezpieczać i chronić sieć oraz dane. Skorzystaj z takich rozwiązań jak Cisco Firepower™ – zapory nowej generacji (NGFW) blokującej ruch związany z przekazaniem sterowania i nadzoru oraz wszystkie złośliwe pliki przenikające do sieci

  1. Stosuj segmentację dostępu do sieci

Segmentacja sieci pozwala ograniczyć wolumen zasobów dostępnych dla cyberprzestępców dzięki ich logicznemu pogrupowaniu w odrębne obszary. Stała i dynamiczna kontrola dostępu pozwala skutecznie uniknąć naruszenia zabezpieczeń całej sieci podczas jednego ataku. Większość sieci firmowych to sieci „płaskie”, w których niemal w ogóle nie stosuje się segmentacji, podczas gdy zastosowanie rozwiązań takich jak Cisco ISE czy TrustSec, dzięki dynamicznemu podziałowi sieci na segmenty ułatwia powstrzymanie lub ograniczenie tempa poziomego rozprzestrzeniania się złośliwego oprogramowania.

  1. Nie możesz chronić czegoś, czego nie widzisz

Aby móc w porę zauważyć próbę przeniknięcia złośliwego oprogramowania należy zapewnić pełen wgląd w to co dzieje się w Twojej sieci i centrum danych.  Chroń granice swojej sieci, wdrażając i wzmacniając tzw. strefę zdemilitaryzowaną. Strefa zdemilitaryzowana to fizyczna lub logiczna podsieć izolująca zewnętrzne usługi organizacji i mająca kontakt z zazwyczaj szerszą i niezaufaną siecią, taką jak Internet. Stanowi ona dodatkową warstwę zabezpieczeń dla sieci lokalnej (LAN). W efekcie zewnętrzny węzeł sieci ma bezpośredni dostęp tylko do serwerów znajdujących się w strefie zdemilitaryzowanej, a nie w innych częściach sieci wewnętrznej. Rozwiązanie do wykrywania zagrożeń Cisco Stealthwatch monitoruje ruch sieciowy i wykrywa nietypowe zdarzenia, wysyłając ostrzeżenie że system jest zagrożony.

  1. Zapobiegaj pierwotnej infiltracji

Ransomware przedostaje się do systemu zazwyczaj przez nieświadome kliknięcie w zainfekowany załącznik e-mail lub pobranie złośliwego pliku. Dlatego tak istotne jest umiejętne blokowanie witryn i wiadomości e-mail zawierających złośliwy kod. Rozwiązanie takie jak Cisco® Umbrella wykrywa złośliwe witryny i blokuje żądania na poziomie hosta, dzięki czemu większość plików zarażonych ransomware zostanie zatrzymana w warstwie DNS, zanim w ogóle będą w stanie dotrzeć do urządzenia użytkownika końcowego. Zainstalowanie oprogramowania blokującego reklamy może okazać się niewystarczające. Warto przemyśleć również inwestycję w zatwierdzony przez firmę program udostępniania i wymiany plików między pracownikami a partnerami instytucji.

  1. Antywirus nie wystarczy

Wdrożenie rozwiązania antywirusowego w punktach końcowych nie wystarczy aby obronić się przed ransomware. W związku z rosnącą popularnością zasady BYOD (Bring Your Own Device) warto rozważyć zastosowanie koncepcji „minimalnych uprawnień” dla poszczególnych kont, zwłaszcza w zakresie uprawnień użytkowników dotyczących punktów końcowych i udostępniania sieci. Złośliwe oprogramowanie najczęściej jest uruchamiane z użyciem poziomu uprawnień aktualnie zalogowanego użytkownika. Jeśli użytkownik jest administratorem, staje się nim również cyberprzestępca. Należy zawsze korzystać z uwierzytelniania dwupoziomowego. Haker może wykraść hasło, ale jest bardzo mało prawdopodobne, by jednocześnie uzyskał dostęp do smartfona lub tokenu.

  1. Bądź na bieżąco z wiedzą o cyberzagrożeniach

Aby stanąć na polu bitwy, należy jak najlepiej poznać swojego wroga. Monitorując sytuację w swojej sieci i korzystając z wiedzy specjalistów w dziedzinie cyberzagrożeń zwiększasz swoje szanse w tej nierównej walce. Talos to ponad 250 osobowy zespół analizujący znane i nowo pojawiające się cyberzagrożenia. Informacje na temat bezpieczeństwa w sieci i najnowszych zidentyfikowanych odmian zagrożeń są na bieżąco publikowane przez zespół Talos na blogu oraz w mediach społecznościowych. Eksperci z grupy Talos analizują 1,5 mln przypadków złośliwego oprogramowania dziennie. Ich wiedza o doświadczenie mogą się przydać w walce o bezpieczeństwo własnych zasobów.

  1. Nie daj się szantażować

Kiedy okazuje się, że nasze dane zostały zablokowane, a dostęp do nich możemy uzyskać po uiszczeniu niebagatelnej sumy można odczuć pokusę zapłacenia okupu. Wartość branży ransomware w 2016 szacowana jest na 4 mld zł. Szybko stało się ono nie tylko jednym z najzłośliwszych, ale również najbardziej dochodowych oprogramowań cyberprzestępczych. W przypadku ataku skontaktuj się z organami ścigania — nie finansuj działalności cyberprzestępców, płacąc im okup.

Webinar: Ransomware. Ochrona przed, w trakcie i po ataku

Jeśli chcesz dowiedzieć się więcej o tym, jak bronić firmowe dane przed, w trakcie i po ataku ransomware zapraszamy do obejrzenia webinarium z cyklu Cisco Expert Talks.

Obejrzyj darmowy webinar o ransomware

Leave a comment