CyberbezpieczeństwoPolecane tematy
9 porad na temat tego, jak ustrzec firmę przed ransomware Promocja
Promocja
Ransomware to dziś jedno z największych źródeł dochodu przestępców. Jest to tez najszybciej rozpowszechniający się malware. Wg danych Malwarebytes, ransomware stanowił – pod względem ilości – w I kwartale 2017 roku ponad 60% całego, rozsyłanego złośliwego oprogramowania. Firmy na świecie atakowane są za pośrednictwem tego typu malware co 40 sekund, a osoby prywatne co 10 sekund. Rośnie też wysokość okupu z ok. 300 USD w 2015 roku do ponad 1000 USD w roku 2016.
Obecnie do najbardziej znanych Trojanów typu ransomware należą Locky, TeslaCrypt i CryptoLocker. Do infekowania komputerów często używają one luk w zabezpieczeniach przeglądarek lub ich wtyczek, albo bezwiednie otwieranych załączników do e-maili. Gdy taki trojan przedostanie się do wnętrza firmy, błyskawicznie się rozprzestrzenia i może zacząć szyfrować dane. Tylko autor ransomware jest w stanie je odszyfrować.
Ransomware urósł do gigantycznego problemu
Jak wynika z analiz Kaspersky Security Bulletin, 20% firm nie odzyskało danych mimo opłacenia okupu. Z kolei aż 72% zaatakowanych przedsiębiorstw i organizacji utraciło dostęp do danych na okres 2 dni lub dłuższy. Natomiast wg szacunków Veeam, w 2019 roku cyberataki powodujące utratę danych lub ich kradzież będą kosztować firmy 2,1 tryliona USD!
Od kiedy w 2012 r. wykryto pierwszy wariant ransomware – Police Locker – wiele odmian tego rodzaju złośliwego oprogramowania osiągnęło bardzo zaawansowany poziom. Niektóre potrafią szyfrować nie tylko pliki w zainfekowanym komputerze, ale także w napędach sieciowych, zewnętrznych nośnikach pamięci (np. USB) czy nawet zmapowane napędy chmurowe. Biorąc pod uwagę udział ransomware we wszystkich typach malware oraz rosnące wielkości okupów, możemy spodziewać się kolejnych, coraz bardziej zaawansowanych odmian ransomware.
Niezbędne staje się więc w dzisiejszych czasach opracowanie strategii natychmiastowego odzyskiwania danych i aplikacji. To rola systemów backupowych lub usług typu cloud backup, które z jednej strony przechowują kopie zapasowe plików, a z drugiej powinny umożliwiać błyskawiczne ich przywracanie. Backup tym samym znalazł nowe zastosowanie. Przywrócenie danych z kopii zapasowej jest bowiem pewniejsze i łatwiejsze, niż np. płacenie okopu za odszyfrowanie danych po ataku ransomware. Jeśli dojdzie do ataku, utracone zostaną co najwyżej pliki utworzone po zapisaniu ostatniej kopii.
FBI sugeruje wdrożenie strategii tworzenia kopii zapasowych
Specjaliści z FBI zalecają wręcz amerykańskim przedsiębiorstwom wdrożenie strategii tworzenia kopii zapasowych i odzyskiwania, która zapewni skuteczną ochronę przed utratą danych spowodowaną przez ransomware. Z kolei wg serwisu Bleeping Computer, kolejnym obszarem, na który powinni zwrócić uwagę specjaliści ds. bezpieczeństwa, jest odpowiednie zabezpieczenie udostępnionych folderów sieciowych. One także stają się celem ataków ransomware.
1. Reguła 3-2-1 – ze względu na krytyczne znaczenie aplikacji i danych występujących w środowisku IT istotną rolę odgrywa – wypromowana przez Veeam – ta właśnie strategia. Zgodnie z nią 3 egzemplarze firmowych danych powinny być zapisywane na 2 różnych nośnikach, z czego 1 egzemplarz powinien być przechowywany na zewnątrz firmy.
Na zalecaną przez Veeam architekturę kopii zapasowych składa się podstawowe urządzenie pamięci masowej do tworzenia kopii zapasowych, które są używane do szybkich operacji backupu i przywracania. Natomiast dodatkowe egzemplarze kopii zapasowych są zapisywane w drugim systemie storage. Istnieje kilka opcji eksportu danych za pośrednictwem rozwiązania Veeam Availability Platform. Opisujemy je poniżej.
2. Powielanie kopii zapasowych na dysk i inne systemy operacyjne – polega to na przesłaniu danych z jednej lokalizacji do drugiej. W tym przypadku mamy do czynienia nie tylko z powieleniem pliku, ale również z odczytaniem punktów przywracania danych znajdujących się w kopii zapasowej. Jeśli jednak doszłoby do zaszyfrowania podstawowej kopii zapasowej lub jej uszkodzenia, zadanie powielania kopii również zakończyłoby się niepowodzeniem. Dlatego ważne jest, aby drugie repozytorium kopii zapasowych zostało oddzielone od reszty środowiska IT. Innym pomysłem jest użycie repozytorium kopii zapasowych opartego na systemie Linux, które zapewni ochronę przed trojanami atakującymi system Windows.
3. Wymienne urządzenie pamięci masowej – w przypadku użycia funkcji rotacji nośników – dostępnej w Veeam Availability Platform – po ponownym podłączeniu wcześniej użytego nośnika, system automatycznie zadba o usunięcie starych plików kopii zapasowych i rozpoczęcie nowego łańcucha kopii. Warto pamiętać, że nośniki wymienne powinny być regularnie wymieniane i nie powinny być stale podłączone do komputera. Posiadanie kopii na dyskach „offline” to jeden z ważnych elementów zapewniania dostępności danych.
4. Taśmy – to coraz popularniejsza metoda ochrony środowiska IT przed ransomware. Taśmy nie umożliwiają bowiem bezpośredniego dostępu do danych, zapewniając tym samym ochronę przed tego typu atakami. Taśmy – w celu zapewnienia optymalnej ochrony – powinny być umieszczane w bezpiecznej lokalizacji.
5. Migawki pamięci masowej i replikowane maszyny wirtualne – rozwiązanie to kierowane jest do firm, którym zależy na zwiększeniu dostępności i dodatkowych sposobach realizacji reguły 3-2-1. Tego typu instancje danych stanowią dodatkowe zabezpieczenie przed rozprzestrzenianiem się złośliwego oprogramowania.
6. Veeam Cloud Connect – podobnie, jak taśmy, jest jeden ze skuteczniejszych sposobów ochrony przed ransomware. W tym przypadku kopie zapasowe wysyłane są automatycznie do repozytorium wybranego usługodawcy. Możliwość świadczenia usługi Veeam Cloud Connect jest oferowana lokalnym dostawcom i resellerom IT w ramach programu Veeam Cloud & Service Provider.
7. Stałe monitorowanie aktywności – jednym z największych obaw dotyczących ransomware jest to, że złośliwe oprogramowanie może rozprzestrzeniać się na inne urządzenia. Ważne jest więc stałe monitorowanie aktywności. W Veeam ONE 9.5 istnieje nowy, predefiniowany alarm o nazwie “Możliwe działanie ransomware”. Alarm ten zostanie uruchomiony, w przypadku wykrycia wielu zapisów na dysku i wysokiego wykorzystania procesora.
8. Ograniczenie praw dostępu do kopii – konieczność zabezpieczenia przed ransomware dotyczy też repozytoriów kopii zapasowych. W związku z tym prawa dostępu do nich powinny być maksymalnie ograniczone. Bezwzględnie odradzana jest też praca na komputerze lokalnym z prawami administratora domeny. Może to doprowadzić do bardzo szybkiego rozprzestrzenienia się ransomware po firmowej sieci.
9. Powinniśmy korzystać ze standardowych, dostępnych powszechnie zabezpieczeń – warto też zachować zaporę systemu Windows, którą administratorzy niestety często wyłączają. Może to uchronić firmę przed atakami sieciowymi wykorzystującymi luki w zabezpieczeniach systemu Windows. Na wszystkich zaś komputerach należy zainstalować skaner antywirusowy i włączyć w nim monitorowanie zagrożeń w czasie rzeczywistym.