W 2022 roku ponad 60% firm było celem ataków ransomware, z czego w przypadku 50% ataki te powiodły się – tak wynika z opracowanego przez Fortinet dokumentu The 2023 Global Ransomware Report. Dodatkowo, dane z publikacji FortiGuard Labs 2H 2022 Threat Landscape Report informują o wzroście o 16% liczby ataków ransomware w porównaniu z pierwszą połową zeszłego roku. Jak się bronić przed tego typu cyberatakami?
Chociaż statystyki dotyczące ataków ransomware budzą niepokój, nie są one zaskakujące. Dzięki usługom Ransomware-as-a-Service (RaaS) nawet niedoświadczeni cyberprzestępcy mogą łatwo przeprowadzać zaawansowane ataki i szybko na tym zarobić. RaaS to model biznesowy, w którym twórcy oprogramowania ransomware udostępniają innym osobom narzędzia i infrastrukturę potrzebną do przeprowadzenia tego typu ataków. Dostawcy RaaS zwykle pobierają prowizję lub udział z zysków od opłaconych okupów za odszyfrowanie plików, tworząc tym samym model biznesowy bazujący na współpracy i dzieleniu się ryzykiem.
Jak wynika z raportu dotyczącego ransomware, siedem najczęściej wymienianych mechanizmów, z których każdy uważany jest za istotny dla ochrony przed tego typu atakami, przez co najmniej połowę respondentów, to:
- rozwiązania zabezpieczające infrastrukturę Internetu rzeczy (IoT),
- zapory sieciowe nowej generacji (NGFW),
- rozwiązania Secure Access Service Edge (SASE),
- ochrona zasobów chmurowych (CWP),
- wykrywanie zagrożeń na urządzeniach końcowych i reagowanie na nie (EDR),
- egzekwowanie reguł dostępu do sieci w modelu zero trust oraz wdrażanie umożliwiających to narzędzi (ZTNA),
- stosowanie bezpiecznych bram poczty elektronicznej (SEG).
“Aby zapobiegać negatywnym skutkom ataków ransomware zespoły ds. bezpieczeństwa powinny ustalić procedury tworzenia zapasowych kopii danych oraz stosować rozwiązania gwarantujące, że pliki w wykonanej kopii są zablokowane przed jakimikolwiek zmianami, a więc nie zostaną zaszyfrowane. Oba te mechanizmy powinny być regularnie testowane przez administratorów, aby zapewnili oni swojej firmie jak najszybsze i niezawodne odzyskiwanie danych” – stwierdził Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Aktualne procesy, szkolenia na każdym szczeblu
Każda firma powinna zbudować, utrzymywać oraz regularnie sprawdzać i aktualizować swój plan reagowania na incydenty. Uczestnicy badania 2023 Global Ransomware Report, za jeden z trzech najważniejszych priorytetów uznali „usprawnienia w kadrze pracowniczej i procesach”.
Obrona przed ransomware powinna być jednym z głównych priorytetów dla przedsiębiorstw, a szczególnie dla kierownictwa wysokiego szczebla, dyrektorów wykonawczych i zarządu. Istotne jest także zadbanie o dwukierunkową komunikację pomiędzy pracownikami a kierownictwem na tematy związane z cyberbezpieczeństwem.
W walce z ransomware bardzo ważne jest również prowadzenie szkoleń z zakresu rozpoznawania zagrożeń i reagowania na nie. Eksperci wskazują, że treningów nie należy rozpoczynać, gdy dojdzie już do incydentu, takiego jak atak ransomware. Zespoły ds. bezpieczeństwa powinny skutecznie nauczyć się, jak zapobiegać i reagować na zagrożenia jeszcze przed ich wystąpieniem. Dlatego w procesie edukowania warto rozważyć prowadzenie symulacji ataków ransomware oraz z użyciem innego rodzaju złośliwego kodu. Istnieje wiele dostępnych szkoleń, m.in. w instytucie SANS, Information Systems Audit and Control Association (ISACA), Cloud Security Alliance oraz innych instytucjach.
“Udział w szkoleniach powinny brać nie tylko zespoły ds. bezpieczeństwa. Świadomość pracowników na temat zagrożeń, w tym ataków realizowanych według różnych scenariuszy, np. z wykorzystaniem inżynierii społecznej, należy podnosić na każdym szczeblu. Warto też skorzystać z narzędzi do symulowania różnych form zagrożeń, takich jak phishing, vishing i smishing, co pomoże pracownikom w wyrobieniu poprawnych nawyków w rozpoznawaniu nawet skomplikowanych ataków” – podsumował Robert Dąbrowski.
