Dimension Data, globalny dostawca rozwiązań i usług ICT, wspólnie z Cisco opublikowała dokument, który pomoże organizacjom w radzeniu sobie z zagrożeniem, jakim jest ransomware. Publikacja, zatytułowana Ransomware: The Pervasive Business Disruptor, przedstawia z jednej strony trendy w rozwoju tego złośliwego oprogramowania i konsekwencje ataków, z drugiej wyjaśnia, w jaki sposób można się obronić przed ransomware, zanim atak zupełnie zdezorganizuje biznes.
Jak wynika z raportu Cisco 2017 Mid-Year Cyber Security, ransomware jest jednym z najpoważniejszych zagrożeń dla cyfrowego biznesu. Blisko 49 proc. przedsiębiorstw na całym świecie doświadczyło w ubiegłym roku przynajmniej jednego cyberataku polegającego na wymuszaniu okupu, a 39 proc. ataków zostało przeprowadzonych z użyciem ransomware. W samych Stanach Zjednoczonych liczba ataków wzrosła w 2016 r. w porównaniu z 2015 r. o 300 proc.1 Duży trend wzrostowy można wiązać z rosnącą dostępnością w pierwszej połowie 20172 ataków świadczonych w formie usługi, czyli ransomware-as-a-service (RaaS). Cyberprzestępcy po prostu płacą operatorom platform RaaS za przeprowadzenie ataków.
„W wyniku nasilenia się ataków ransomware każda organizacja w cyfrowej gospodarce staje się celem” – stwierdził Matthew Gyde, zarządzający działem Security w Dimension Data. – „Ryzyko wzrosło wraz z upowszechnieniem się użycia kryptowaluty i bitcoinów do opłacania okupu. W rezultacie cyberprzestępców nie można namierzyć. Zagrożenie zwiększa się także z powodu coraz większej liczby użytkowników pracujących zdalnie na swych osobistych urządzeniach.”
„Kluczem do przechytrzenia cyberprzestępców są badania i działania wywiadowcze typu Deep Threat Intelligence, a najważniejsze w skutecznej obronie jest zneutralizowanie ataku zanim będzie miał on wpływ na biznes” – wyjaśnia Matthew Gyde. „Same zabezpieczenia nie wystarczą do zapewnienia skutecznej ochrony przed ransomware i organizacje, by powstrzymać groźny proceder, muszą zastosować wielowarstwowe podejście. Od identyfikowania zagrożeń przed atakiem, przez natychmiastowe wykrywanie ataku, szybką na niego odpowiedź, aż po procesy backupu (tworzenia kopii zapasowych) i odzyskiwania danych.”
Publikacja na temat ransomware przedstawia sześciopunktowy plan, według którego powinny działać organizacje, które chcą się skutecznie bronić przed atakami ransomware:
- Przewidywanie i bycie poinformowanym zanim dojdzie do ataku: Ważne jest proaktywne zdobywanie informacji o tym, o czym dyskutuje się po ciemnej stronie internetu (Dark Web), jakie exploity mają być wykorzystywane, jakie branże lub firmy mogą zostać zaatakowane.
- Ochrona: W ochronie urządzeń i zasobów komputerowych przedsiębiorstwa niezbędne są narzędzia IAM (Identity and Access Management). Z kolei kontrola sieciowa NAC (Network Access Control) sprawia, że wyłącznie urządzenia z odpowiednią konfiguracją zabezpieczeń i zgodne z polityką bezpieczeństwa IT mogą uzyskać dostęp do firmowych systemów.
- Wykrywanie: Powinny być dostępne technologie, które są w stanie wykrywać anomalie w infrastrukturze – w przypadku, gdyby złośliwe oprogramowanie infiltrowało punkty końcowe albo sieć. Sieć musi być monitorowana pod kątem oznak przełamania zabezpieczeń. Użycie wykorzystującej sztuczną inteligencję detekcji złośliwego ruchu prowadzi do automatyzacji szybkiego wykrywania ataku zanim wyrządzi on poważne szkody.
- Reagowanie: Gdy wykrywany jest atak ransomware specjaliści ds. bezpieczeństwa muszą działać szybko, by zablokować kanały złośliwej komunikacji na firewallu lub IPS oraz poddać kwarantannie zainfekowane maszyny.
- Odzyskiwanie/powrót do działania: Kopie zapasowe (backup) stanowią krytyczny element strategii szybkiego odbudowywania się po ataku. Co więcej, systemy backupu muszą zapobiegać replikacji plików, które zostały złośliwie zaszyfrowane przez ransomware. Można to osiągnąć poprzez dynamiczną segmentację oraz odpowiednie zabezpieczenia.
„Niedawne ataki ransomware pokazały, że ochrona w organizacjach dowolnej wielkości wymaga ulepszeń. Dysponując właściwym planem, narzędziami i procesami, przedsiębiorstwa będą w stanie skutecznie odpowiadać na cyberataki zanim zdezorganizują one ich biznes” – podsumowuje Matthew Gyde.
Dokument The Pervasive Business Disruptor można pobrać tutaj
[1] The United States, Department of Justice: How to protect your networks from ransomware
[2] Cisco, “2017 Mid-Year Cyber Security Report”
