Ką daryti, kai jūsų įmonė sulaukia „Ransomware“ įtakos
„Ransomware“ yra tokia pelninga elektroninių nusikaltimų forma, kad ji tapo visa savarankiška pramonės šaka su savo pokyčiais ir tendencijomis. Pavyzdžiui, prieš kelerius metus „ransomware“ kūrėjai ir operatoriai pirmiausia domėjosi namų vartotojais. Atakuoti asmeninius kompiuterius buvo pigu, o kai kurie protingi socialinės inžinerijos metodai užtikrino, kad sėkmės lygis nebus blogas. Tuo tarpu žmonių atsarginių kopijų kūrimo kultūra nebuvo visiškai puiki, o tai reiškė, kad daugeliui vienintelė galimybė susigrąžinti duomenis buvo sumokėti išpirką. Tačiau tada viskas pradėjo keistis.
Table of Contents
„Ransomware“ operatoriai iš namų vartotojų perėjo į įmones ir dideles organizacijas
2017 m. Įvyko pora masinių išpirkos programų protrūkių „WannaCry“ ir „NotPetya“, kurie sulaukė didelio viešumo. Jie nebuvo skirti specialiai namų vartotojams, tačiau namų vartotojai juos matė naujienose ir pamažu jie geriau suprato grėsmę. Jie suprato, koks yra atsarginių kopijų kūrimas, ir tapo geriau pasirengę kovoti su išpirkos programomis.
Sąžiningai kalbant, elektroniniai nusikaltėliai nėra ypač linkę dalintis savo pajamų deklaracijomis, tačiau tai, kad per pastaruosius porą metų namų kompiuteriuose užkrėstos išpirkos programomis, mažėja, rodo, kad vis mažiau galutinių vartotojų linkę į įsilaužėlių svetaines. reikalavimai. Tačiau tai nereiškia, kad išpirkos programų verslas traukiasi.
Vienu metu „ransomware“ operatoriai suprato, kad papildomos pastangos užpulti organizacijas, o ne pavienius vartotojus gali būti vertos to, ir nuo to laiko dideli „ransomware“ incidentai dažniausiai buvo susiję su įmonėmis, sveikatos priežiūros organizacijomis ir vyriausybės institucijomis. Išpirkos programos protrūkis privačioje įmonėje gali būti ypač žalingas, todėl žmonės turi išmokti reaguoti į grėsmę ne tik namuose, bet ir biure.
Kaip ransomware infekcija gali paveikti jūsų įmonę?
Išimtinai techniniu požiūriu išpirkos programos išpuoliai įmonei kelia dvi pagrindines problemas: duomenų praradimą ir prastovas.
Akivaizdesnė problema yra užrakinti jūsų duomenis. Sėkminga ransomware infekcija gali užšifruoti komercines paslaptis, informaciją apie produktą ir informaciją apie klientą. Jei prarasite tokius duomenis, jūsų įmonė gali išnykti, o tai reiškia, kad jums gali kilti pagunda apsvarstyti galimybę įvykdyti įsilaužėlių reikalavimus ir sumokėti išpirką. Tačiau net jei ir darysite, negalite garantuoti, kad visa informacija bus grąžinta į buvusią iki užkrėtimo būseną. Vis dėlto tai nėra vienintelis klausimas.
Iš prigimties ransomware infekcijos yra gana triukšmingos. Jei kada nors atsidursite netinkamame išpuolio gale, jums bus žinoma, kas vyksta, ir jūsų klientai taip pat greitai sužinos, kad kažkas ne taip. Išpirkos programinė įranga gali visiškai sutrikdyti įmonės veiklą ir sustabdyti jos naudojimą vartotojams. Neišvengiamai problemos priežastis bus paskelbta viešai, ir tai pasodins netikrumą jūsų vartotojams, kurie manys, kad jūsų įmonė nepakankamai rūpinasi jų duomenų saugumu. Ką tai reiškia, kad nepaprastai svarbu kuo greičiau ir efektyviau susidoroti su situacija.
Kaip jūsų įmonė turėtų reaguoti į sėkmingą išpirkos programų išpuolį?
Kaip matote, du pagrindiniai dalykai, apie kuriuos reikia galvoti, yra duomenų praradimo prevencija ir prastovų minimizavimas. Jei dirbate įmonėje, kurią paveikė išpirkos programinė įranga, turite įsitikinti, kad atsigavimas po išpuolio užima kiek įmanoma mažiau laiko, tačiau prieš įdėdami turite dar kartą įsitikinti, ar kiekvienas failas yra ten, kur turi būti. įmonė grįžta į darbo režimą. Tai įtemptas procesas, reikalaujantis daug susikaupimo ir suderintų visų atsakingų asmenų pastangų.
Jei kenkėjiška programa sugebėjo įsiskverbti į jūsų sistemas, didžiausias prioritetas turėtų būti jos plitimas. Niekada nenuvertinkite pranešimų apie keistą darbuotojų elgesį ir sužinoję, kad tik vienas kompiuteris nukentėjo nuo išpirkos programų, įsitikinkite, kad jūsų įmonės IT infrastruktūros dalys, kurios gali būti prijungtos prie jo, tinklo kabeliai buvo atjungti. Šiuolaikinės išpirkos programų šeimos turi į kirmėlių pavidalo komponentus, leidžiančius išpuoliui greitai plisti, o įsilaužėliai nori užrakinti kuo daugiau galinių taškų su mintimi reikalauti didesnės išpirkos. Kuo daugiau užšifruotų kompiuterių, tuo daugiau laiko reikės viską sugrąžinti ir internete.
Jau minėjome, kad prastovų sumažinimas turėtų būti svarbiausias jūsų prioritetų sąraše. Atsižvelgiant į tai, jūs neturėtumėte skubėti proceso. Prieš įjungdami viską, įsitikinkite, kad pašalinti visi išpirkos programų pėdsakai, ir patikrinkite, ar viskas veikia. Tolesni vėlavimai jūsų klientus nepadarys labai laimingais, tačiau pasakę jiems, kad grįžtate į verslą ir priversite juos susidurti su daugiau problemų, jie gali dar labiau nusiminti, nei jie jau yra.
Kalbant apie tai, jei norite, kad jūsų vartotojai jaustųsi mažiau blogai dėl to, kas įvyko, pabandykite būti kiek įmanoma skaidresni apie išpuolį. Papasakokite jiems, kaip įsilaužėliai įsilaužė, ką padarėte, kad juos sustabdytų, ir ką planuojate daryti, kad išvengtumėte atakų ateityje. Pasakykite savo vartotojams, kaip užpuolimas paveiks juos ir paslaugas, už kurias jie sumokėjo, ir nieko nesulaikykite. Nors atrodo, kad kai kurios kompanijos mano, kad tai yra gera strategija, sumenkinus problemą, dažniausiai atslūgstama ir dar labiau pakenkiama reputacijai nei pati ataka.
Galvoti reikia daug ir net jei viską padarysi pagal knygą, pasekmės vis tiek gali būti gana siaubingos. Pavyzdžiui, 2018 m. Liepos mėn. „LabSorp“, vienas didžiausių pasaulyje laboratorijų tinklų, nukentėjo dėl „SamSam“ išpirkos programos. Nors jos IT komanda greitai ėmėsi kenkėjiškos programinės įrangos, „SamSam“ vis tiek sugebėjo užkrėsti maždaug 7 tūkst. Galinių taškų ir beveik 2 000 serverių.
Visai neseniai valiutos keityklą „Travelex“ užpuolė „Sodinokibi“ (dar žinomas kaip „REvil“) išpirkos programinė įranga, o daugiau nei dvi savaites jos darbuotojai buvo priversti naudoti rašiklius ir popieriaus gabaliukus, kad galėtų atlikti savo darbus.
Išpirkos programos išpuoliai gali sukelti visokių problemų, ypač jei tai nukreipta į didesnę organizaciją. Turėdami mintyje riziką patekti į klišės spąstus, turėtume pasakyti, kad geriausia kovos su tokio tipo grėsme strategija yra imtis aktyvių prevencijos priemonių.
Ką galite padaryti, kad išvengtumėte sėkmingos išpirkos programos atakos?
Nepakanka įdiegti antivirusinę programą darbuotojų kompiuteriuose ir sukurti atsargines jų standžiųjų diskų atsargines kopijas. Dar kartą kalbame apie sudėtingą procesą, kuriame yra daugybė nesklandumų, o sveika ransomware verslo būklė aiškiai rodo, kad įmonės visą laiką daro klaidas.
Paprastas saugos produktas negali išgelbėti dienos, jei visa jūsų IT sistema pagrįsta senovine programine įranga, kuri negavo jos saugos pataisų. Niekas kitas, išskyrus Jungtines Tautas, neišmoko sunkaus būdo, kaip svarbūs saugos naujinimai, o jei esate atsakingas už visos įmonės tinklo priežiūrą, neturite jokių pasiteisinimų, kad paleiskite programinę įrangą, kuri turi saugumo spragų.
Negalima atleisti ir prastai sukonfigūruotų tinklų. Daugybė išpirkos programų šeimų, kurios šiuo metu yra nukreiptos į organizacijas, plinta per neužtikrintus tinklo protokolus, kuriuos paliko neatsargūs sistemininkai. Numatytieji slaptažodžiai taip pat yra dažnas pranešimų apie išpirkos programinės įrangos atvejus akcentas, kuris parodo, kad šiukšlių el. Pašto socialinė inžinerija yra toli gražu ne vienintelis ginklas įsilaužėlių arsenale. Atsižvelgiant į tai, mokyti savo darbuotojus nespausti atsitiktinių nuorodų ir priedų netikėtuose pranešimuose visada yra gera idėja.
Kaip matote, jau yra daugybė užduočių, kuriomis reikia pasirūpinti, ir mes net nenagrinėjome duomenų atsarginių kopijų kūrimo klausimo.
Kiekviena įmonė turėtų turėti tvirtą atsarginę strategiją, o ją sukurti nėra taip paprasta, kaip atrodo. Priklausomai nuo to, kaip naudojate savo duomenis, turite galvoti apie tai, kaip dažnai reikia daryti jų atsargines kopijas, tačiau galbūt dar svarbiau - turite galvoti apie tikrąjį atsarginių kopijų kūrimo mechanizmą.
Geriausia, jei laikysitės taisyklės 3-2-1, kurioje teigiama, kad turėtumėte 3 savo duomenų kopijas, saugomus 2 skirtingose vietose, iš kurių 1 yra už įmonės ribų. Jei negalite laikytis šios strategijos, turite reguliariai tikrinti savo atsargines kopijas, kad įsitikintumėte, ar jos veikia, ir taip pat turite jas atsieti nuo likusių IT sistemų. Tokiu būdu galimas ransomware išpuolis neturės įtakos jūsų duomenų kopijoms.
Tai tik keletas dalykų, kuriuos turite apsvarstyti, ir atsižvelgiant į įmonės, kurioje dirbate, verslą, gali būti daugybė kitų veiksnių, kuriuos jums gali reikėti atsiminti. Apskritai bandymas apsaugoti kompaniją nuo išpirkos programų užpuolimo, be abejo, yra dar didesnis skausmas nei valyti netvarką po to, kai ji jau buvo užklupta. Tačiau atsižvelgiant į tai, kokia didžiulė žala gali būti žala, pastangų verta.
