ransomware-kabtel-zastita-nakivo
news&blog

Практични совети за заштита од Ransomware

Практични совети за заштита од Ransomware

Ransomware е закана за поединци, како и за компании. Нападот за откуп може да уништи важни податоци и да предизвика финансиска загуба и загуба на репутацијата. Бројот на напади со откупни софтвери ширум светот расте секоја година, со изгубени петабајти податоци. Никој не сака да биде жртва на напади со откупни софтвери. Поради оваа причина, важно е да знаете како да се заштитите од ransomware. Овој блог пост ги опфаќа најдобрите методи за заштита од откупни софтвери за заштита на вашите податоци.

Стратегија против Ransomware

Стратегијата против откупнина може да се подели на две главни фази:

  • Превентивни мерки
  • Мерки за закрепнување

Превентивните мерки се користат за да се спречат инфекции со откуп. Подобро е да се спречи напад на ransomware наместо да се ублажат последиците од нападот. Превентивните мерки може да се направат без прекини или со минимален прекин и вклучуваат антивирусен софтвер и заштита на е-пошта.

Мерките за обновување се преземаат за време и по напад на откупни софтвери, особено кога таквиот напад предизвикува губење на податоци и прекин на нормалното работење. Мерките за закрепнување бараат повеќе напори и време во споредба со превентивните мерки бидејќи закрепнувањето вклучува обновување на податоците и обемот на работа. Ако не сте подготвени за катастрофи и напади со откупни софтвери, обновувањето може да се покаже премногу тешко, па дури и невозможно.

Разгледајте ги советите подолу кои ги опфаќаат и превентивните и мерките за обновување за да се заштитите од откупниот софтвер.

Користете антивирусен софтвер

Инсталирајте антивирус на сите машини со Windows за да откриете заразени датотеки и злонамерни инјекции во меморијата на уредите и да блокирате заразена содржина и страници на веб-локациите. Ова не значи дека корисниците на macOS се безбедни. Во последно време, уредите со macOS исто така се напаѓани од ransomware.

Најдобро е ако користите антивирус кој поддржува откривање на откупни софтвери базирани на однесување и хеуристичка анализа. Ако се открие злонамерно однесување, антивирусот треба да блокира сомнителни датотеки и да прикажува известувања за предупредување. Размислете за користење антивирус кој може да ги следи вообичаените локации каде што откупниот софтвер може да создава или менува датотеки.

Следната антивирусна функционалност е важна затоа што обезбедува многу подобра заштита од едноставното скенирање засновано на потпис (кое користи бази на податоци со антивирусни потписи).

  • Откривање на сомнителни процеси со обид за шифрирање на датотеки
  • Заштита на избраните папки од неовластен пристап и модификација на датотеки
  • Заштита во реално време
  • Exploit заштитата

Редовно ажурирајте ги базите на податоци на антивирус барем еднаш дневно. Креаторите на ransomware обично тестираат ransomware пред да започнат напад за да се осигураат дека новата верзија на ransomware не може да се открие со антивирусен софтвер. Оттука, во ваш најдобар интерес е да ја имате најновата достапна база на податоци за вируси во вашиот антивирус за да ги откриете најновите вируси.

Треба да користите и антивирус за вашите виртуелни машини. Постојат антивирусни решенија кои поддржуваат интеграција со vShield и vSphere и обезбедуваат антивирусна безбедност без агент за VM што работат на ESXi хостови (ако имате виртуелна околина на VMware). Размислете за користење таков антивирус за оптимизирање на оптоварувањата на ESXi хостовите наместо традиционалните антивируси што треба да се инсталираат на секој VM.

Заштита на е-пошта

Конфигурирајте филтри против спам и против малициозен софтвер на серверите за е-пошта. Е-поштата е еден од најпопуларните методи што се користат за ширење на откупни софтвери и заразување на компјутерите за ширење на инфекција на други компјутери поврзани на мрежата. Напаѓачите сакаат да обезбедуваат врски до малициозни веб-локации и да прикачуваат документи на Word или Excel со макроа за да заразат уреди. Правилната конфигурација на филтрите против спам и против малициозен софтвер на серверите за е-пошта ги спречува корисниците да примаат е-пораки со штетни врски или злонамерни прикачувања на датотеки (или барем значително ја намалува таа веројатност). Конфигурациите на филтрите треба редовно да се ажурираат со користење на бази на податоци на доверливи продавачи за да се изврши заштита од откуп.

Во зависност од вашата безбедносна политика, можете да ги конфигурирате филтрите против малициозен софтвер и против откупни софтвери да прикажуваат предупредувачка порака или да ја бришат пораката пред да стигне до корисник. Популарните продавачи кои обезбедуваат облак услуги и услуги за е-пошта како што се Google (G Suite) и Microsoft (Microsoft 365 Exchange) ги штитат клиентите од спам.

Прочитајте ги овие блог објави за Exchange Online Protection, Advanced Threat Protection и Threat Intelligence за Microsoft 365 за да дознаете повеќе како да ги заштитите корисниците кои работат со е-пошта.

Конфигурација на рутер

Рутерите кои се неправилно конфигурирани може да се користат за започнување напади со откупни софтвери. Напаѓачите обично ги скенираат стандардните порти за широко користени услуги за да откријат која порта е отворена и се обидуваат да иницираат напад користејќи ја таа порта.

Затоа е важно да се конфигурира заштитен ѕид на рутерите за да се заштити од инфилтрација на откупни софтвери. Исто така, ви се препорачува да го блокирате пристапот до неискористените порти. Друга работа што можете да направите е да ги промените стандардните броеви на порти во сопствени (неискористени) броеви на порти ако е можно.

Она што можете да го направите следно е да го конфигурирате филтрирањето на URL-то и блокирањето на рекламите. Рекламирањето може да се користи за заразување со малициозен софтвер. Злонамерното рекламирање е познато како „малвертизирање“. Веб-страниците со лоша репутација што се користат за дистрибуција на злонамерна содржина треба да се блокираат со користење на филтри за URL на рутерите што обезбедуваат пристап до интернет за корисниците во вашата организација. Современиот софтвер може динамично да додаде нови малициозни страници во конфигурацијата на филтрите за содржина за да го одржува ажуриран системот за филтрирање URL-адреса.

Обучете ги вашите вработени

Уредот на еден корисник може да биде влезна точка за напад со откуп на целата компанија. Човечката грешка е рангирана на врвот на статистиката за откупни софтвери. Важно е да ги обучите вработените во вашата организација за да ги разберат и препознаат заканите од откупни софтвери и методите на инфекција.

Со спроведување на обуки за сајбер безбедност за вработените во вашата организација, можете да ги намалите инцидентите на инфекција со малициозен софтвер поврзани со човечка грешка и ненамерни прекршувања, а со тоа ја подобрувате заштитата од откупни софтвери во вашата организација. Информирајте ги вработените дека не треба да отвораат сомнителни е-пораки, да кликнуваат на сите линкови дадени во е-поштата, да кликнуваат на рекламни банери на веб-локации, да овозможуваат макроа кога отвораат документи прикачени на е-пораки, да кликнуваат извршни датотеки или да отвораат друга потенцијално ризична содржина. Корисниците треба да користат силни лозинки и да овозможат двофакторна автентикација.

Ако не ја подигнете свеста на вработените за нападите со откупни софтвери и заканите за сајбер-безбедноста воопшто, туку само блокирате сè од ваша страна, корисниците сепак ќе можат да ја заобиколат таа заштита. На пример, вработените можат да ги користат нивните USB флеш драјвови за да копираат информации од/на работните компјутери, да поврзуваат лични лаптопи во мрежата на организација итн. Затоа, треба да направите рамнотежа помеѓу строга безбедносна политика со тешки ограничувања и свесноста на вработените. Во спротивно, строгата безбедносна политика може да ги отежне работните процеси и може да ја попречи секојдневната работа на вработените.

Исто така, треба да се погрижите вработените да користат силни лозинки и да ја почитуваат политиката за промена на лозинката. Имајте на ум дека ако сложените лозинки се менуваат премногу често, корисниците обично не можат да ги запомнат освен ако не ги зачуваат овие лозинки во датотеки како обичен текст или не ги запишат на налепници прикачени во близина на компјутерите. Ова создава закана од протекување на лозинка.

Ограничете ги дозволите

Дајте им на корисниците само оние дозволи кои строго им се потребни за да ја вршат својата работа врз основа на политиката за пристап. Ова значи дека обичниот корисник не смее да има ингеренции на администратор на домен за да пишува некои датотеки во споделена папка што ја користи нивниот оддел. Ако дел од работата на корисникот е да направи резервна копија на неговите податоци, можете да креирате посебна сметка и посебно складиште за резервни копии за тој корисник. Принципот на најмала привилегија ви овозможува да ги намалите ризиците од неовластен пристап и да ја подобрите заштитата од откуп. Користете посветена сметка за да пристапите до складиште за резервни копии каде што се чуваат резервните копии на податоците.

Заштитете ја вашата мрежа

За да ја заштитите вашата мрежа, користете мрежна сегментација. Правилно поврзување на повеќе подмрежи и рутери може да го ограничи ширењето на вируси во вашата претпријатие мрежа доколку уредите се заразат.

Размислете за користење на стандардот IEEE 802.1X со поддржани методи за автентикација за безбедна мрежна автентикација и конфигурирајте ја контролата на пристап до мрежата. На овој начин, потпишан сертификат и валидни ингеренции се потребни за поврзување на мрежа за да се помине автентикацијата и да се воспостави шифрирана врска. Постојат три главни компоненти во архитектурата: клиент, автентикатор и сервер за автентикација. Потребен е сервер RADIUS и 802.1X способен прекинувач за да се препознае корисникот за жична етернет конекција. 802.1X може да се користи за жичени и Wi-Fi мрежи.

Ако е можно, направете тестирање за пенетрација на мрежата. Овој вид на тестирање ви помага да откриете пропусти што може да се користат за пристап до вашата мрежа и иницирање напад на откупни софтвери. Поправете ги пронајдените проблеми за да се заштитите од ransomware.

Инсталирајте безбедносни закрпи

Инсталирајте безбедносни закрпи за оперативни системи и други апликации инсталирани на компјутери за да спречите користење на пропусти за иницирање напади со откупни софтвери. Има многу случаи во историјата кога пропустите се користеле за започнување на напади со откупни софтвери и за ширење на откупниот софтвер низ мрежата како црв. Автоматските ажурирања се корисни во овој случај за заштита од ransomware.

Следете ја вашата околина

Следете ја вашата околина за да обезбедите навремено откривање на откупниот софтвер и да го ублажите нападот. Сомнително/ненормално оптоварување на процесорот и активноста на дискот може да укажуваат на тоа дека откупниот софтвер е активен. Ако новите резервни копии трошат двојно повеќе простор за складирање од вообичаеното, можеби нешто не е во ред. На пример, последната точка за враќање за постепена резервна копија може да содржи шифрирани податоци што се сосема различни од претходната точка за враќање со точни податоци. Последната точка за обнова не е валидна во овој случај. Размислете за конфигурирање на Honeypots во овој случај. Honeypots е безбедносен механизам кој создава виртуелна стапица за да ги намами напаѓачите. Намерно компромитиран компјутерски систем им овозможува на напаѓачите да ги искористат пропустите за да можете да ги проучувате за да ги подобрите вашите безбедносни политики. Можете да примените honeypot на кој било компјутерски ресурс од софтвер и мрежи до сервери за датотеки и рутери..

Правете резервни копии на податоци на редовна основа

Да имате резервна копија е еден од најважните чекори што треба да ги преземете за да се осигурате дека ако нападот со откупнина се инфилтрира во вашите системи, сепак можете да закрепнете со минимална штета. Ако откупниот софтвер сè уште успева да ги корумпира или шифрира вашите датотеки и покрај сите ваши превентивни мерки, обновувањето од резервната копија е најефективниот метод за враќање на податоците и обемот на работа. Закрепнувањето од резервни копии е уште поефикасно во однос на ресурсите од користењето на алатката за дешифрирање, ако ја пронајдете. И да пронајдете алатка за дешифрирање за потребната верзија на ransomware, процесот на обновување со алатката ќе бара многу време, а најголемиот дел од работата се прави рачно, што е нонсенс со оглед на тоа што обновувањето со резервниот софтвер може да се автоматизира.

Кога станува збор за резервните копии, еве неколку најдобри практики што треба да ги следите за да обезбедите непречено закрепнување по напад на откуп:

Чувајте ги резервните копии на безбедно место.

Заштитете ги резервните копии од пристап до нив со откуп и од бришење. Современиот софтвер за откуп се обидува да пронајде и шифрира резервни копии покрај датотеките што се во употреба за да го оневозможат враќањето на податоците.

  • Не користете ја сметката на администраторот на Active Directory за пристап до складиштето за резервна копија и резервниот сервер. Ако контролорот на доменот е компромитиран, откупниот софтвер може да добие пристап до резервните копии и да ги оштети. Не давајте сметка што се користи за пристап до резервниот сервер на корисниците и не споделувајте резервна меморија за редовните корисници. Размислете за пристапот кога резервниот сервер не е член на домен на Active Directory.
  • Следете го правилото за резервна копија 3-2-1. Чувајте најмалку три копии од податоци: продукциска копија и две други копии напишани на различни медиуми, при што една од копиите е складирана надвор од локацијата. За најдобра заштита од откупнина, можете да отидете уште подалеку и да имате дополнителна копија зачувана офлајн. На пример, резервната копија на јавен облак може да се смета како копија надвор од локацијата, додека резервната копија на лента како офлајн копија.
  • Копирањето резервна копија на медиум само за читање е добра идеја за заштита на податоците од модификација од откупнич. Касетите со касети или оптички дискови се примери на медиуми што може да се користат во режим само за читање и не можат лесно да се препишат. Одржувањето на резервните дискови офлајн ги спречува шифрирањето на податоците со откуп, доколку компјутерите се заразат.
  • Направете резервна копија и копирајте ги податоците од едно складиште во друго. На пример, едно складиште за резервни копии се наоѓа на сервер на Linux и до него се пристапува преку протоколот SMB од Windows машините. Се создава резервна копија во складиште за резервни копии на истата машина Linux или на друга машина за Linux до која може да се пристапи само од резервниот сервер нLinux (на пример, преку NFS).
  • Тестирајте ги вашите резервни копии периодично за да бидете сигурни дека тие се употребливи и дека можете да ги вратите податоците.
Имајте план за одговор

Направете план за одговор на инциденти и план за обновува ање при катастрофи и наведете збир на активности што треба да се извршат во секој случај. Акциите може да вклучуваат:

  • Исклучете ги заразените компјутери од мрежа
  • Избришете го откупниот софтвер со антивирусен софтвер и алатки за отстранување
  • Вратете податоци од резервна копија

Ако нема резервна копија, обидете се да најдете алатка за дешифрирање. Веројатноста за тоа не е голема, за жал. Понекогаш е можно да се најде алатка за декрипција за стари типови на откупни софтвери. Но, што и да правите, не плаќајте го откупот бидејќи секое плаќање ги поттикнува сајбер криминалците да започнат повеќе напади со откуп. Исто така, нема гаранција дека вашите податоци ќе бидат обновени дури и по плаќањето откуп.

Користете NAKIVO Backup & Replication

NAKIVO Backup & Replication е се-во-едно решение за заштита на податоци што може да се користи за правење резервни копии, обновување и враќање од катастрофи. Користете NAKIVO Backup & Replication за да ја имате најдобрата заштита на откупниот софтвер во вашата околина. Производот поддржува резервна копија на VMware vSphere VMs, Microsoft Hyper-V VMs, примероци на Amazon EC2, физички Linux и Windows машини, Oracle бази на податоци и Microsoft 365. Широкиот сет на опции за распоредување додава поголема флексибилност за да одговара на вашата политика за резервна копија. Можете да го инсталирате производот на Linux, Windows, NAS уреди, па дури и на Raspberry Pi.

Со NAKIVO Backup & Replication, можете да креирате складишта за резервни копии користејќи SMB и NFS споделувања. Можете исто така да креирате повеќе складишта за резервни копии лоцирани на машина со Linux или Windows каде што е инсталиран Директорот и на оддалечени машини каде што е инсталиран Transporter. Последно, но не и најмалку важно, можете да користите кофа на Amazon S3 за да креирате складиште за резервни копии.

NAKIVO Backup & Replication ви овозможува да распоредите повеќе транспортери за да користите повеќе опции за пренос на податоци, вклучувајќи компресија и шифрирање. Шифрирањето на податоците е поддржано при пренос на податоци помеѓу транспортери.

Резервна копија 3-2-1

Функцијата за резервна копија во решението ви овозможува да го следите правилото за резервна копија 3-2-1 и да складирате повеќе копии од податоци на различни места. Резервните копии на лента и на облаците како што се Microsoft Azure, Amazon S3 и Wasabi се добри опции за заштита од ransomware. Резервните копии зачувани на касети со касети не можат да се избришат со откуп. Ако откупниот софтвер добие пристап до вашата резервна меморија во Amazon S3, можете да ги вратите претходните верзии на објектите на Amazon S3 користејќи верзии и S3 Object Lock. Дополнително на тоа, новата верзија на NAKIVO Backup & Replication обезбедува дополнително ниво на заштита од ransomware за резервните копии на податоци складирани во Amazon S3 со заклучување на пристапот до податоците. Оваа нова функција обезбедува поддршка за функционалноста S3 Object Lock во Amazon S3 и ги прави вашите резервни податоци складирани таму непроменливи.

Преземете NAKIVO Backup & Replication, конфигурирајте заштита од ransomware и направете резервна копија на вашите податоци.

Заклучок

Ransomware може да ги корумпира податоците и да предизвика катастрофални резултати. Овој блог пост објасни како да се заштитите од откуп и да избегнете губење на податоци. Спроведување на серијата мерки објаснети во објавата на блогот за да се обезбеди најдобра заштита од откуп. Спречувањето од инфекција со откупни софтвери со помош на софтвер за заштита од откуп е здрав пристап. Но, ако вашите компјутери се заразени, мора да можете да ги вратите податоците. Најсигурен метод за заштита на вашите податоци е редовно да правите резервна копија. Користете NAKIVO Backup & Replication, направете резервна копија на вашите податоци, побарајте понуда тука.