Na základě doporučení Alexe Restepo, který pracuje jako výzkumník v oblasti kybernetické bezpečnosti ve společnosti Veritas, jsme sestavili zjednodušený koncept, použitelný pro veškeré společnosti. Jedná se o 5 zásadních kroků, které pomohou firmám v posílení zabezpečení proti kybernetickým útokům formou ransomware.
Skupina škodlivého software typu ransomware se neustále vyvíjí a ransomware je nyní jedním z nejpopulárnějších (pro kyberzločince) typů malware. Útoky na JBS, Colonial Pipeline a Kaseya jsou nedávnými významnými příklady dopadů útoku ransomwaru na firemní infrastrukturu. Byli jsme svědky kolísání hodnoty postižených společností na finančním trhu, vleklé problémy s fungováním IT infrastruktury a dokonce nuceným změnám na nejvyšších postech ve vedení společnosti.
Zaujměte postoj „nulové bezpečnosti“
Jedná se o přijetí myšlenky zdánlivě nemožného, a sice možnosti, že i nejefektivnější zabezpečení koncového bodu bude porušeno. Je důležité mít plán, abyste byli připraveni na to, pokud tato situace nastane. Bohužel neexistuje univerzální rada, jak se v takových situacích zachovat a co do plánu zahrnout. Vždy záleží na prostředí, pro které se takovýto plán připravuje.
Bezpečnost vyžaduje aktivní přístup
Podniky musí mít robustní ochranu koncových bodů a zabezpečení systému. To zahrnuje nejen antivirový software, ale také lokální webový firewall, který zajistí ochranu i mimo perimetr společnosti. Podniky potřebují jak aktivní prvek ochrany, tak reaktivní prvek obnovy. Společnosti zasažené ransomwarem mohou strávit pět dní nebo déle zotavením z útoku, takže je nezbytné, aby byly aktivně implementovány správné strategie zálohování a obnovy dat v případě útoku.
Neukládejte všechna vejce do jednoho košíku
Vývojáři ransomwaru se instinktivně snaží zabránit tomu, aby bylo možné po útoku zprovoznit opět infrastrukturu bez zaplacení výkupného. To je důvod, proč ransomware útočí na soubory a systémy, které se aktivně používají, stejně jako na záložní systémy a cloudová data. Důrazně doporučujeme všem organizacím, aby zavedly komplexní přístup k zálohování a obnově dat, založený na rámci kybernetické bezpečnosti Národního institutu standardů a technologií (NIST). Ten obsahuje sadu osvědčených postupů. Například použití neměnného úložiště, které zabraňuje ransomwaru v šifrování, modifikaci, nebo mazání záloh. Dále implementace šifrování během přenosu, nebo zpřísnění firewallových politik tak, aby efektivně povolovaly pouze takový provoz, který je schválený a pro provoz aplikací nezbytný. Velmi důležitým bodem v přípravě strategie odolnosti je vícenásobné a geograficky oddělené zálohování dat.
Vytvořte si příručku pro kybernetické incidenty
Dalším důležitým krokem ke zvýšení odolnosti před útokem ransomwaru je vytvoření standardizovaného scénáře pro reakci na kybernetické incidenty. Primárním úkolem takového dokumentu, nazývejme jej „Příručka pro kybernetické incidenty“, je pomoc a rychlá orientace ve sledu kroků, které musí být dodrženy, a tím přispět ke zmírnění hrozeb a dopadů na chod společnosti.
Jako ve většině případů, kdy se jedná o nějaký druh rizika, i zde je zásadní veličinou čas. Čím rychleji si vytvoříme „Příručku pro kybernetické incidenty“ a osvojíme si její aplikaci v praxi, tím nižší je riziko dramatických dopadů. Při tvorbě by se měly organizace zaměřit na několik zásadních okruhů:
- Digitální runbook: mít plán na papíře je dobrý začátek, ale mít digitální plán, který lze snadno zobrazit a provést jediným kliknutím, je nezbytné. Čím složitější je plán, tím déle bude trvat, než se zotavíte z útoku.
- Testy, testy, testy: testování zajišťuje, že váš plán bude fungovat, když ho budete potřebovat. Počáteční testování je důležité pro zajištění všech důležitých aspektů uvedených v plánu, ale IT prostředí jsou neustále v pohybu, takže je důležité provádět testování pravidelně ve stanovených periodách.
- Odebrat jednotlivé možné body selhání: praxe 3-2-1 je myšlenka, že byste měli mít tři, nebo více kopií dat, aby žádné jednotlivé selhání nevykolejilo váš plán. Základem je mít alespoň dvě odlišná média úložiště, takže chyba zabezpečení v jednom, nemůže neohrozit všechny vaše kopie. Alespoň jedno z těchto dvou médií by mělo být mimo pracovní prostředí. Takto fyzicky oddělená kopie dat zachrání vaši organizaci v případě, kdy útok postihne celé datové centrum.
- Možnosti rychlého obnovení: když obnovení dat po útoku zahrnuje obnovu celého datového centra, může být obnovení zpomalené při řešení složených problémů kolem hardwaru, sítě, úloh a samotných dat. Mít alternativní možnost, jako je rychlé postavení datového centra na veřejném poskytovateli cloudu, může zkrátit prostoje a poskytnout alternativy k zaplacení výkupného.
Pamatujte: Ransomware je závod ve zbrojení
Příprava vaší společnosti na nevyhnutelný útok ransomware je každým dnem kritičtější. Útok na Colonial Pipeline vyvolal nové potřeby v oblasti zajištění kybernetické odolnosti. Bezpečnostní manažeři začali hrát velmi důležitou roli a dostali také nesnadný úkol. Je třeba vyvinou maximální úsilí, aby cenná aktiva a data společností, byla dostatečně ochráněna a v případě útoku bylo možné zajistit kontinuitu provozu bez nutnosti podlehnout hrozbám a vydíracím praktikám útočníků.
Ransomware nebude „vyřešen“. Vidím to jako závody ve zbrojení, kde musíme být všichni neustále ostražití, zejména pokud jde o prvky, které jsou mimo naši kontrolu. Žádné jediné řešení nebo bezpečnostní kontrola, ransomware nezastaví, ale pomocí vrstveného bezpečnostního přístupu budete moci velmi rychle zmírnit dopad a znovu z provozu.
zdroj: 5 Steps to Improving Ransomware Resiliency | Threatpost
