ENG
Переход организаций по всему миру на удаленную работу кардинально изменил модели ведения бизнеса. Когда сотрудники не смогли вернуться в офисы в изначально предполагавшиеся сроки, потребовалась разработка иных подходов к организации деятельности. По мере того как руководители переписывали политики удаленной работы, появилась новая, гибридная схема, сочетающая работу в офисе и из дома. Эта модель открывает массу возможностей для организаций и сотрудников, но вместе с тем создает лазейки для злоумышленников. Они пытаются воспользоваться сложившейся ситуацией, когда ИТ-отделы испытывают повышенную нагрузку в обеспечении безопасности конфиденциальных данных как в корпоративной сети, так и вне ее.
Существует множество разнообразных рисков и возможностей атак, направленных на данные компаний, но самыми опасными для организаций всего мира остаются вирусы-вымогатели. Только за 2019 год количество подобных атак выросло на 41%. Очень важно, чтобы организации осознали угрозу до того, как перейдут на гибридную схему работы. Им необходимо внедрить стратегии по подготовке к отражению угрозы, активной защите и устранению последствий инцидентов. Это позволит организациям не стать жертвой атак, при которых полная потеря данных или уплата выкупа станут единственным и весьма печальным результатом. Чтобы победить в войне с вирусами-вымогателями, следует разработать план, гарантирующий необходимую устойчивость против любых атак. Давайте подробнее обсудим три важных шага, необходимых для обеспечения устойчивости к вирусам-вымогателям.
Повышайте уровень знаний
Первым шагом на пути к обеспечению устойчивости должно стать обучение. Разобравшись, какими могут быть угрозы, организации сумеют адекватно подойти к вопросу обучения и использовать стратегии совершенствования безопасности ИТ и пользователей, внедрив дополнительные защитные механизмы. С пониманием основных механизмов проникновения ИТ-администраторы смогут изолировать серверы RDP, интегрировать инструменты для оценки фишинговых атак, которые помогут распознать атаку и среагировать на нее. Кроме того, появится возможность проинформировать пользователей о необходимости постоянно обновлять критически важные категории ИТ-инфраструктуры: операционные системы, приложения, базы данных и прошивки устройств.
Используя инструменты для борьбы с вирусами-вымогателями, ИТ-отделы организаций получат понимание о различных сценариях восстановления. Будет ли это процесс безопасного восстановления, который остановится при обнаружении вредоносного ПО, или ПО, способное выявить вирус-вымогатель до начала процесса восстановления, — возможность реализации различных сценариев восстановления может оказаться чрезвычайно ценной для организаций.
В случае атаки компании смогут распознать ее, разобраться в ее механизмах и с уверенностью приступить к восстановлению. Грамотный подход к обучению сможет снизить риски атак вирусов-вымогателей, финансовые издержки, а также поможет избежать стресса, который неизменно возникнет в случае столкновения с подобной атакой без подготовки.
Позаботьтесь о безопасности бизнеса
Важным аспектом устойчивости к атакам вирусов-вымогателей является инфраструктура резервного копирования, обеспечивающая непрерывность бизнеса. Организациям необходимо внедрить надежную систему, защищающую серверы. Это позволит навсегда избавиться от необходимости платить за то, чтобы вернуть собственные данные. Необходимо обдумать возможность изоляции сервера резервного копирования (от интернет-соединения) и ограничить количество учетных записей, которые предоставляют доступ всем пользователям. Вместо этого лучше назначить на сервере конкретные задачи, необходимые нужному пользователю, и использовать двухфакторную аутентификацию для доступа к удаленному рабочему столу. Кроме того, хранение резервных копий без доступа к сети, офлайн или в неизменяемой форме в сочетании с использованием правила 3–2–1 обеспечивает одну из важнейших линий защиты от вирусов-вымогателей, внутренних угроз и случайного стирания.
Чем раньше ИТ-отдел выявит угрозу вируса-вымогателя, тем более существенное преимущество получит. Для этого необходимо иметь инструменты, реагирующие на потенциально вредоносную активность. Резервные хранилища, настроенные на распознавание рисков, дадут ИТ-отделу дополнительную аналитику по удаленным конечным устройствам на возможное проникновение угроз. Если конкретная настройка системы не устраняет возможность атаки, необходимо проводить шифрование резервных копий при любой возможности. Это обеспечит дополнительный уровень защиты — вирусы-вымогатели, которые требуют выкуп за предотвращение утечки данных, не смогут расшифровать данные. Если атака вируса-вымогателя уже произошла, нет какого-то единого универсального способа восстановления, но существует множество вариантов. Важно помнить: устойчивость будет зависеть от того, как именно реализованы решения по резервному копированию, как ведет себя конкретное вредоносное ПО и какие действия предпринимаются для устранения угрозы. Следует спокойно изучить все доступные варианты и убедиться, что внедрены нужные решения для защиты организации.
Заранее подготовьтесь к устранению последствий инцидентов
Даже если меры по обучению и противодействию вирусам-вымогателям уже реализованы до начала атаки, организации все равно должны предпринять ряд шагов по устранению возникающих угроз. При возникновении инцидента с вирусом-вымогателем организации должны иметь определенный план по управлению процессом восстановления таким образом, чтобы резервные копии не попали под удар. Ключевую роль играет коммуникация, поэтому необходимо составить список контактов, ответственных за безопасность, реагирование на инциденты и identity management — внутри организации или вовне. Это существенно облегчит задачу устранения последствий атаки.
Далее, требуется заранее согласовать круг ответственных лиц. Организация должна четко знать: кто в случае атаки будет отвечать за решение, переключаться ли на резервные мощности, восстанавливать ли данные из резервной копии. Если условия позволяют начать восстановление, ИТ-отдел должен понимать возможные варианты действий с учетом ситуации с атакой вымогателя. Нужно провести дополнительные проверки безопасности до повторного подключения систем к сети, например: антивирусное сканирование до завершения восстановления. После завершения восстановления нужно провести общую принудительную смену паролей для снижения риска повторной атаки.
Угроза, которую вирусы-вымогатели представляют для крупных и небольших организаций, абсолютно реальна. Невозможно предсказать, когда и как именно может произойти атака. Однако ИТ-структуры организаций, где существует сильная многоуровневая защита и эффективная стратегия, имеют гораздо больше шансов на успешное восстановление. При должном уровне подготовки описанные шаги смогут повысить устойчивость против инцидентов с вирусами-вымогателями любой организации — будь то офис, удаленные рабочие места или их сочетание. Они помогут избежать потери данных, финансовых убытков, ущерба для репутации.
