Měli byste platit útočníkům Ransomware? Microsoft říká ne

Ransomware postihuje malé i velké uživatele PC, přičemž řada obcí byla nedávno vážně zasažena a na týdny ochromena softwarem, který šifruje jejich data a požaduje platbu, aby počítačová infrastruktura opět fungovala. Ransomware se často zaměřuje také na záložní systémy, což znemožňuje obnovení do známé zálohy.

Když čelila požadavku na výkupné a kritické infrastruktuře a administrativním funkcím statisíců lidí, kteří byli neschopni, byla mnohá města v pokušení výkupné zaplatit a některá ve skutečnosti ustoupila.

Microsoft však ve své radě nikdy neustupuje teroristům jasně:

Nikdy nenabádáme oběť ransomwaru, aby zaplatila jakoukoli formu požadavku na výkupné. Zaplacení výkupného je často drahé, nebezpečné a pouze posiluje schopnost útočníků pokračovat v operacích; sečteno a podtrženo, to se rovná příslovečnému poplácání útočníků po zádech. Nejdůležitější je poznamenat, že placení kyberzločincům za získání dešifrovacího klíče ransomwaru neposkytuje žádnou záruku, že vaše zašifrovaná data budou obnovena.

Microsoft bohužel nerozvádí, co dělat místo toho, spíše naznačuje, že prevence je lepší než léčba, říká:

… každá organizace by měla přistupovat k kybernetickému bezpečnostnímu incidentu jako k otázce, kdy k němu dojde, a ne k tomu, zda k němu dojde. Tento způsob myšlení pomáhá organizaci rychle a efektivně reagovat na takové incidenty, když k nim dojde.

Microsoft doporučuje následující strategii:

1. Používejte efektivní řešení filtrování e-mailů

Podle Microsoft Security Intelligence Report Volume 24 z roku 2018Spam a phishingové e-maily jsou stále nejběžnějším způsobem doručování ransomwarových infekcí. K účinnému zastavení ransomwaru v jeho vstupním bodě musí každá organizace zavést službu zabezpečení e-mailu, která zajistí, že veškerý obsah e-mailů a hlavičky vstupující do organizace a opouštějící ji budou zkontrolovány na výskyt spamu, virů a dalších pokročilých malwarových hrozeb. Přijetím řešení ochrany e-mailů podnikové úrovně bude většina kybernetických hrozeb proti organizaci zablokována při vstupu a výstupu.

2. Pravidelné záplatování hardwarových a softwarových systémů a efektivní správa zranitelnosti

Mnoha organizacím se stále nedaří přijmout jedno z letitých doporučení v oblasti kybernetické bezpečnosti a důležitých obranných opatření proti útokům kybernetické bezpečnosti –použití bezpečnostních aktualizací a oprav, jakmile je dodavatelé softwaru uvolní. Nápadným příkladem tohoto selhání byly události ransomwaru WannaCry v roce 2017, jeden z největších globálních útoků na kybernetickou bezpečnost v historii internetu, který využíval uniklou zranitelnost v síťovém protokolu Windows Server Message Block (SMB), pro který společnost Microsoft vydala patch téměř dva měsíce před prvním zveřejněným incidentem. Pravidelné opravy a účinný program správy zranitelnosti jsou důležitými opatřeními k obraně proti ransomwaru a dalším formám malwaru a jsou kroky správným směrem k zajištění, aby se každá organizace nestala obětí ransomwaru.

3. Používejte aktuální antivirus a řešení pro detekci a odezvu koncových bodů (EDR).

Vlastní antivirové řešení sice samo o sobě nezajišťuje dostatečnou ochranu před viry a jinými pokročilými počítačovými hrozbami, je však velmi důležité zajistit, aby antivirová řešení byla u jejich dodavatelů softwaru aktuální. Útočníci investují značné prostředky do vytváření nových virů a exploitů, zatímco prodejci jsou ponecháni na dohánění tím, že denně vydávají aktualizace svých antivirových databázových strojů. Doplňkem k vlastnictví a aktualizaci antivirového řešení je použití řešení EDR, která shromažďují a ukládají velké objemy dat z koncových bodů a poskytují v reálném čase hostitelské monitorování na úrovni souborů a viditelnost systémů. Datové sady a výstrahy generované tímto řešením mohou pomoci zastavit pokročilé hrozby a často se využívají k reakci na bezpečnostní incidenty.

4. Oddělte administrativní a privilegovaná pověření od standardních pověření

Jako konzultant v oblasti kybernetické bezpečnosti je jedním z prvních doporučení, které zákazníkům obvykle poskytuji, oddělit jejich účty pro správu systému od jejich standardních uživatelských účtů a zajistit, aby tyto účty pro správu nebyly použitelné ve více systémech. Oddělení těchto privilegovaných účtů nejen vynucuje řádnou kontrolu přístupu, ale také zajišťuje, že kompromitace jednoho účtu nepovede ke kompromitaci celé IT infrastruktury. Kromě toho jsou pomocí řešení Multi-Factor Authentication (MFA), Privileged Identity Management (PIM) a Privileged Access Management (PAM) způsoby, jak účinně bojovat proti zneužívání privilegovaných účtů a strategický způsob, jak omezit povrch útoku na pověření.

5. Implementujte efektivní program pro whitelisting aplikací

V rámci strategie prevence ransomwaru je velmi důležité omezit aplikace, které mohou běžet v rámci IT infrastruktury. Whitelisting aplikací zajišťuje, že na systémech v rámci infrastruktury mohou běžet pouze aplikace, které byly testovány a schváleny organizací. I když to může být zdlouhavé a představuje několik výzev pro správu IT, tato strategie se ukázala jako účinná.

6. Pravidelně zálohujte důležité systémy a soubory

Schopnost obnovy do známého dobrého stavu je nejkritičtější strategií jakéhokoli plánu incidentu zabezpečení informací, zejména ransomwaru. Pro zajištění úspěchu tohoto procesu musí organizace ověřit, že všechny její kritické systémy, aplikace a soubory jsou pravidelně zálohovány a že tyto zálohy jsou pravidelně testovány, aby bylo zajištěno, že jsou obnovitelné. Ransomware je známý tím, že zašifruje nebo zničí jakýkoli soubor, na který narazí, a často je může učinit neobnovitelnými; proto je nanejvýš důležité, aby všechny zasažené soubory bylo možné snadno obnovit z dobré zálohy uložené na sekundárním místě, které není zasaženo ransomwarovým útokem.

Microsoft také nabízí nástroje pro simulaci ransomwarového útoku.  Microsoft Secure Score pomáhá organizacím určit, které ovládací prvky povolit, aby pomohly chránit uživatele, data a zařízení. Také to organizacím umožní porovnat své skóre s podobnými profily pomocí vestavěného strojového učení Simulátor útoku umožňuje podnikovým bezpečnostním týmům spouštět simulované útoky včetně falešných ransomwarových a phishingových kampaní. To jim pomůže naučit se reakce jejich zaměstnanců a odpovídajícím způsobem vyladit nastavení zabezpečení.

Microsoft samozřejmě také nabízí cloudové zálohovací nástroje, které jsou navrženy tak, aby detekovaly hromadné manipulace s uživatelskými daty a zastavily je.

Čtěte více na Blog týmu Microsoft Detection and Response Team zde.