Стоит ли платить злоумышленникам-вымогателям? Майкрософт говорит нет

Программы-вымогатели поражают больших и малых пользователей ПК: несколько муниципалитетов недавно серьезно пострадали и на несколько недель были парализованы программным обеспечением, которое шифрует их данные и требует оплаты, чтобы вычислительная инфраструктура снова заработала. Программа-вымогатель часто нацелена и на резервные системы, что делает невозможным восстановление из заведомо исправной резервной копии.

Столкнувшись с требованием выкупа и с критически важной инфраструктурой и административной функцией сотен тысяч людей, недееспособных, многие города испытали искушение заплатить выкуп, а некоторые фактически сдались.

Microsoft, однако, четко советует никогда не поддаваться террористам:

Мы никогда не поощряем жертву программы-вымогателя платить выкуп в любой форме. Выплата выкупа часто бывает дорогой, опасной и только подпитывает способность злоумышленников продолжать свои операции; Суть в том, что это приравнивается к пресловутому похлопыванию по спине для нападающих. Самое главное, что следует отметить, это то, что оплата киберпреступникам ключа дешифрования программы-вымогателя не дает никаких гарантий, что ваши зашифрованные данные будут восстановлены.

Microsoft, к сожалению, не уточняет, что делать, вместо этого предлагая, что профилактика лучше, чем лечение, говоря:

… каждая организация должна относиться к инциденту кибербезопасности с точки зрения того, когда он произойдет, а не того, произойдет ли он. Наличие такого мышления помогает организации быстро и эффективно реагировать на такие инциденты, когда они происходят.

Microsoft рекомендует следующую стратегию:

1. Используйте эффективное решение для фильтрации электронной почты

Согласно  Отчет Microsoft Security Intelligence, том 24, 2018 г., спам и фишинговые электронные письма по-прежнему являются наиболее распространенным способом доставки программ-вымогателей. Чтобы эффективно остановить программы-вымогатели на входе, каждая организация должна внедрить службу безопасности электронной почты, которая гарантирует, что все содержимое и заголовки электронной почты, входящие и исходящие из организации, сканируются на наличие спама, вирусов и других сложных вредоносных программ. Приняв решение для защиты электронной почты корпоративного уровня, большинство угроз кибербезопасности для организации будут заблокированы на входе и выходе.

2. Регулярное исправление аппаратных и программных систем и эффективное управление уязвимостями

Многие организации до сих пор не могут принять одну из старых рекомендаций по кибербезопасности и важные средства защиты от кибератак —применение обновлений безопасности и исправлений сразу после их выпуска поставщиками программного обеспечения. Ярким примером этого сбоя были события программы-вымогателя WannaCry в 2017 году, одна из крупнейших глобальных кибератак в истории Интернета, в которой использовалась утечка уязвимости в сетевом протоколе Windows Server Message Block (SMB), для которой Microsoft выпустила патч почти за два месяца до первого публичного инцидента. Регулярная установка исправлений и эффективная программа управления уязвимостями являются важными мерами защиты от программ-вымогателей и других форм вредоносных программ и являются шагами в правильном направлении, чтобы гарантировать, что каждая организация не станет жертвой программ-вымогателей.

3. Используйте современный антивирус и решение для обнаружения и реагирования на конечных точках (EDR).

Хотя наличие антивирусного решения само по себе не обеспечивает надлежащей защиты от вирусов и других передовых компьютерных угроз, очень важно следить за тем, чтобы антивирусные решения обновлялись с помощью поставщиков программного обеспечения. Злоумышленники вкладывают значительные средства в создание новых вирусов и эксплойтов, в то время как поставщики вынуждены играть в догонялки, выпуская ежедневные обновления своих антивирусных баз данных. Дополнением к владению и обновлению антивирусного решения является использование решений EDR, которые собирают и хранят большие объемы данных с конечных точек и обеспечивают мониторинг в режиме реального времени на уровне хоста и файлов и видимость для систем. Наборы данных и оповещения, созданные этим решением, могут помочь остановить сложные угрозы и часто используются для реагирования на инциденты безопасности.

4. Отделите административные и привилегированные учетные данные от стандартных учетных данных.

Работая консультантом по кибербезопасности, одна из первых рекомендаций, которые я обычно даю клиентам, заключается в том, чтобы отделить их системные административные учетные записи от их стандартных учетных записей пользователей и убедиться, что эти административные учетные записи нельзя использовать в нескольких системах. Разделение этих привилегированных учетных записей не только обеспечивает надлежащий контроль доступа, но и гарантирует, что компрометация одной учетной записи не приведет к компрометации всей ИТ-инфраструктуры. Кроме того, использование многофакторной аутентификации (MFA), управления привилегированными пользователями (PIM) и управления привилегированным доступом (PAM) — это способы эффективной борьбы со злоупотреблением привилегированными учетными записями и стратегический способ уменьшения поверхности атаки на учетные данные.

5. Внедрите эффективную программу внесения приложений в белый список

В рамках стратегии предотвращения программ-вымогателей очень важно ограничить приложения, которые могут работать в ИТ-инфраструктуре. Белый список приложений гарантирует, что только те приложения, которые были протестированы и одобрены организацией, могут работать в системах в рамках инфраструктуры. Хотя это может быть утомительным и сопряжено с некоторыми трудностями администрирования ИТ, эта стратегия доказала свою эффективность.

6. Регулярно делайте резервные копии важных систем и файлов

Способность восстанавливаться до заведомо исправного состояния является наиболее важной стратегией любого плана инцидентов информационной безопасности, особенно программ-вымогателей. Поэтому, чтобы обеспечить успех этого процесса, организация должна убедиться, что все ее критически важные системы, приложения и файлы регулярно резервируются и что эти резервные копии регулярно проверяются, чтобы гарантировать возможность их восстановления. Известно, что программы-вымогатели шифруют или уничтожают любые файлы, с которыми сталкиваются, и часто могут сделать их невосстановимыми; следовательно, крайне важно, чтобы все затронутые файлы можно было легко восстановить из надежной резервной копии, хранящейся в дополнительном месте, не затронутом атакой программы-вымогателя.

Майкрософт также предлагает инструменты для имитации атаки программ-вымогателей.  Microsoft Secure Score помогает организациям определить, какие элементы управления следует включить для защиты пользователей, данных и устройств. Это также позволит организациям сравнивать свои оценки с аналогичными профилями, используя встроенное машинное обучение. Симулятор атаки позволяет командам корпоративной безопасности запускать симулированные атаки, включая имитацию программ-вымогателей и фишинговые кампании. Это поможет им изучить ответы своих сотрудников и соответствующим образом настроить параметры безопасности.

Microsoft, конечно, также предлагает инструменты облачного резервного копирования, которые предназначены для обнаружения массовых манипуляций с пользовательскими данными и предотвращения их.

Узнайте больше на сайте Блог группы обнаружения и реагирования Майкрософт здесь.