Чи варто платити зловмисникам програм-вимагачів? Microsoft каже, що ні

Програмне забезпечення-вимагач впливає на великих і малих користувачів комп’ютерів, причому кілька муніципалітетів нещодавно серйозно постраждали та були скалічені на тижні через програмне забезпечення, яке шифрує їхні дані та вимагає оплату, щоб відновити роботу обчислювальної інфраструктури. Програмне забезпечення-вимагач також часто націлюється на системи резервного копіювання, унеможливлюючи відновлення до завідомо справної резервної копії.

Зіштовхнувшись із вимогою викупу та втратою критичної інфраструктури та адміністративних функцій сотень тисяч людей, багато міст піддалися спокусі заплатити викуп, а деякі й справді поступилися.

Microsoft чітко радить ніколи не поступатися терористам:

Ми ніколи не заохочуємо жертв програм-вимагачів платити викуп у будь-якій формі. Виплата викупу часто є дорогою, небезпечною та лише підживлює здатність зловмисників продовжувати свої операції; У підсумку це дорівнює загальновідомому поплескуванню по спині нападників. Найважливіше зауважити, що оплата кіберзлочинцям за отримання ключа дешифрування програм-вимагачів не гарантує, що ваші зашифровані дані будуть відновлені.

На жаль, корпорація Майкрософт не пояснює, що робити замість цього, радше припускаючи, що профілактика краще, ніж лікування, кажучи:

… кожна організація повинна розглядати інцидент кібербезпеки як питання того, коли він станеться, а не чи станеться. Таке мислення допомагає організації швидко й ефективно реагувати на такі інциденти, коли вони відбуваються.

Microsoft рекомендує наступну стратегію:

1. Використовуйте ефективне рішення для фільтрації електронної пошти

Згідно зі Звіт Microsoft Security Intelligence, том 24 за 2018 рік, спам і фішингові електронні листи все ще є найпоширенішим способом доставки заражень програмами-вимагачами. Щоб ефективно зупинити програмне забезпечення-вимагач у точці входу, кожна організація повинна запровадити службу безпеки електронної пошти, яка гарантує, що весь вміст електронної пошти та заголовки, що надходять і виходять з організації, скануються на наявність спаму, вірусів та інших розширених загроз зловмисного програмного забезпечення. Завдяки застосуванню рішення для захисту електронної пошти корпоративного рівня більшість загроз кібербезпеці організації буде заблоковано на вході та на виході.

2. Регулярне оновлення апаратних і програмних систем і ефективне управління вразливостями

Багато організацій все ще не в змозі прийняти одну зі старих рекомендацій щодо кібербезпеки та важливих засобів захисту від атак на кібербезпеку:застосування оновлень безпеки та виправлень, щойно постачальники програмного забезпечення їх випустять. Яскравим прикладом цієї невдачі стали випадки програм-вимагачів WannaCry у 2017 році, одна з найбільших глобальних атак на кібербезпеку в історії Інтернету, яка використовувала витік уразливості в протоколі Windows Networking Server Message Block (SMB), для якого Microsoft випустила патч майже за два місяці до першого оприлюдненого інциденту. Регулярне встановлення виправлень і ефективна програма керування вразливими місцями є важливими заходами для захисту від програм-вимагачів та інших форм зловмисного програмного забезпечення та є кроками в правильному напрямку, щоб кожна організація не стала жертвою програм-вимагачів.

3. Використовуйте найновіший антивірус і рішення для виявлення та реагування на кінцеві точки (EDR).

Хоча лише наявність антивірусного рішення не забезпечує належного захисту від вірусів та інших розширених комп’ютерних загроз, дуже важливо переконатися, що антивірусні рішення постійно оновлюються постачальниками програмного забезпечення. Зловмисники інвестують значні кошти у створення нових вірусів і експлойтів, тоді як постачальники залишаються наздоганяти, випускаючи щоденні оновлення механізмів своїх антивірусних баз даних. Доповненням до володіння та оновлення антивірусного рішення є використання рішень EDR, які збирають і зберігають великі обсяги даних із кінцевих точок і забезпечують моніторинг на рівні хоста в режимі реального часу та видимість для систем. Набори даних і сповіщення, створені цим рішенням, можуть допомогти зупинити розширені загрози та часто використовуються для реагування на інциденти безпеки.

4. Відокремте адміністративні та привілейовані облікові дані від стандартних облікових даних

Працюючи консультантом з кібербезпеки, одна з перших рекомендацій, яку я зазвичай надаю клієнтам, полягає в тому, щоб відокремити системні адміністративні облікові записи від стандартних облікових записів користувачів і переконатися, що ці адміністративні облікові записи не можна використовувати в кількох системах. Розділення цих привілейованих облікових записів не тільки забезпечує належний контроль доступу, але й гарантує, що компрометація одного облікового запису не призведе до компрометації всієї ІТ-інфраструктури. Крім того, використання багатофакторної автентифікації (MFA), керування привілейованими ідентифікаційними даними (PIM) і керування привілейованим доступом (PAM) є способами ефективної боротьби зі зловживанням привілейованим обліковим записом і стратегічним способом зменшення площі атак облікових даних.

5. Запровадьте ефективну програму білого списку програм

У рамках стратегії запобігання програм-вимагачів дуже важливо обмежити програми, які можуть працювати в ІТ-інфраструктурі. Білий список додатків гарантує, що лише ті додатки, які були протестовані та схвалені організацією, можуть запускатися в системах у межах інфраструктури. Незважаючи на те, що це може бути виснажливим і спричинити кілька адміністративних труднощів у ІТ, ця стратегія виявилася ефективною.

6. Регулярно створюйте резервні копії критично важливих систем і файлів

Можливість відновлення до завідомо справного стану є найважливішою стратегією будь-якого плану інцидентів інформаційної безпеки, особливо програм-вимагачів. Тому, щоб забезпечити успіх цього процесу, організація повинна підтвердити, що всі її критично важливі системи, програми та файли регулярно створюються резервні копії та що ці резервні копії регулярно перевіряються, щоб гарантувати їх відновлення. Програми-вимагачі, як відомо, шифрують або знищують будь-які файли, які їм трапляються, і часто можуть зробити їх неможливо відновити; отже, надзвичайно важливо, щоб усі пошкоджені файли можна було легко відновити з хорошої резервної копії, яка зберігається у вторинному місці, яке не постраждало від атаки програм-вимагачів.

Microsoft також пропонує інструменти для імітації атаки програм-вимагачів.  Microsoft Secure Score допомагає організаціям визначити, які елементи керування слід увімкнути, щоб захистити користувачів, дані та пристрої. Це також дозволить організаціям порівнювати свої результати з аналогічними профілями за допомогою вбудованого машинного навчання Симулятор атаки дає змогу групам із безпеки підприємства запускати симуляцію атак, включаючи імітаційне програмне забезпечення-вимагач і фішингові кампанії. Це допоможе їм вивчити відповіді своїх співробітників і відповідно налаштувати параметри безпеки.

Корпорація Майкрософт, звісно, ​​також пропонує інструменти хмарного резервного копіювання, які призначені для виявлення масових маніпуляцій з даними користувача та зупинення їх на місці.

Дізнайтеся більше на сайті Блог групи виявлення та реагування Microsoft тут.