Co je to WannaCry, jak se proti němu a dalšímu ransomware chránit

Velké a malé firmy jsou ohrožovány stále agresivnějšími a brutálnějšími ransomware útoky. Ztráta přístupu ke kritickým souborům, po kterém následuje požadavek na zaplacení výkupného, může narušit fungování celé organizace. Jak ale vypadá takový typický útok? (PR článek)

Co je to WannaCry, jak se proti němu a dalšímu ransomware chránit



Jak vypadá takový typický  útok ransomwaru? A jaké bezpečnostní řešení vám může poskytnout nejlepší možnou obranu? Většina organizací používá alespoň nějaké zabezpečení sítě, tak proč útoky ransomware tuto ochranu prolomí?

Bezpečnostní experti ze společnosti SOPHOS Vám na následujících řádcích představí tři hlavní důvody, proč tomu tak je. Sophos si navíc připravil letní promo akci v podobě slevy na anti-ransomware řešení ve výši 36,5 %.

1.     Sofistikované techniky útoků a neustálé inovace

Přístup k již hotovým útočným programům ‘Malware as a Service’ (MaaS) je stálé jednodušší. To usnadňuje i méně kvalifikovaným kyber zločincům útok zahájit, úspěšně jej dokončit a získat z něj prospěch. Použitím obratných sociálních technik jsou uživatelé vyzváni ke spuštění a instalaci ransomware. Můžete například obdržet e-mail s následujícím textem: „Požadavky naší organizace jsou v přiloženém souboru, prosím o zaslání vaši nabídky“. Lidé, kteří ransomware vytvářejí, pracují na vysoce profesionální úrovni. Poté, co zaplatíte výkupné, vám poskytnou i fungující dešifrovací nástroj.

2.     Bezpečnostní slabiny v postižených společnostech

Velmi často chybí správná strategie zálohování dat (neprobíhá zálohování v reálném čase, zálohy nejsou uloženy na bezpečném místě). Navíc, aktualizace a záplaty operačního systému nebývají instalovány včas a uživatelé mají oprávnění nad rámec skutečných potřeb. Např. uživatel pracuje jako administrátor, nebo má větší oprávnění na síťová úložiště, než potřebuje ke své práci. Ne všichni uživatelé jsou také dostatečně vyškoleni v otázkách bezpečností práce s e-maily („Od koho a jaký dokument mohou či nemohou otevřít?“, „Jaký je postup v případě, že dokument či e-mail vypadá podezřele?“, „Jak rozpoznat phishing e-maily?“).

Dále existují nedostatky v bezpečnostních systémech, jako jsou např. virus scannery, firewally, IPS, email/web gateway, které buď nejsou implementovány vůbec, a nebo nejsou správně nakonfigurovány. Jedním z důvodů může být i nesprávná segmentace sítí (servery a pracovní stanice ve stejné síti). Dalším běžným problémem je také nedostatek znalostí v oblasti IT bezpečnosti (exe soubory bývají v e-mailech zablokované, ale macra Office nebo jiné aktivní komponenty již zablokované nejsou) nebo protichůdné priority („Víme, že tato metoda není bezpečná, ale naši zaměstnanci musí pracovat…“).  

3.     Chybějící pokročilé preventivní technologie

Mnoho organizací disponuje určitou formu obecné ochrany. Avšak ransomware se stále vyvíjí, aby využil mezery v této ochraně a prolomil ji. Např. ransomware se sám vymaže okamžitě po zašifrování souborů, aby jej nebylo možné analyzovat. Bezpečnostní řešení musí být z tohoto důvodu navrženo speciálně pro boj s technikami ransomware.

Chcete-li útok ransomware zastavit, potřebujete efektivní a pokročilou ochranu v každé fázi útoku. Nejprve je nezbytné zabezpečit vaše koncové body. Řešení Sophos Intercept X využívá jedinečnou technologii CryptoGuard, která zastaví útok ransomware v samém počátku. Funguje tak, že ransomware detekuje a zastaví šifrování vašich souborů (platí i v případě nedávno šířeného ransomware Wanna). Intercept X doplňuje vaše stávající zabezpečení o blokování procesů, které se pokouší provádět neautorizovanou úpravu vašich dat.

Dalším důležitým prvkem ochrany je zastavení e-mailových hrozeb. Nejlepší ochranu před podvodnými e-maily zajistí vaše e-mailová brána. Anti-spam technologie zastaví podezřelé e-maily, zatímco antivirus skenuje obsah a blokuje škodlivé soubory v příloze. Blokování e-mailů s přílohou obsahující macra vás může ochránit před další běžnou technikou ransomware. Technologie Time-of-Click zabraňuje vám a vašim uživatelům kliknout na infikované webové stránky, i když v době doručení emailu do schránky ještě nebyly infikovány.

Kromě toho se musíte postarat o webové hrozby, které lze neutralizovat na firewallu nebo webové bráně. Filtrování URL adres blokuje webové stránky obsahující ransomware stejně jako jejich command and control servery. Vynucením přísných pravidel můžete úplně zastavit stahování souborů souvisejících s ransomware. Další vrstvu ochrany na e-mailové a webové bráně vám přidá technologie cloud sandboxing. Tato technologie blokuje pokročilé zero-day hrozby včetně ransomwaru. Je to jako kdybyste vlastnili soukromou malware laboratoř, která spouští podezřelé soubory a zjišťuje jejích chování.

Terčem útoků malware se stávají také často opomenuté firemní servery. Whitelisting aplikace zabezpečí vaše servery proti neautorizovaným změnám. Server Lockdown je funkce která v případě ohrožení automaticky zablokuje jakékoli pokusy o provedení změn, včetně akcí způsobených ransomware. Detekování škodlivého provozu znemožní ransomware spojení s command & control servery a nedovolí jim stáhnout obsah. Sophos Server Protection také obsahuje technologii CryptoGuard, která brání tomu, aby ransomware zašifroval vaše soubory.

V neposlední řadě byste měli přemýšlet o vzájemně komunikujících IT bezpečnostních systémech. Vaše IT bezpečnostní prvky mohou být skvělé každý zvlášť, ale byly by mnohem účinnější a lepší, pokud by pracovaly společně. Pokud umožníte vašemu firewallu a koncovým bodům, aby sdílely bezpečnostní informace, např. pomocí Sophos Security Heartbeat, budou moci proaktivně reagovat na vzniklé nebezpečí a vy získáte jednotný systém ochrany proti pokročilým hrozbám.

Zdroj: Sophos








Úvodní foto: Sophos

Komentáře