Программы-вымогатели — это вредоносное программное обеспечение, которое шифрует файлы, не позволяя пользователям получать доступ к компьютерным системам или использовать их. Обычно сопровождаемая требованием выкупа атака программы-вымогателя наносит вред зараженным компьютерам, серверам и файлам.
Атаки являются обычным явлением: глобальный отчет Veeam о тенденциях в области программ-вымогателей за 2023 год показал, что за предыдущие 12 месяцев 85% организаций подверглись хотя бы одной кибератаке. Хотя 80% заплатили выкуп, только 75% восстановили доступ к своим данным и в среднем восстановили только 66% своих данных. В 75% случаев хакеры специально атаковали хранилища резервных копий.
С другой стороны, 16% атакованных организаций восстановили свои данные, не заплатив выкуп. Эти организации имели чистые, неизменяемые и надежные резервные копии, а также интегрированную стратегию реагирования на программы-вымогатели, которая работала должным образом. Вывод заключается в том, что восстановиться после атаки программы-вымогателя можно, если у вас есть надежный план борьбы с атаками программы-вымогателя .
Ключевые компоненты плана реагирования на программы-вымогатели
Поскольку атаки настолько распространены, важно знать, как быстро восстановиться после атаки программы-вымогателя . Критические аспекты вашего плана восстановления программ-вымогателей должны включать системы усиления защиты, строгие меры предотвращения, обнаружение программ-вымогателей и реагирование на них, меры по восстановлению и восстановлению, а также планы по информированию соответствующих органов власти и затронутых сторон. Всегда проводите анализ после инцидента, чтобы предотвратить будущие атаки.
Шаг 1: Превентивные меры
Вы можете принять ряд мер для предотвращения и смягчения атак программ-вымогателей. К ним относятся обучение сотрудников, оценка рисков, усиление аппаратных и программных решений, сегментация сети и безопасное резервное копирование данных:
- Обучайте сотрудников. Ваши сотрудники — это ваша первая линия защиты от атак вредоносных программ, поэтому вам следует научить их распознавать атаки и рассказать им об угрозах программ-вымогателей и о том, как обнаруживать признаки взлома систем.
- Выполните оценку рисков. Используйте группы экспертов для проведения оценки рисков и выявления слабых мест в вашей защите от вредоносных программ и программ-вымогателей.
- Усиление контроля за портами и конечными точками: отключите неиспользуемые порты удаленного рабочего стола (RDP) и ограничьте порты RDP и других протоколов удаленного доступа доверенными хостами. Аналогичным образом укрепите конечные точки с помощью безопасных настроек конфигурации.
- Сегментируйте сети и применяйте контроль доступа. Сегментируйте сети с помощью VPN и физических инструментов. Держите части сети, обращенные к клиенту, отдельно от частей, обращенных внутрь.
- Примите принцип нулевого доверия при предоставлении доступа.
- Внедряйте все обновления и исправления программного обеспечения. Ограничьте риск вторжений за счет тщательного внедрения обновлений и исправлений безопасности.
- Примите политики безопасного резервного копирования и избыточности данных. Тщательно спланируйте свою стратегию резервного копирования, поскольку она представляет собой последнюю линию защиты. Регулярно создавайте резервные копии, гарантируя, что у вас есть неизменяемые копии, которые невозможно изменить. Храните хотя бы один набор резервных копий полностью в автономном режиме. Регулярно проверяйте целостность резервной копии.
Шаг 2: Обнаружение и реагирование
Крайне важно оперативно реагировать на любой инцидент, связанный с программами-вымогателями. При наличии соответствующих инструментов мониторинга часто можно пресечь атаку в процессе ее реализации. Для этого у вас должно быть круглосуточное покрытие и онлайн-инструменты обнаружения программ-вымогателей. Таким образом, вы минимизируете ущерб и сможете быстрее очистить свои системы следующим образом:
- Определите затронутые системы: определите, какие системы затронуты, и немедленно изолируйте их от остальной сети. Если атака затронула несколько систем и первоначально проверить ее масштаб невозможно, отключите сеть. Если вы не можете легко отключить систему от сети, ограничьте масштаб заражения, отключив кабели Ethernet и отключив Wi-Fi.
- Выключите оборудование: если невозможно отключить устройства от сети, выключите соответствующее оборудование. Обратите внимание, что этот шаг может удалить доказательства, хранящиеся в энергозависимой памяти.
- Сортировка затронутых систем: определите системы, которые имеют решающее значение для организации, и перечислите их в порядке важности с точки зрения приоритетов организации.
- Изучите журналы: просмотрите системные журналы, чтобы выявить прекурсоры, такие как вредоносные программы-дропперы, предыдущие атаки и скомпрометированные сети.
- Определите, что произошло: установите последовательность событий, приведших к атаке, и то, как злоумышленник смог проникнуть в вашу сеть.
- Найдите угрозу: определите программу-вымогатель, ее вариант и любое другое вредоносное ПО в системе.
Шаг 3: Коммуникация и отчетность
Сообщите об инциденте и открыто сообщите о произошедшем пострадавшим сторонам. Своевременное информирование поможет смягчить долгосрочные последствия, такие как потеря доверия и штрафные санкции. Действия, которые необходимо предпринять, включают:
- Общайтесь внутри компании: немедленно проинформируйте всех затронутых сотрудников и функции и уведомите их о шагах, предпринятых для сдерживания инцидента. Выпускайте регулярные обновления.
- Уведомите соответствующие органы: сообщите об инциденте местным или национальным правоохранительным органам, как того требуют местные постановления. Убедитесь, что вы выполняете все юридические обязательства в отношении конкретных правил конфиденциальности и защиты данных.
- Взаимодействовать с внешними организациями: уведомлять клиентов и деловых партнеров о происшествии и предоставлять соответствующую информацию о масштабах ущерба. Обратите внимание, что преступники часто угрожают раскрыть конфиденциальную информацию, чтобы заставить жертв заплатить выкуп.
- Будьте прозрачны: хотя для компаний естественно желание скрыть опасную информацию, новости о кибератаках неизбежно выходят наружу. Прозрачность сводит к минимуму ущерб репутации, помогает следователям и дает пострадавшим сторонам возможность принять меры для защиты конфиденциальных данных.
Шаг 4: Стратегии сдерживания
Прежде чем предпринимать шаги по уничтожению программ-вымогателей в вашей системе, запишите образы системы и содержимое энергозависимой памяти всех зараженных устройств. Эта информация полезна во время судебно-медицинских расследований, чтобы определить, что произошло и как ваши системы были скомпрометированы. Крайне важно сохранять энергозависимую информацию, хранящуюся в системной памяти, журналах безопасности и буферах журналов брандмауэра.
Проконсультируйтесь с федеральными правоохранительными органами, Межгосударственным центром обмена информацией и анализа (MS-ISAC) и вашим поставщиком средств безопасности, чтобы определить, разработали ли исследователи инструменты дешифрования или выявили недостатки шифрования, которые вы можете использовать для расшифровки ваших данных. Эти ресурсы также могут предоставить дополнительную информацию о шагах по выявлению затронутых систем и о том, как отключить двоичные файлы программ-вымогателей. Другие шаги включают в себя:
- Идентификация задействованных систем
- Отключение VPN, облачных и общедоступных конечных точек
- Отключение шифрования данных на стороне сервера
- Идентификация внутренних и внешних механизмов сохранения
Шаг 5: Стратегии искоренения
Основная цель вашей стратегии искоренения — удаление всех следов программ-вымогателей и вредоносных программ из ваших систем (отличных от данных). Хотя иногда можно очистить ваши системы, обычно проще и безопаснее стереть их и перестроить с нуля, используя шаблоны и чистые образы. Шаги включают в себя:
- Очистите или продезинфицируйте все зараженные системы
- Перестроить корпоративные системы, начиная с критически важных
- Сбросить все пароли
- Устраняйте и блокируйте выявленные уязвимости, веб-сайты и вредоносное ПО.
- Выдайте заявление от назначенного ИТ-органа после того, как вы уничтожите все следы программы-вымогателя и восстановите системы, чтобы подтвердить, что инцидент с программой-вымогателем устранен.
Шаг 6: Восстановление и возвращение к работе
На этом этапе вы можете восстановить свои данные и вернуться к работе. Именно тогда вы сможете извлечь выгоду из предусмотрительности, которая позволила вам использовать инновационные решения для быстрого восстановления после атак программ-вымогателей . Veeam предлагает несколько решений, в том числе резервную копию для создания виртуальной машины, которую можно быстро запустить и запустить. Этапы восстановления и восстановления включают в себя:
- Используйте безопасные резервные копии для восстановления систем
- Убедитесь, что ваши резервные копии чисты, чтобы не заразить чистые системы повторно во время восстановления.
- Внедрить уроки, извлеченные из атаки, для усиления мер безопасности.
- Развертывание решений для постоянного мониторинга программ-вымогателей
- Завершить оценку после инцидента
Лучшие практики реагирования на инциденты, связанные с программами-вымогателями
Частота атак программ-вымогателей такова, что их следует рассматривать в той же категории, что и другие планы управления непрерывностью бизнеса. К ним относятся стратегии реагирования на крупные инциденты, стихийные бедствия и восстановление после стихийных бедствий.
Отправной точкой плана реагирования на инциденты, связанные с программами-вымогателями, является тщательно изученный и задокументированный план восстановления. Обычно этот план включает всех заинтересованных сторон, четкое изложение целей восстановления и коммуникационных стратегий. В плане указаны ответственные лица и четко определены действия, которые следует предпринять в случае атаки программы-вымогателя .
Вопросы, которые следует учитывать, включают:
- Группа реагирования: Определите всех членов группы реагирования, их обязанности и функции. Назначьте назначенного руководителя, ответственного за координацию деятельности.
- Инвентаризация: составьте полный список всех физических и облачных аппаратных и программных активов вместе со схемами их взаимодействия, включая специальные функции, такие как VPN, виртуальные частные облака, глобальные сети и API.
- Критические функции: составьте список и расставьте приоритеты для критических бизнес-функций, приложений, наборов данных и резервных копий.
- Список контактов для экстренных случаев. Включите всех сотрудников, поставщиков услуг, поставщиков и клиентов, на которых может повлиять инцидент с программой-вымогателем.
- Обучение: обучите членов команды их ролям и обязанностям и смоделируйте инцидент с помощью комплекта предотвращения программ-вымогателей , чтобы каждый человек был знаком со своей ролью и чувствовал себя комфортно.
- План действий по борьбе с программами-вымогателями: подготовьте подробный план действий по реагированию на программы-вымогатели.
- Извлеченные уроки: документируются уроки, извлеченные во время учебных симуляций и реальных атак.
Формализация и внедрение этих передовых методов защиты от программ-вымогателей поможет вашей организации быстро и эффективно реагировать на атаки, а также обеспечит наличие чистых резервных копий для восстановления и повторного подключения служб.
Начало работы с Veeam
Хотя всегда можно воссоздать ИТ-структуры, бизнес не сможет пережить атаку программы-вымогателя, если у него нет доступа к чистым данным. Решение Veeam для онлайн-резервного копирования решает эту проблему. Veeam предлагает единое решение, которое дает вам полный контроль над восстановлением с помощью многоуровневой неизменяемости, комплексного мониторинга и автоматизации. Veeam работает как с распространенными облачными решениями, так и с локальными решениями для Windows, Linux и Mac.
