- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 287 zobrazení
Stává se to příliš často: hacker se nabourá do kybernetických systémů společnosti a hrozí chaos. Nebo získají přístup k důvěrným informacím před fúzí. Pak následuje zpráva: zaplať – nebo jinak...
Ransomware označuje použití malwaru k šifrování souborů. Aby oběť získala klíč k dešifrování svých dat, zaplatí výkupné. Je to vydírání s nádechem 21. století a zdaleka není neobvyklé. Útoky na dodavatelský řetězec vzrostly v prvním čtvrtletí roku 2021 ve Spojených státech o 42%. Navíc ransomware je stále dražší. Průměrné požadované výkupné vzrostlo z 5 000 USD v roce 2018 na přibližně 200 000 USD v roce 2020 a existuje mnoho společností, které zaplatily miliony. Celkové náklady na řešení ransomwaru by mohly do roku 2031 přesáhnout 265 miliard dolarů.
Všechny známky ukazují, že tvůrci ransomwaru jsou stále sofistikovanější. A s tím, jak stále více firem digitalizuje svá data, hrozba roste a metastazuje. K vybudování odolnosti a odvrácení nejhorších následků mohou bezpečnostní lídři implementovat tyto čtyři taktiky.
Prevence
Začíná to tím, že víte, jakou technologii organizace má a kdo k ní má přístup, a poté sledováním nástrojů pro vzdálenou spolupráci a kontrolou sítí na výskyt malwaru. Pokračuje tím, že zajišťuje, aby bezpečnost byla zakořeněna v každodenních operacích a pravidelně posilována. Nejčastějšími zdroji narušení ransomwaru jsou phishingové e-maily a kompromisy protokolu vzdálené plochy (RDP). V 60% případů je malware nainstalován přímo nebo prostřednictvím aplikací pro sdílení plochy. Pouze neustálá bdělost může zlepšit obranu - i když to nemůže zaručit.
Vzhledem k podstatnému posunu k práci na dálku je zásadní zlepšit domácí sítě, počínaje takovými základy, jako je trvání na silných heslech a rychlých instalací aktualizací softwaru. Vícefaktorová autentizace (MFA) je relativně jednoduchá na implementaci, ale představuje silnou bariéru proti malwarovým útokům. Totéž platí pro funkce příkazového řádku na uživatelské úrovni a blokování portu 445 protokolu TCP (Transmission Control Protocol). Pokud tak učiníte, může se snížit účinnost softwaru a nástrojů pro skenování, které vyděrači ransomwaru používají. Ve stejném duchu podnikněte kroky k ochraně služby Active Directory, která obsahuje služby, které připojují uživatele k síťovým prostředkům.
Příprava
Předvídat je lepší než reagovat. Jedním z nápadů je, aby zkušený tým, včetně vyšších vedoucích, vytvořil věrohodné scénáře a poté navrhl plán kontinuity podnikání v případě útoku. To může odhalit zranitelná místa a vybudovat důvěru ve schopnost zvládat narušení. Tým může také určit, kdo povede reakci, pokud dojde k incidentu, a rozhodnout, zda hackerům zaplatí.
Možná není možné – a rozhodně to nelze předpokládat –, že lze zabránit všem kybernetickým útokům. Zastřešujícím cílem přípravy je tedy odolnost, která zajistí, že společnost bude moci pokračovat v provozu, pokud dojde ke kompromitaci konkrétní technologie. To znamená identifikovat nejkritičtější aktiva, co nejvíce je chránit a vyvinout proces zálohování. Pravidelné testování zotavení buduje svalovou paměť a podporuje řešení problémů.
Odezva
Na rychlosti záleží – každý den, kdy jsou firemní data zmatená nebo ztracená, vyžaduje velmi reálnou cenu. Unáhlené rozhodování přitom může vést ke špatným výsledkům. Chcete-li toto úspěšně řešit, okamžitě svolejte všechny, na kterých záleží, včetně představenstva, vyšších vedoucích pracovníků, dotčených obchodních skupin a expertů na dodržování předpisů, rizik a technických expertů, aby vytvořili jedinou sjednocenou zprávu. Je také dobré konzultovat právní poradce a pojistitele raději dříve než později.
Efektivní reakce na ransomware začíná voláním orgánů činných v trestním řízení, které mohou mít schopnosti, které společnost nemá, a jsou si vědomi faktorů, které mohou ovlivnit reakci. Pro společnosti může být například nezákonné platit výkupné subjektům podléhajících sankcím EU. Poté naplánujte zapojení externích zainteresovaných stran, které mohou být vystaveny tlaku útočníků nebo jejich přidružených společností, aby se zasadily o vyrovnání. Bez ohledu na povahu útoku, reakce na něj vyžaduje informace; v případě malwaru to znamená určit, jak zločinci získali přístup a jak závažný je útok. V nejlepším případě může taková inteligence vést k nalezení dešifrovacího klíče. Přinejmenším poskytuje poznatky, které mohou být užitečné při vyjednávání.
Zotavení
Pachatelé ransomwaru jsou zločinci. Nelze tedy předpokládat jejich integritu. Čím více se tedy společnost blíží k zaplacení výkupného, tím více musí trvat na důkazu, že hackeři mají to, co tvrdí, že mají. Bez ohledu na to, zda je platba provedena, nebo ne, může být nutné sítě přebudovat, posílit a vyčistit. Obnova je proces; v jistém smyslu je to první krok v prevenci, protože hrozba ransomwaru se neustále mění.
Ransomware se může zdát jako mýtická hydra – se dvěma hlavami, které rostou, když je jedna useknutá. Ve stále více digitálním světě nemůže žádný podnik zničit hydru. Co však může každá společnost udělat, je chránit se, jak nejlépe umí.
Autor původního článku: Jim Boehm
Překlad: Ondřej Strachota