Kako da se zaštitite od ransomwarea u 10 koraka
1. Redovni backup podataka Redovni backup podataka će vam omogućiti ponovni pristup podacima u najbržem mogućem roku. Kako biste izbegli da se i backup zarazi, neophodno je da se on drži na sigurnoj offline lokaciji (ili u okviru cloud baziranog rešenja) i da bude podešen na read only mode. Povremene provere integriteta nad bekapovanim podacima su neophodne kako biste se uverili da su podaci netaknuti. Napomena: Možda je suvišno reći, ali backup plan bez provere i testa restore procesa ne znači ništa. Bekapovani podaci nad kojima se ne može uraditi restore su neupotrebljivi.
2. Skeniranje i blokiranje email priloga korišćenjem email security rešenja
Korišćenje email security rešenja koje skenira email priloge i blokira određene tipove fajlova pre nego što oni uopšte stignu do korisničkog mailbox-a je odličan način da se korisnici zaštite tj. da ne podlegnu prevari i postanu žrtve ransomwarea. Dodatno, treba koristiti antivirus sa funkcionalnostima kao što je zaštita u realnom vremenu (real time protection) ili on-access scanning koji će pratiti sumnjive aktivnosti u pozadini i odmah preduzeti akciju ukoliko korisnik klikne na zlonamerni file.3. Blokiranje izvršnih fajlova sa određenih foldera u korisničkim profilima
Potrebno je da, koristeći Windows Software Restriction Policies ili Intrusion Prevention Software na endpointu, blokirate izvršenje fajlova sa sledećih lokacija (ovi folderi i pod-folderi su poznati po tome što se koriste za smeštanje zlonamernih procesa):- %userprofile%\AppData
- %appdata%
- %localappdata%
- %ProgramData%
- %Temp%
4. Ažurirajte redovno i konzistentno
Jedan od najčešćih načina infekcije je iskorišćenje ranjivosti samog softvera od strane malvera. Ukoliko su vaš operativni sistem, pretraživač, Office paket, firewall, mrežni uređaji itd. redovno ažurirani, u velikoj meri smanjujete rizik od zaraze tj. napada.5. Pratite i blokirajte sumnjivi izlazni saobraćaj
Intrusion Detection and Prevention System (IDPS) prati sumnjiv izlazni saobraćaj i obaveštava vas ukoliko je potrebno da preduzmete nešto (npr. prekinete konekciju ili rekonfigurišete firewall). Iskoristite ove informacije, kao i one iz threat intelligence sharing grupa kako biste izvršili fino podešavanje sigurnosne infrastrukture i otežali ransomware komunikaciju u ili iz vaše mreže (sprečite komunikaciju iz Comand and Controle centra).6. Usvojite koncept najmanjih mogućih prava
Ukoliko se ransomware izvršava u okviru admin sigurnosnog konteksta, on izaziva mnogo više štete i mnogo se dalje širi (npr. ima mogućnost da enkriptuje podatke na mrežnim diskovima, deljenim folderima i prenosivim medijumima. Usvajanjem koncepta najmanjih mogućih prava, koji podazumeva dodeljivanje korisnicima samo onaj nivo prava koji je neophodan za obavljanje njihovog posla, potencijalno smanjujete štetu nastalu usled širenja malvera. Neki malveri pokušavaju i da sami sebi dodele viši nivo prava, međutim najveći broj se oslanja na sigurnosni kontekst u kome je izvršen. Sa ovim konceptom, ideja je da ukoliko korisnik želi da izvrši komandu ili instalira/deinstalira aplikaciju u admin kontekstu, morao bi da unese set kredencijala koji bi mu omogućio pristup admin nivou, ali samo u vremenu koje mu je potrebno da završi željenu operaciju.7. Isključite „Hide extensions for known file types“ opciju
Jedan od načina na koji ransomware pokušava da se sakrije je prerušavanje u neki od fajl formata kojima se veruje. Na primer, fajl koji se prerušava u PDF može imati naziv „Invoice.pdf.exe“. Ukoliko je uključena opcija “Hide extensions for known file types” naziv ovog fajla će se prikazivati kao: “Invoice.pdf”. Dakle, ovime samo pomažete korisniku da lakše uoči sumnjive fajlove na disku.8. Poboljšajte sigurnosna podešavanja za Microsoft Office aplikacije
Najskorija varijanta ransomwarea pod nazivom Locky koristi zlonameran macro da downloaduje i inicira svoj payload. Možete koristiti grupne polise kako biste deaktivirali makro ili možete aktivirati opciju “Disable all macros except digitally signed macros”. Slično, možete podesiti ActiveX i External Content na Prompt ili Disabled (u zavisnosti od potreba vašeg poslovanja).9. Obučite svoje korisnike
Korisnici su vaša poslednja linija odbrane od ransomwarea. On nikada ne bi bio toliko uspešan, da nije ljudskog faktora i nasumičnog preuzimanja i izvršavanja malvera (npr. otvaranje email priloga, klik na zlonamerni link itd.). Upućivanjem korisnika u najbolje prakse i način da se pretnja prepozna smanjuje se rizik od nenamernog rizičnog ponašanja. Neke od stvari koje u obuci treba naglasiti su:- Ne otvarajte email prilog od pošiljaoca kojeg ne poznajete
- Nemojte kliktati na link iz emaila pošiljaoca kojeg ne poznajete
- Proverite slovne greške tj. nepravilnsti u domenima u email adresama (npr. rncom umesti microsoft.com)
- Proverite čudno formatirane sadržaje i naslove emailova
- Prijavite bilo koji sumnjiv fajl ili email svom IT timu
1o. Skenirajte sve što preuzimate s Interneta
Koristite Web Monitoring and Scanning rešenje za skeniranje svega što preuzimate s Interneta. Ovo će sprečiti korisnike da pristupe već poznatim zlonamernim sajtovima, a vi ćete skenirati i blokirati određene tipove fajlova. Sa ovakvim rešenjem, čak i ako phishing email prođe i korisnik klikne na link, rešenje će blokirati pristup zlonamernom sajtu i preuzimanje fajlova. TL; DR? Zvuči pomalo kao kliše, ali višeslojni pristup prevenciji ransomware će vam dati najbolje šanse da izbegnete infekciju. Ako bismo morali da napravimo kratki siže metodologije za prevenciju zaraze, preporuke bi bile sledeće:- Počnite tako što ćete obezbediti dobar backup i recovery plan. Ovo će osigurati da, čak i ako dođe do infekcije, imate skorašnju kopiju podataka koji nisu kriptovani.
- Smanjite izloženost ransomware napadima tako što ćete adresirati dva najčešća načina na koji on napada – email i preuzimanje s Interneta (rešenja kao što su GFI MailEssentials i GFI WebMonitor mogu puno pomoći u ovom koraku zaštite).
- Implementirajte podešavanja i polise koje će povećati vidljivost ransomwarea u okviru vaše mreže, kako biste detektovali sumnjive fajlove ili aktivnosti i smanjili šansu da se malver izvrši na nekoj od vaših mašina.
- Na kraju, verovatno i najvažnije, podučite svoje korisnike tome kako da zapaze bilo šta sumnjivo i koje korake u tom slučaju da sprovedu.
Originalni tekst: 10 ways to prevent ransomware from damaging your business, autor: Andrew Tabona Prevod je uz manje izmene preuzet sa sajta EXTREMEovanje]]>
Previous Article