Bagaimana ia dapat mempertahankan terhadap ransomware

Kita semua tahu ransomware adalah salah satu varian malware yang paling merosakkan di luar sana. Anda bercakap tentang mengklik pada pautan yang salah dan setelah data organisasi anda hilang ke dalam rawa yang tidak disulitkan, atau bahkan sistem operasi pelayan (OS) dan fail kritikal lain hanya hilang hari. Anda boleh membayar wang tebusan, tetapi itu bukan sahaja mahal tetapi juga tidak menjamin bahawa orang jahat akan memberikan anda kembali data anda.

Apabila anda dipukul, pilihan anda adalah suram: semoga anda dapat memulihkan sistem anda dengan menggunakan backup berasaskan awan atau membayar tebusan dan berharap kunci penyahsulitan berfungsi. Tetapi itu hanya jika anda dipukul. Pilihan yang lebih baik ialah untuk menyimpan fail-fail anda disulitkan di tempat pertama atau, jika beberapa fail dilanggar, maka serangan itu akan disebarkan. Kuncinya adalah untuk meningkatkan permainan keselamatan syarikat anda untuk tidak diserang.

Bagaimana Mengelakkan Serangan Ransomware

Langkah pertama adalah apa yang Israel Barak, Ketua Pegawai Keselamatan Maklumat (CISO) pengesan akhir dan pengesan perisian tindak balas Cybereason memanggil "IT dan kebersihan keselamatan." Ini bermakna mengelakkan kelemahan dan penapisan e-mel dan lalu lintas web. Ini juga bermakna menyediakan latihan pengguna, dan memastikan bahawa patch untuk OS, aplikasi, dan produk keselamatan anda benar-benar terkini.

Langkah kedua adalah mempunyai kesinambungan perniagaan dan strategi pemulihan. Ini bermakna sebenarnya membuat rancangan apabila perkara menjadi buruk bukan hanya berharap mereka tidak akan. Barak berkata ini termasuk membuat sandaran dan diuji, mengetahui bagaimana anda akan mendapatkan semula perkhidmatan yang memberi impak, mengetahui di mana anda akan mendapat sumber pengkomputeran untuk pemulihan, dan mengetahui bahawa pelan pemulihan penuh anda akan berfungsi kerana anda telah benar-benar mengujinya.

Langkah ketiga adalah untuk melindungi perlindungan anti-malware. Barak berkata ini termasuk perlindungan terhadap perisian hasad yang memasuki rangkaian dan perlindungan anda terhadap pelaksanaan malware semasa pada sistem anda. Mujurlah, kebanyakan perisian hasad cukup mudah dikesan kerana pengarang malware sering berkongsi rutin yang berjaya.

Mengapa Ransomware Berbeza

Malangnya, ransomware tidak seperti malware lain. Barak berkata, kerana ransomware hanya menetap pada komputer secara ringkas, ia tidak sukar untuk mengelakkan pengesanan sebelum ia menyiapkan enkripsinya dan menghantar mesej ransomware. Di samping itu, tidak seperti jenis malware lain, malware yang sebenarnya melakukan penyulitan fail mungkin tiba di komputer mangsa hanya beberapa saat sebelum penyulitan bermula.

Dua jenis perisian malware-Ryuk dan SamSam-masukkan sistem anda di bawah bimbingan seorang pengendali manusia. Dalam kes Ryuk, operator itu mungkin terletak di Korea Utara, dan dengan SamSam, di Iran. Dalam setiap kes, serangan bermula dengan mencari bukti yang membolehkan masuk ke dalam sistem. Sekali di sana, pengendali mengkaji kandungan sistem, memutuskan apa fail untuk menyulitkan, menaikkan keistimewaan, mencari dan menyahaktifkan perisian anti-malware dan pautan kepada sandaran untuk disulitkan, atau dalam beberapa kes, menyahaktifkan sandaran. Kemudian, selepas beberapa bulan persiapan, malware penyulitan dimuatkan dan dilancarkan; ia boleh menyelesaikan tugasnya dalam beberapa minit-terlalu cepat untuk pengendali manusia untuk campur tangan.

"Di SamSam, mereka tidak menggunakan phishing konvensional, " jelas Carlos Solari, Naib Presiden pemaju penyelesaian cybersecurity Comodo Cybersecurity dan bekas CIO Rumah Putih. "Mereka menggunakan laman web dan mencuri kelayakan orang dan menggunakan kuasa kasar untuk mendapatkan kata laluan."

Solari berkata pencerobohan ini kerap tidak dikesan kerana tidak ada malware yang terlibat sehingga akhirnya. Tetapi dia berkata, dilakukan dengan betul, ada cara untuk menghentikan serangan pada ketika ini. Biasanya, dia berkata, penjenayah akan pergi selepas perkhidmatan direktori untuk rangkaian, dan menyerang mereka supaya mereka dapat mendapatkan keistimewaan peringkat pentadbiran yang diperlukan untuk pementasan mereka untuk serangan itu. Pada ketika ini, sistem pengesanan pencerobohan (IDS) mungkin mengesan perubahan dan, jika pengendali rangkaian mengetahui apa yang perlu dicari, maka mereka boleh mengunci sistem dan menyerang penyusup.

"Jika mereka memberi perhatian, maka mereka akan menyedari bahawa seseorang ada di dalamnya, " kata Solari. "Adalah penting untuk mencari perisikan ancaman dalaman dan luaran. Anda mencari anomali dalam sistem."

Bagaimana Melindungi Diri Anda

Bagi syarikat-syarikat yang lebih kecil, Solari menyarankan syarikat-syarikat mencari Pusat Operasi Keselamatan dan Pengendalian (MDR) yang Terurus (SOC) sebagai perkhidmatan. Beliau menambah bahawa syarikat-syarikat besar mungkin ingin mencari Penyedia Perkhidmatan Keselamatan Terurus (MSSP). Salah satu penyelesaian akan memungkinkan untuk mengawasi peristiwa keselamatan, termasuk pementasan sebelum serangan ransomware utama.

Selain memantau rangkaian anda, penting juga untuk membuat rangkaian anda supaya ia tidak sesuai dengan penjahat yang mungkin. Menurut Adam Kujawa, Pengarah Malwarebyte Labs, satu langkah kritikal adalah untuk menyatukan rangkaian anda supaya penyusup tidak dapat bergerak di seluruh rangkaian anda dan mempunyai akses kepada segala-galanya. "Anda tidak perlu menyimpan semua data anda di tempat yang sama, " kata Kujawa. "Anda memerlukan tahap keselamatan yang lebih mendalam."

Tetapi, jika ternyata anda tidak mengesan peringkat invasif menjelang serangan ransomware, maka terdapat satu lagi lapisan atau tindak balas, iaitu pengesanan perilaku malware apabila ia mula menyulitkan fail.

"Apa yang kami tambah ialah mekanisme tingkah laku yang bergantung pada tingkah laku yang biasa digunakan oleh ransomware, " jelas Barak. Beliau berkata perisian sebegini memerhatikan apa yang mungkin dilakukan ransomware, seperti menyulitkan fail atau memadam sandaran, dan kemudian mengambil tindakan untuk membunuh proses itu sebelum ia dapat melakukan apa-apa kerosakan. "Ia lebih berkesan berbanding tidak pernah melihat strain ransomware."

Peringatan dan Perlindungan Awal

Untuk memberi amaran awal, Barak berkata Cybereason mengambil langkah lain. "Apa yang kami lakukan adalah menggunakan mekanisme pengecualian, " katanya. "Apabila perisian Cybereason berjalan pada titik akhir, ia menghasilkan satu siri fail asas yang diposisikan dalam folder pada cakera keras yang akan membuat ransomware cuba menyulitkannya terlebih dahulu." Beliau berkata perubahan kepada fail-fail itu dikesan serta-merta, Kemudian, perisian Cybereason atau perisian sejenis dari Malwarebytes akan menamatkan prosesnya, dan dalam banyak kes, kontena malware itu sehingga tidak dapat melakukan kerusakan lagi.

Oleh itu, terdapat beberapa lapisan pertahanan yang boleh menghalang serangan ransomware dan, jika anda mempunyai semuanya berfungsi dan di tempat, maka serangan yang berjaya harus mengikuti beberapa kegagalan untuk berlaku. Dan anda boleh menghentikan serangan itu di mana-mana di sepanjang rantaian.

Sekiranya Anda Membayar tebusan?

Tetapi adakah anda membuat keputusan untuk membayar wang tebusan dan mengembalikan operasi dengan segera? "Bagi sesetengah organisasi, ia adalah satu pilihan, " kata Barak.

Anda perlu menilai kos gangguan perniagaan untuk menentukan sama ada kos untuk memulakan operasi adalah lebih baik daripada kos pemulihan, semua perkara yang dipertimbangkan. Barak berkata, untuk serangan ransomware perniagaan, "dalam kebanyakan kes, anda mendapat fail kembali."

Tetapi Barak berkata, jika membayar tebusan adalah kemungkinan, maka anda mempunyai pertimbangan lain. "Bagaimanakah kita menyediakan terlebih dahulu untuk mempunyai mekanisme untuk merundingkan kos untuk mendapatkan semula perkhidmatan? Bagaimanakah kita membayarnya? Bagaimanakah kita membentuk mekanisme untuk broker jenis pembayaran tersebut?"

Menurut Barak, hampir setiap serangan ransomware termasuk cara berkomunikasi dengan penyerang, dan kebanyakan perusahaan cuba merundingkan kesepakatan yang mana penyerang ransomware biasanya terbuka. Sebagai contoh, anda boleh memutuskan bahawa anda hanya memerlukan sebahagian daripada mesin yang disulitkan dan hanya berunding untuk kembalinya mesin tersebut.

• Perlindungan Ransomware Terbaik untuk 2019 Perlindungan Ransomware Terbaik untuk 2019
• SamSam Ransomware Hackers Rake dalam $ 5.9 Juta SamSam Ransomware Hackers Rake in $ 5.9 Juta
• 2 orang Iran lawan serangan SamSam Ransomware, Tuntutan AS 2 orang Iran di belakang SamSam Ransomware Serangan, AS Tuntutan

"Pelan ini perlu dilakukan sebelum masa. Bagaimana anda akan bertindak balas, siapa yang akan berkomunikasi, bagaimana anda akan membayar tebusan?" Barak berkata.

Walaupun pembayaran adalah pilihan, kebanyakan organisasi tetap menjadi pilihan terakhir, bukan tindak balas. Terdapat banyak pembolehubah yang tidak dapat dikendalikan dalam senario itu, ditambah dengan membayar sekali, anda tidak boleh menjamin anda tidak akan diserang untuk mendapatkan lebih banyak wang tunai di masa depan. Pelan yang lebih baik menggunakan pertahanan pepejal yang cukup sukar untuk mengatasi serangan malware yang paling banyak dan mengalahkan beberapa yang berjaya. Tetapi apa sahaja yang anda membuat keputusan, ingatlah bahawa hampir setiap penyelesaian mengharuskan anda membina agama. Lakukan sekarang, lakukannya selalunya, dan selalunya menguji, untuk memastikan perkara-perkara yang akan berjalan lancar dalam secubit.