10 sposobów na zabezpieczenie Twojego biznesu przed ransomware

J003-Content-Ransomware-Prevention-Recovery-Techniques_SQ-150x150Bez wątpienia ransomware to ostatnio gorący temat. W związku z co raz częstszymi i bardziej śmiałymi atakami tego typu, postanowiliśmy przedstawić Wam 10 sposobów, które pomogą Wam się przed nimi uchronić. Poniżej 10 rad przygotowanych przez specjalistów z GFI:

1. Regularnie wykonuj backup danych

Regularne wykonywanie kopii zapasowych pozwoli Ci na jak najszybsze odzyskanie dostępu do zaszyfrowanych plików. Aby uniknąć zainfekowania kopii zapasowych, powinieneś przechowywać je w bezpiecznej lokalizacji offline (lub w chmurze) z włączonym trybem „Tylko do odczytu”. Należy okresowo sprawdzać wykonane kopie po to, aby upewnić się, że nie zostały naruszone.

Pamiętaj: sama kopia zapasowa nie zabezpieczy Cię przed atakiem typu ransomware, aby się przed nim ochronić, należy działać w oparciu o wypróbowany proces przywracania danych.

2. Skanuj i blokuj załączniki wiadomości za pomocą rozwiązania do ochrony poczty

Aby nie stać się kolejną ofiarą ataku ransomware, korzystaj z narzędzia do ochrony poczty, które skanuje załączniki wiadomości i blokuje określone typy załączonych plików zanim trafią one do Twojej skrzynki pocztowej.
Dla pełniejszej ochrony zainstaluj program antywirusowy z funkcją „Ochrony w czasie rzeczywistym” lub „Skanowania na wejściu”, które monitorują podejrzaną aktywność w tle interweniując, gdy użytkownik kliknie na zainfekowany plik.

3. Zablokuj pliki wykonywalne tak, aby nie uruchamiały się z poziomu folderów użytkownika

Jeśli używasz Windows Software Restriction Policies lub Intrusion Prevention na stacji końcowej, nie powinieneś zezwalać plikom wykonywalnym na uruchamianie się z następujących lokalizacji. Poniższe foldery i podfoldery umożliwiają ransomware szkodliwą działalność:

• %userprofile%\AppData
• %appdata%
• %localappdata%
• %ProgramData%
• %Temp%

Reguły powinny być skonfigurowane na „Blokuj wszystko, zezwalaj na wybrane” tak, aby domyślnie blokować pliki wykonywalne chyba, że dopiszesz pewne aplikacje do białej listy.

4. Regularnie łataj swój system operacyjny

Jednym z najczęstszych sposobów infekcji wykorzystywanym przez złośliwe oprogramowanie jest znalezienie słabych punktów Twojego oprogramowania. Regularnie uszczelniając systemy operacyjne, przeglądarki, pakiety oprogramowania biurowego (np. Microsoft Office), zapory sieciowe, urządzenia sieciowe, zmniejszasz ryzyko ataku.

5. Monitoruj i blokuj podejrzany ruch wychodzący

System wykrywania i zapobiegania włamaniom (IDPS) monitoruje podejrzany ruch wychodzący, ostrzega Cię i w przypadku wykrycia przez niego zagrożenia reaguje np. poprzez przerwanie połączenia lub ponowne skonfigurowanie zapory sieciowej. Zrób użytek z informacji dostarczanych ci przez IDPS oraz specjalistów ds. bezpieczeństwa i dostosuj swoją infrastrukturę po to, aby utrudnić ransomware swobodne poruszanie się do i z Twojej sieci (zatrzymaj komunikację ransomware dzięki centrum zarządzania i kontroli).

6. Przyjmij zasadę najmniejszych uprawnień

Jeśli oprogramowanie ransomware zostałoby uruchomione z poziomu administratora systemu bezpieczeństwa, spowodowałoby ono znacznie większe szkody i rozprzestrzeniłoby się na inne obszary (np. zaszyfrowałoby dane znajdujące się na dyskach sieciowych, udziałach, urządzeniach przenośnych).

Dzięki przyjęciu zasady najmniejszych uprawnień, w myśl której użytkownicy logują się z minimalnymi uprawnieniami potrzebnymi do wykonywania ich pracy, ograniczasz rozmiar potencjalnych szkód oraz ryzyko rozprzestrzeniania się złośliwego oprogramowania. Czasem takie oprogramowanie próbuje celowo zwiększać swoje uprawnienia, ale w większości przypadków polega ono na poziomie bezpieczeństwa, z którego zostało uruchomione.

Zgodnie z zasadą najmniejszych uprawnień, jeśli użytkownik chciałby uruchomić polecenie lub zainstalować/odinstalować aplikację z poziomu administratora musiałby wprowadzić zestaw uwierzytelnień, dzięki któremu zyskałby szersze uprawnienia, ale tylko na czas wykonania zamierzonej operacji.

7. Wyłącz opcję „Ukryj rozszerzenia znanych typów plików”

Jednym ze sposobów stosowanych przez ransomware w celu ukrycia swojej prawdziwej tożsamości, jest podszywanie się pod pliki zapisane w bezpiecznym i znanym formacie. Na przykład, plik udający dokument PDF może nazywać się „Invoice.pdf.exe” i jeśli opcja „Ukryj rozszerzenia znanych typów plików” jest włączona, plik będzie się nazywał „Invoice.pdf”. Wyłączenie tej opcji pozwala łatwiej zauważyć podejrzane pliki znajdujące się na dysku.

8. Zwiększ ustawienia ochrony aplikacji Microsoft Office

Najnowszy wariant ransomware zwany „Locky” używa złośliwego makra, po to aby rozpocząć infekcję Twojego systemu. Zmniejsz ryzyko takiego zdarzenia używając polityki wymagającej wyłączenia makr lub ustawienia opcji „Blokuj wszystkie makra oprócz makr podpisanych cyfrowo”. W taki sam sposób ustaw ActiveX i External Content – zmień ustawienia z „Włącz” na „Blokuj” (należy wziąć pod uwagę wymagania biznesowe Twojej organizacji).

9. Edukuj swoich pracowników

Użytkownicy są ostatnią linią obrony przed ransomware. Nie byłoby ono tak skuteczne, gdyby nie niczego niepodejrzewający użytkownicy, którzy ściągają i uruchamiają złośliwe oprogramowanie, np. gdy otwierają załącznik wiadomości lub klikają na zainfekowany link.

Oto 5 najważniejszych rad, których możesz udzielić swoim pracownikom tak, aby ustrzegli się przed ransomware:

• Nie otwieraj załączników wiadomości od nadawców, których nie znasz;
• Nie klikaj na linki przesłane w wiadomościach pochodzących od nieznanych Ci nadawców;
• Sprawdzaj czy nazwy domen w wiadomościach są napisane poprawnie (zainfekowane maile pochodzą np. z domen nazwanych rncom zmiast microsoft.com);
• Sprawdzaj czy w temacie maila i jego treści nie pojawia się niepoprawna pisownia lub formatowanie;
• Zgłaszaj każdy podejrzany plik lub e-mail do działu Pomocy technicznej i bezpieczeństwa.

10. Skanuj wszystkie pliki ściągnięte z Internetu

Używaj rozwiązania monitorującego i skanującego wszystkie pliki ściągnięte z Internetu , a unikniesz sytuacji, w której użytkownicy próbują wejść na niebezpieczne strony. Takie rozwiązanie pozwala również na skanowanie i blokowanie określonych typów plików. W przypadku, gdy fałszywa wiadomość wyłudzająca dane przedostanie się do skrzynki, a użytkownik kliknie na zainfekowany link, rozwiązanie monitorujące i skanujące (np. GFI WebMonitor) jest w stanie zablokować dostęp do niebezpiecznej strony lub podejrzanego pliku.

 

Źródło