Każdego dnia pracownicy otrzymują dziesiątki e-maili, których nadawcy podszyli się pod inne osoby lub firmy. Co gorsza wizualna i językowa jakość wiadomości w ostatnim czasie uległa znacznej poprawie. W związku z tym nawet w przedsiębiorstwach, które dbają o szkolenie zespołu i próbują wzbudzić jego czujność, często dochodzi do zarażenia złośliwym kodem. Według autorów dokumentu „Verizon 2015 Data Breach Report”, wystarczy, że pracownicy otrzymają tylko dziesięć profesjonalnie opracowanych e-maili z kategorii phishing, aby gwarantowało to skuteczną infekcję.

Kolejny problem sprawia fakt, że złośliwemu oprogramowaniu wystarczą tylko trzy sekundy, aby dokonać infiltracji sieci i rozpocząć szkodliwe działania. Akcja informacyjna podejmowana przez firmowych administratorów, żeby pracownicy nie otwierali otrzymanych masowo wiadomości pocztowych, może okazać się spóźniona. A zagrożenie jest poważne, bo rozpowszechniany ostatnio ransomware jest w stanie zaszyfrować dane nie tylko na komputerze ofiary, ale także na serwerach, do których jest on podłączony. Jeden nieostrożny ruch może sparaliżować działanie całej firmy.

 

Pracownicy najsłabszym ogniwem

Aby ochronić przedsiębiorstwo przed tego typu zagrożeniami, konieczne jest skorzystanie z wielowarstwowych zabezpieczeń. Naturalnie, trzeba zacząć od szkolenia pracowników, aby pokazać im mechanizmy ataków typu phishing i uświadomić, że wysyłane przez przestępców wiadomości wyglądają coraz bardziej wiarygodnie.

Administratorzy powinni też zadbać o stworzenie polityki wykonywania kopii zapasowych plików przechowywanych przez pracowników na ich komputerach – gdy sieć zostanie zainfekowana oprogramowaniem ransomware, zaszyfrowaniu mogą też ulec dane na serwerach. Warto też robić kopie obrazu systemu stacji roboczych, aby w przypadku infekcji móc szybko przywrócić poprzednią, bezpieczną wersję.

 

Wiadomo jednak, że pracownicy firm przyswajają wiedzę w różny sposób i wielu z nich stanowi najsłabsze ogniwo w procesie zapewniania bezpieczeństwa. Z drugiej strony nie można nakładać na użytkowników i ich komputery zbyt wielu ograniczeń, bo znacznie wpłynie to na efektywność pracy w firmie. Dlatego konieczny jest kompromis, w ramach którego bezpieczeństwo sieci nie zostanie wystawione na szwank. Kompromis, do wypracowania którego mogą posłużyć zarówno najnowocześniejsze dostępne na rynku rozwiązania ochronne, jak i wypracowane przez lata najlepsze praktyki.

 

Zablokować na czas

Niestety, trzeba przyjąć założenie, że infekcji nie uda się uniknąć. Należy więc przygotować infrastrukturę na jak najszybsze odizolowanie zarażonych urządzeń, by zapobiec rozprzestrzenianiu się złośliwego kodu lub przesyłaniu wrażliwych danych do cyberprzestępców. Po odizolowaniu zaatakowanego urządzenia można podjąć kroki mające na celu przywrócenie go do bezpiecznego stanu.

Aby skutecznie odizolować zainfekowane urządzenie, konieczne jest skorzystanie z dwóch rodzajów rozwiązań – systemu zapewniającego kontrolę nad dostępem do sieci (Network Access Control) połączonego z systemem wykrywania zagrożeń i złośliwego kodu na bazie analizy jego zachowania. Firma SnoopWall opracowała rozwiązanie NetSHIELD, które analizuje działania użytkowników w sieci i gdy tylko wystąpi  ryzyko zakażenia, dane urządzenie jest natychmiast blokowane i izolowane od innych.

Wyłącznym dystrybutorem rozwiązań SnoopWall w Polsce jest AKBIT.

Dodatkowe informacje:

Krzysztof Meller,

CEO, AKBIT,

sales@akbit.pl

Artykuł powstał we współpracy z firmami SnoopWall i AKBIT.