Jeszcze kilka lat temu oprogramowanie wymuszające okup było biznesem przynoszącym olbrzymie zyski. Zespół Cisco Talos szacował, że w 2015 r. hakerzy mogli zarobić ok. 34 mln dol., wykorzystując tylko jedno z popularnych wówczas złośliwych narzędzi szyfrujących – Angler. Tak duże okupy doprowadziły do ogromnej popularności ransomware’u jako rodzaju złośliwego oprogramowania. Według badań jego udział w całościowej ilości malware’u wzrósł z 18 proc. w styczniu 2016 do 66 proc. w listopadzie tego samego roku. Jednocześnie według najnowszych doniesień głównym motywem twórców ataku Petya było unieruchomienie jak największej liczby komputerów, a nie zysk finansowy.

Niestety, zmienił się również sposób rozpowszechniania się infekcji. Początkowo cyberprzestępcy przesyłali złośliwe oprogramowanie w załącznikach korespondencji e-mail czy zamieszczali malware na stronach WWW. Obecnie programy szyfrujące coraz częściej przybierają postać robaka internetowego mającego na celu samoistne kopiowanie się w sieci dzięki wykorzystaniu słabych punktów w systemach operacyjnych Windows.

Rodzimy biznes raczej zdaje sobie sprawę z nowych zagrożeń, jednakże w dalszym ciągu podstawą zabezpieczeń w polskich firmach są techniki stosowane od dziesięcioleci – zapory ogniowe poprzedniej generacji oraz oprogramowanie antywirusowe. Rozwiązania te nie zabezpieczają przed pełnym spektrum możliwych ataków, a brak integracji między nimi sprawia, że zarządzanie całością ochronny nie jest skalowalne.

 

Architektura Cisco Ransomware Defense

Z uwagi na wyzwania, jakie twórcy aplikacji szantażujących stawiają przed użytkownikami Internetu, specjaliści Cisco stworzyli architekturę Cisco Ransomware Defense.W ten sposób przyspieszyli proces wykrywania infekcji i kompleksową ocenę ich wpływu na sieć klienta. Ponadto zastosowane mechanizmy integracji zapewniają automatyzację procesów zarządzania infrastrukturą, co stanowi znakomitą alternatywę dla rozwiązań punktowych.

Nie tylko co, ale z kim…

Nie każdy atak cybernetyczny można od razu zatrzymać. Tak samo jak żadne rozwiązanie chroniące przed złośliwym oprogramowaniem nie jest w 100 proc. skuteczne. Dlatego tak ważna jest współpraca z zaufanym partnerem, który zajmie się nie tylko wdrożeniem i optymalizacją opisanych elementów architektury bezpieczeństwa, ale również koordynacją i odpowiedzią na atak hakerski, jeżeli do niego już dojdzie. Odpowiednie praktyki, wsparte efektywnymi mechanizmami detekcji ataków pochodzących z różnych źródeł, stanowią znakomitą alternatywę dla tradycyjnych rozwiązań punktowych, które nie spełniają obecnych wymogów ochrony.

 

W skład nowej architektury CRD wchodzi szereg rozwiązań i funkcji. Spośród nich należy wymienić Cisco Advanced Malware Protection (AMP) for Endpoints. W przeciwieństwie do systemów antywirusowych, Cisco AMP umożliwia ocenę stanu całej sieci IT, gdyż wskazuje administratorowi, które stacje końcowe są zainfekowane złośliwym oprogramowaniem i w jaki sposób rozpowszechniło się ono w sieci (pokazuje mapę tego ruchu). Ponadto Cisco AMP zapewnia retrospektywną analizę oprogramowania. Oznacza to, że plik jest analizowany nie tylko, gdy wchodzi do sieci użytkownika – system bowiem nieustannie analizuje stan stacji i potrafi wychwycić zachowania typowe dla złośliwego oprogramowania (Indicator of Compromise, IOC). Administrator może otrzymać informację zwrotną z chmury Cisco o zmianie dyspozycji pliku nawet po jego wejściu do sieci lokalnej.

Prawie każde oprogramowanie szyfrujące korzysta z DNS, dlatego tak istotne jest monitorowanie tych zapytań wraz z blokowaniem dostępu do źródeł zagrożenia. Stąd duże znaczenie Cisco Umbrella, które nie wymaga instalacji dodatkowego sprzętu, a proces uruchomienia „parasola” zajmuje jedynie kilkanaście minut. Podobnie jak Cisco AMP, chroni użytkownika końcowego niezależnie od tego, czy jest podłączony do sieci firmowej, czy korzysta z sieci niezaufanej. Umożliwia monitorowanie ruchu internetowego oraz dostarcza szczegółowe analizy i statystyki dotyczące zagrożeń.

Kolejna istotna kwestia dotyczy poczty elektronicznej, która wciąż stanowi najczęściej wykorzystywaną przez hakerów „furtkę”. Zastosowanie skutecznych mechanizmów antyphishingowych czy analizy hiperłączy w e-mailach – jak Cisco Email Security z Advanced Malware Protection (AMP) – pozwala wydatnie ograniczyć ilość szkodliwej poczty przychodzącej do skrzynek odbiorczych pracowników firmy. Ponadto wykorzystanie Cisco AMP w bramkach e-mailowych umożliwia gruntowną analizę każdego przychodzącego załącznika.

Wspomniany przykład ataków WannaCry i Petya nie tylko po raz kolejny pokazał, jak ważne dla bezpieczeństwa jest aktualizowanie oprogramowania, ale również jak duża liczba użytkowników zapomina bądź nie ma możliwości zainstalowania krytycznych poprawek do programów. Z tego względu konieczne jest zastosowanie rozwiązań Next-Generation IPS (Intrusion Prevention System), które wykrywają i blokują znane ataki na podstawie odkrytych słabych punktów w firmowej sieci. Do takich należy Cisco Firepower Next-Generation Firewall z Next-Generation IPS (NGIPS) oraz Advanced Malware Protection (AMP).

Natomiast Cisco Identity Services Engines (ISE) to element przydatny do realizacji jednej z najlepszych praktyk budowania bezpiecznych sieci komputerowych, jaką jest mikrosegmentacja oraz zadbanie o kontrolę dostępu użytkowników końcowych do odpowiednich zasobów. Dzięki temu, nawet jeżeli dojdzie do ewentualnej infekcji sieci oprogramowaniem szyfrującym, zakres ataku zostanie skutecznie ograniczony, a administratorzy będą mieli łatwiejsze zadanie podczas przywracania zainfekowanych stacji do działania.

Trendy pokazują, że ataki typu ransomware, które sieją tak wiele spustoszenia na całym świecie, będą dalej ewoluowały. W sporej mierze od resellerów i integratorów zależy, jak klienci zabezpieczą swoje firmy przed tym zagrożeniem.