Ransomware to prawdziwa plaga ostatnich lat i walka z nim powinna być celem każdej osoby, która ma cokolwiek wspólnego z IT. W ochronie przedsiębiorstw przed tym zagrożeniem nieoceniona jest rola resellerów i integratorów. To do tych firm – jako zaufanych partnerów – zwrócą się klienci, którzy będą mieli problem. Dlatego warto wykorzystać ich zaufanie do zapobieżenia niebezpieczeństwu. Stworzenie choćby podstawowej polityki bezpieczeństwa oraz wdrożenie narzędzi ochronnych nie jest skomplikowanym zadaniem, a oprócz zysku za wykonaną usługę zapewni też wdzięczność klienta.

Należy jednak pamiętać, że taktyka działania na zasadzie „wykryj i reaguj” nie sprawdza się w przypadku ransomware’u. Gdy oprogramowanie to rozpocznie pracę (a robi to po cichu, niezauważalnie dla użytkownika), z reguły jest już za późno. Dlatego konieczne jest podjęcie wszelkich możliwych działań, aby nie dopuścić do wykonania złośliwego kodu, a jeśli już to się stanie – zminimalizować straty. Ivanti i FBI oracowały wspólnie 9 porad dla firm, z których naprawdę warto skorzystać, aby zwiększyć zakres ochrony przed ransomware’em.

Przesłanie tych zaleceń klientom może ułatwić współpracę z nimi.

1. Aktualizuj systemy operacyjne i aplikacje

Dla wszystkich użytkowników rozwiązań IT (także na komputerach domowych) aktualizacje oprogramowania powinny być pierwszą linią obrony przeciwko wszelkim atakom, także typu ransomware. To luki w systemach operacyjnych i aplikacjach najczęściej są wykorzystywane do uruchamiania złośliwego kodu. Przestępcy zaś chętnie wykorzystują do ataku starsze wersje aplikacji, ponieważ – dzięki analizie poprawek w nowszych – wiedzą, jakie miały luki. Oprócz systemów operacyjnych najczęściej do ataków wykorzystywane są niezaktualizowane przeglądarki internetowe, aplikacje pakietu Microsoft Office, Java oraz oprogramowanie firmy Adobe (głównie Flash i Reader).

Administratorzy w wielu firmach nie prowadzą systematycznych aktualizacji, ponieważ uważają, że proces ten jest skomplikowany i może zakłócić ciągłość pracy. W skrajnych sytuacjach, gdy pakiet aktualizacyjny nie został wystarczająco dokładnie przetestowany, może przyczynić się do uszkodzenia aplikacji lub przetwarzanych przez nią danych i spowodować przestój firmy.

Tymczasem istnieją narzędzia, które czynią proces poszukiwania przestarzałego oprogramowania na stacjach roboczych i serwerach oraz aktualizowania go bardzo prostym, nawet w rozbudowanych środowiskach. Ivanti ma w tej dziedzinie ogromne doświadczenie – Ivanti Patch Manager zapewnia aktualizowanie oprogramowania bez negatywnego wpływu na ciągłość pracy oraz gwarantuje, że instalowane łatki zostaną przetestowane pod kątem poprawności pracy.

 

2. Upewnij się, że masz aktualny antywirus

Kolejną linią obrony po aktualizacjach powinien być antywirus. Co prawda rozwiązania sygnaturowe nie zawsze potrafią  ochronić przed najnowszymi zagrożeniami, ale całkowicie wyeliminują ryzyko padnięcia ofiarą tych, które są już znane i rozpracowane.

Najważniejszym elementem strategii obrony jest dbanie o to, aby na wszystkich stacjach roboczych baza sygnatur złośliwego kodu była wciąż aktualna. Ivanti Management Suite powered by LANDESK automatyzuje ten proces. Narzędzie współpracuje z większością oferowanych na rynku rozwiązań antywirusowych i zapewnia mniejsze obciążenie łączy internetowych dzięki temu, że samo dystrybuuje aktualizacje do urządzeń końcowych. Ivanti ma w ofercie także własne rozwiązanie antywirusowe (bazujące na silniku firmy Kaspersky Lab), które integruje się z innymi aplikacjami tego producenta (i ich panelem zarządzania), a przez to może zautomatyzować proces skanowania.

3. Kontroluj uprzywilejowane konta

Minimalizacja uprawnień użytkowników to ważna taktyka ochrony przed złośliwym oprogramowaniem (w tym także ransomware’em). Czasami, aby móc działać, potrzebuje ono uprawnień administratora i gdy ich nie uzyska, nie robi po prostu nic.

Odebranie uprawnień administratora pojedynczemu użytkownikowi jest proste, ale zarządzanie uprawnieniami wszystkich kont w przedsiębiorstwie nie jest łatwym zadaniem. Dlatego warto skorzystać z takiego rozwiązania jak Ivanti Privilege Management, które umożliwia zdefiniowanie reguł przydzielania uprawnień użytkownikom i dokonuje odpowiednich zmian na wszystkich stacjach roboczych.

4. Stosuj kontrolę dostępu bazującą na rodzaju danych

Ivanti Security Suite skupia się na zabezpieczanych danych, a nie na uprawnieniach ich użytkowników. Pozwala definiować reguły, które umożliwiają tylko wskazanym aplikacjom modyfikowanie określonych plików. To oznacza, że np. pliki z rozszerzeniem DOC i DOCX będą zmieniane tylko przez aplikację Microsoft Word (oraz inne, jeśli są wskazane przez użytkownika lub administratora), a pozostałe – w tym ransomware – nie zostaną dopuszczone do wprowadzania jakichkolwiek zmian. Niektóre odmiany ransomware’u potrafią przewidzieć zastosowanie przez użytkowników tego typu ochrony i próbują „udawać” przed systemem inne aplikacje niż ta, którą rzeczywiście są (np. aplikacje pakietu biurowego). Oprogramowanie Ivanti chroni system także przed takimi próbami.

 

5. Kontroluj uprawnienia aplikacji

Ivanti Application Control czyni prostym definiowanie i implementowanie reguł, zgodnie z którymi musi zachowywać się zainstalowane na komputerze oprogramowanie, oraz wymuszanie ich przestrzegania. Reguły te mogą ograniczyć zdolność danej aplikacji do tworzenia, modyfikowania albo odczytywania danego pliku lub plików, zlokalizowanych np. w konkretnym folderze, włącznie z tymczasowymi folderami używanymi przez przeglądarki i inne programy. Takie reguły mogą być zastosowane w skali całego firmowego środowiska lub wobec konkretnych użytkowników czy grup.

Oczywiście nałożenie takich restrykcji wiąże się z koniecznością rozważenia, do jakiego stopnia zostanie ograniczony zakres działań możliwych do prowadzenia przez użytkowników. Przykładowo instalacja nowego oprogramowania lub jego aktualizacji wymaga dekompresji pliku pobranego z Internetu przez przeglądarkę, co może zostać im zabronione.

6. Wyłącz możliwość tworzenia makr w aplikacjach Microsoft Office

Makra pakietu Office często wykorzystywane są do pobierania wielu rodzajów złośliwego kodu, w tym ransomware’u. Dystrybuowane są najczęściej w plikach dołączonych do spamowej korespondencji e-mailowej. Oprogramowanie Ivanti Security Suite umożliwia administratorom IT stworzenie reguł polityki, które wymuszają wyłączenie makr.

7. Stosuj białe listy aplikacji

Ta metoda praktycznie eliminuje możliwość uruchomienia innej aplikacji niż znajdująca się na liście. Natomiast jest dość trudna w zarządzaniu – użytkownicy mają różne wymagania, a więc często korzystają z innych zestawów aplikacji.

 

Narzędzie Ivanti Application Management zapewnia wiele opcji tworzenia białych list i efektywnego zarządzania nimi. Jest w stanie np. wykrywać wszystkie uruchomione aplikacje i porównywać ich integralność z własną reputacyjną bazą danych. Można też dodawać reguły zaufania bazujące na statusie użytkowników (np. autoryzowani administratorzy) lub nazwie producenta aplikacji (np. Microsoft, Oracle).

8. Stosuj środowiska wirtualne lub kontenery

Często ransomware dystrybuowany jest jako załącznik do poczty elektronicznej. Uruchomienie jej w środowisku wirtualnym lub kontenerze powoduje, że aktywny ransomware nie powinien zaszkodzić danym znajdującym się w głównym środowisku pracy użytkownika. W tej dziedzinie firma Bufferzone oferuje ciekawe rozwiązanie Advanced Endpoint Security, które dobrze integruje się z aplikacjami Ivanti.

9. Regularnie rób backup

Ostatnią deską ratunku, gdyby jednak ransomware zebrał swoje żniwo i skutecznie zaszyfrował pliki, jest skorzystanie z kopii backupowych. Należy jednak pamiętać, aby proces backupu w miarę możliwości był zautomatyzowany (poleganie na systematyczności użytkowników w tym zakresie zawsze kończy się porażką), a poprawność wykonania kopii była zawsze weryfikowana.

Dodatkowe informacje:

Bogdan Lontkowski, dyrektor regionalny na Polskę, Czechy, Słowację i kraje bałtyckie, ivanti,

bogdan.lontkowski@ivanti.com

Artykuł powstał we współpracy z firmą Ivanti.