Sophos ułatwia ochronę przed ransomwarem

Większość firm ma wdrożone jakieś rozwiązanie ochronne. Czemu więc atakującym, wykorzystującym ransomware, udaje się przeniknąć przez zabezpieczenia? Można wskazać trzy główne powody.

1. Nieustanny rozwój technik ataku

Cyberprzestępcy nie ustają w próbach maksymalizacji swojego zysku. Ich celem jest jak największe zautomatyzowanie procesu zarażania komputerów ofiar i pobierania od nich okupu. Stali się profesjonalistami, od których mogliby się uczyć inni twórcy oprogramowania oraz dostępnych przez Internet usług.

Żądza zysku cyberprzestępców spowodowała również, że postanowili „podzielić się” swoją wiedzą z innymi nieuczciwymi osobami, mniej biegłymi w kryptografii. Dlatego powstała nowa dziedzina usług określana mianem Malware-as-a-Service (MaaS). Obecnie atak może zainicjować nawet zupełny amator. Być może taki atak będzie miał ograniczony zasięg, ale nadal zapewni zyski. Wystarczy, że wykorzystująca malware osoba będzie miała wystarczające zdolności, aby korzystając z metod inżynierii społecznej, przekonać ofiary np. do zainstalowania złośliwego kodu zawierającego ransomware.

2. Luki w strategii zabezpieczeń firm

W przedsiębiorstwach nadal często brakuje podstawowej ochrony przed skutkami działania oprogramowania ransomware, czyli odpowiedniej strategii backupowej. Nie są wykonywane kopie danych w czasie rzeczywistym, brakuje także kopii znajdujących się na nośnikach fizycznie odseparowanych od systemów produkcyjnych. Kolejnym problemem jest brak polityki aktualizacji systemów operacyjnych i aplikacji, a to właśnie luki w niezałatanym oprogramowaniu są najczęściej wykorzystywane do ataków.

Niewystarczająca uwaga jest też przywiązywana do zasad nadawania uprawnień użytkownikom (bardzo często mają uprawnienia administratora) oraz ich szkoleń, dzięki którym nabraliby umiejętności rozpoznawania podejrzanych załączników i korespondencji phishingowej. Problemem jest też brak segmentacji w sieci (serwery nieoddzielone od stacji roboczych) oraz luki w konfiguracji systemów ochronnych (skanerów antywirusowych, firewalli, IPS-ów, bram e-mail/web).

3. Brak zaawansowanych systemów ochronnych

W wielu firmach stosuje się  jakieś narzędzia, ale z reguły nie są skuteczne wobec działania oprogramowania ransomware. Cyberprzestępcy nauczyli się je omijać, np. zaraz po procesie zaszyfrowania danych złośliwy kod sam siebie usuwa z komputera, aby utrudnić jego analizę.

Żeby móc zatrzymać atak ransomware, należy wprowadzić zabezpieczenia w wielu obszarach. Przede wszystkim trzeba wyposażyć stacje końcowe w oprogramowanie antywirusowe oraz dodatkowe narzędzia (np. Sophos Intercept X) sprawdzające w czasie rzeczywistym, czy na komputerze nie aktywowano jakiegoś procesu szyfrującego dane.

Administratorzy często zapominają też, że źródłem rozprzestrzeniania się ransomware’u w firmie bywają lokalne serwery. Dlatego resellerzy powinni zaopatrzyć swoich klientów w takie narzędzia jak
Sophos Server Protection, które zapewnia tworzenie białych list serwerów i uruchomionych na nich aplikacji, co ułatwia blokowanie działania złośliwego kodu.

Kolejny etap to zabezpieczenie serwera poczty elektronicznej, aby nie przepuszczał wiadomości zawierających złośliwy kod w załączniku lub linki do niego. Narzędzia ochronne są w stanie w odpowiednim momencie zwrócić użytkownikom uwagę, że nierozważne klikanie w linki wiadomości e-mail może być zgubne w skutkach. Odpowiednia ochrona powinna być też zaimplementowana na serwerach web.

Warto też pomyśleć o komunikacji między zainstalowanymi systemami ochronnymi. W przypadku rozwiązań marki Sophos wymiana informacji następuje dzięki funkcji Sophos Heartbeat. To zapewnia szybką korelację informacji o pozornie niewiele znaczących wydarzeniach, które w efekcie mogą prowadzić do utraty danych.

Artykuł powstał we współpracy z firmą Sophos.