Как защитить бизнес от кибератак?
Представите, что вы занимаетесь своими повседневными рабочими делами, сталкиваясь с натиском внутренних и внешних проблем, успешно завершаете объем работ, над которым так долго трудились. И на следующий день злоумышленники сообщают вам, что ваши данные или системы зашифрованы и теперь вы "должны" им просто непостижимые суммы.
Очевидно, что такие случаи чрезвычайно вредны для бизнеса, его сотрудников, партнеров и клиентов. К тому же, в наше время, они совсем не редкость. То, что когда-то было менее масштабным методом атаки, нацеленным на обычных людей, пользователей Интернет, теперь используется против предприятий и их активов.
Следующие простые, но эффективные стратегии могут помочь вашему бизнесу снизить риск и серьезность атак вымогателей.
01. Выберите правильное решение Endpoint Security
- Не все Endpoint Security одинаково полезны 😁
Убедитесь, что вы выбрали решение, которое работает. Оно не должно быть лучшим, оно должно хорошо работать и учитывать специфику бизнеса и ваших уникальных требований. Также необходимо убедиться, что решение Endpoint Security правильно развернуто по всей организации.
Большинство решений Endpoint Security защищают от автоматических и ручных угроз, используя следующие ключевые возможности:
Печальная истина заключается в том, что каждое из решений endpoint security на рынке не обладает одинаковым уровнем анализа угроз и не работает с одинаковым уровнем эффективности.
Если вы не уверены в том, какое решение выбрать, я настоятельно рекомендую вам привлечь кого-то знающего, кто может помочь вам сделать правильный выбор.
О самых эффективных решениях Endpoint Security, представленных на рынке в данным момент, я расскажу в одной из следующих статей, приведя подробную аналитику, сравнения и преимущества для различных отраслей.
02. Отслеживайте изменения в Active Directory (особенно групповых политик)
В каждом из недавних мероприятий, связанных с вымогательством, которые я проводил, я замечал, что клиент не отслеживает изменения в Active Directory® (AD), особенно в групповых политиках.
В каждом случае злоумышленники изменяли существующую групповую политику, чтобы создать запланированное задание, которое будет запускать исполняемый файл в будущем. На сегодня это самый простой и быстрый способ распространения атаки.
Мониторинг изменений AD, особенно в нерабочее время и в выходные дни, является очень эффективным способом выявления признаков атаки до того, как она выйдет из-под контроля.
03. Реализуйте стратегию изоляции рабочих станций
Это, на мой взгляд, самая эффективная стратегия для смягчения рисков и последствий перемещения вредоносов в любой среде.
Положение безопасности по умолчанию для большинства организаций позволяет рабочим станциям в одной подсети (в некоторых случаях в масштабах предприятия) обмениваться данными друг с другом. Задумайтесь - есть ли причина, по которой рабочая станция должна иметь возможность взаимодействовать с другой рабочей станцией? Ответ обычно - «нет», поскольку большинство сетевых коммуникаций - это клиенты (то есть рабочие станции или серверы), которые обращаются к серверам (то есть локально или в облаке).
С учетом этого, если вы ограничиваете связь между рабочими станциями, скомпрометированная рабочая станция (нулевой пациент) не может использоваться в качестве агента угроз для атаки на другие рабочие станции. "Нулевой пациент" сможет ориентироваться только на ресурсы сервера, что должно упростить обнаружение атаки при условии надлежащего усиления защиты сервера и технических средств контроля.
Большинство сред уже имеют доступ к идеальному решению в брандмауэре Windows® Defender Firewall, которым можно управлять с помощью групповых политик AD. Это может быть частью более широкой стратегии укрепления конечных точек, которую многие компании не предпринимали. Изоляция рабочей станции является очень эффективной стратегией безопасности.
04. Реализуйте программу управления уязвимостями
Обратите внимание, я не говорю «патч». Хотя исправления чрезвычайно важны, этого недостаточно.
Пробелы в безопасности также могут быть связаны с конфигурацией. У вас могут быть самые современные системы/приложения на планете, но если ваши внутренние системы используют небезопасные протоколы, такие как NTLMv1, это катастрофа, ожидающая своего часа.
Я рекомендую организациям внедрить программу непрерывного управления уязвимостями, включающую регулярное сканирование внешних и внутренних активов, а также установление приоритетов для исправления на основе серьезности выявленных уязвимостей, которые могут быть или не быть связаны с исправлениями.
После этого вносите соответствующие исправления.
05. Реализуйте многофакторную аутентификацию (MFA)
Да, все мы прекрасно знаем, как важно использовать надежные пароли, но в том-то и дело, что одних паролей недостаточно.
В каждом инциденте, на который я реагировал, MFA не использовался. Если вы используете пароли только для аутентификации пользователя, даже если это надежные пароли, вы рискуете. Требование двухфакторной аутентификации помогает гарантировать идентичность, поскольку злоумышленнику обычно сложнее это реализовать.
06. Регулярно делайте резервные копии в автономном режиме
Резервные копии должны быть полными и регулярно выполняться с автономными копиями. Это означает, что автономные копии не имеют постоянной адресации и недоступны из производственных сетей.
В одном случае корпоративное решение резервного копирования клиента было полностью удалено злоумышленниками, однако их автономные резервные копии в облаке буквально спасли их от нескольких тысяч долларов оплаты вымогателям.
В другом случае клиент должен был заплатить несколько сотен тысяч долларов, так как у них не было другого выбора из-за критичности зашифрованных бизнес-систем.
Конечно, есть множество вещей, не входящих в этот список, которые могут служить дополнительной защитой от вымогателей. Цель здесь состоит в том, чтобы суммировать некоторые простые и эффективные стратегии, которые могут быть легко реализованы, чтобы обеспечить быстрые победы в войне против вымогателей.
Я надеюсь, что эта информация поможет вашему бизнесу не стать следующей жертвой, поскольку ни один бизнес не заслуживает стресса, затрат и репутационного ущерба, которые могут быть нанесены.
