Udržujte operační systémy a aplikace podnikových zařízení aktualizované.
- Aplikujte nejnovější bezpečnostní záplaty a zajistěte, aby byl kritický software aktuální, a to i na mobilních zařízeních.
- Pokud je to možné, povolte možnost automatických aktualizací. Díky nejnovějším aktualizacím zajistíte, že zařízení budou nejen bezpečnější, ale také budou mít lepší výkon.
- Vyhodnoťte, zda jsou požadovány antivirové a antimalwarové produkty, a udržujte je v aktuálním stavu.
- Provádějte pravidelné kontroly, abyste zajistili, že vaše operační systémy fungují efektivně.
- Zvažte použití centralizovaného systému správy aktualizací a použijte strategii zhodnocení rizik k určení, které systémy by měly být součástí programu údržby aktualizací.
- Pravidelně zálohujte své systémy, online i offline. Nejefektivnějším způsobem obnovy po útoku ransomwarem jsou aktuální zálohy.
- Ujistěte se, že vytváříte offline zálohy, které jsou uchovávány na jiném místě (ideálně mimo server), než ve vaší síti a systémech, a / nebo v cloudové službě určené pro tento účel. Pamatujte, že ransomware aktivně cílí na zálohy, aby byla zvýšena pravděpodobnost, že oběti zaplatí za obnovení svých dat.
Poznejte svá aktiva a rozdělte je.
S citlivými daty je třeba zacházet odlišně od běžných dat.
- Ukládejte citlivá data v oddělených umístěních.
- Implementujte a zajistěte účinnou segmentaci sítě, abyste omezili schopnost protivníků procházet z jednoho segmentu do druhého.
- Zajistěte rozdělení oblastí s různými charakteristikami a bezpečnostními profily. K tomu je možné využít izolaci a omezení přístupu k těm segmentům, které jsou více vystaveny riziku napadení.
Zabezpečte přístup k protokolům vzdálené plochy (RDP)
Omezte přístup k datům prostřednictvím sítí, zejména omezením RDP. Po řádném vyhodnocení rizik zvažte, zda je RDP pro vaši organizaci absolutně nezbytné, a v případě kladného výsledku postupujte tak, že omezíte původní zdroje a budete vyžadovat vícefaktorové ověřování.
Monitorujte nežádoucí únik dat.
Mnoho ransomwarových kampaní přichází s hrozbou zveřejnění dat, aby donutilo napadené podniky k placení výkupného. Čím dříve je detekován nežádoucí únik dat, tím menší poškození může jakékoli zveřejnění způsobit. Sledování úniku dat poskytuje přehled o tom, jakým datům hrozí riziko zneužití.
Neexistuje žádná záruka, že útočník data nezveřejnění nebo znovu nepoužije k dalšímu vydírání. Zvažte oba možné scénáře bez ohledu na to, zda je výkupné zaplaceno.
Otestujte své systémy.
Pravidelně provádějte penetrační testy vaší sítě za účelem zjištění míry jejich zabezpečení, a zároveň provádějte testy nastavených procesů obnovy dat ze záloh, abyste se ujistili, že obnovení dat funguje dle nastavených procesů.
Snižte pravděpodobnost, že se do vašich sítí dostane škodlivý obsah.
- Zakažte skriptovací prostředí a makra.
- Nakonfigurujte své systémy tak, aby aktivně kontrolovaly obsah a povolily pouze určité typy souborů a blokovaly weby, aplikace, protokoly atd., o nichž je známo, že jsou škodlivé.
- Na úrovni sítě zvažte filtrování síťového provozu, implementaci zásad pro monitorování, filtrování a blokování neoprávněného nebo škodlivého provozu v rámci přístupu k vašim sítím.
- Implementujte pravidla pro černou listinu / bílou listinu na základě aktuálních zpravodajských informací o hrozbách, abyste zabránili uživatelům v přístupu na škodlivé webové stránky, škodlivé IP adresy, phishingové adresy URL, anonymní proxy, síť Tor a další anonymizační služby, atd.
Používejte posílená hesla a pravidelně je měňte.
- Čísla, symboly a kombinace velkých a malých písmen vám pomohou vytvořit silnější hesla.
- Vyškolte a motivujte své zaměstnance k používání silných hesel v pracovním i soukromém životě a propagujte používání správce hesel.
Použijte silné ověřování.
Vyžadujte vícefaktorové ověřování pro přístup k účtům v kritických sítích, aby se minimalizovalo riziko přístupu prostřednictvím odcizených nebo hacknutých přihlašovacích údajů.
Spravujte používání privilegovaných účtů.
- Omezte schopnost svých zaměstnanců instalovat a spouštět softwarové aplikace na podnikových síťových zařízeních.
- Zajistěte, aby byly uživatelské a systémové účty omezeny zásadami používání účtů, kontrolou uživatelských účtů a správou přístupu privilegovaných uživatelů.
- Nastavte přístupová práva uživatelů od základních až po privilegované, dále užijte zásadu “need to know” (zaměstnanci náleží znalost pouze těch informací, které potřebuje ke své práci) a oddělte povinnosti dle úrovně pozice zaměstnance. Potenciální kompromitace privilegovaného uživatelského účtu by vedla k mnohem většímu riziku v porovnání se základním uživatelským účtem.
Zabezpečte svá zařízení umožňující komunikaci v síti.
- Implementujte opatření, jako je šifrování pevného disku, vypršení časového limitu nečinnosti zařízení, ochrana zobrazování soukromí na ploše, silné ověřování přístupů, deaktivace Bluetooth, a kontrola a šifrování přenosných médií (např. USB disky).
- Implementujte schopnost vzdáleného uzamknutí zařízení, které bylo ztraceno nebo odcizeno.
Instalujte aplikace pouze z důvěryhodných zdrojů.
Na ta mobilní zařízení, která se připojují k podnikové síti, by společnosti měly povolit instalaci aplikací pouze z oficiálních zdrojů. Jako možnost zvažte vytvoření podnikového portálu s aplikacemi, prostřednictvím kterého mohou koncoví uživatelé přistupovat, stahovat a instalovat aplikace schválené společností. Poraďte se se svým prodejcem bezpečnostního softwaru nebo si vytvořte vlastní bezpečnostní systém.
Buďte opatrní při přístupu k firemním datům prostřednictvím veřejných sítí Wi-Fi.
Veřejné sítě Wi-Fi obecně nejsou zabezpečené. Pokud zaměstnanec přistupuje k podnikovým datům pomocí bezplatného připojení Wi-Fi na letišti nebo v kavárně, mohou být data vystavena potencionálním útočníkům. Doporučuje se, aby společnosti v tomto ohledu vytvářely účinné zásady vnitřní bezpečnostní politiky.
Poskytněte svým zaměstnancům vzdělávání a školení v oblasti kybernetické bezpečnosti.
- Poučte své zaměstnance o zásadách společnosti v oblasti online bezpečnosti. Udělejte si čas na zvýšení povědomí o kybernetických hrozbách, zejména phishingu a sociálním inženýrství, a také o tom, co dělat, když narazí na podezřelou aktivitu.
- Zvažte implementaci testovacího programu pro uživatele, který zahrnuje simulované útoky formou spearphishingu, aby zaměstnance odradil od návštěvy škodlivých webů nebo otevírání škodlivých příloh.
- Poskytněte svým zaměstnancům bezproblémový způsob hlášení phishingových e-mailů a motivujte je, aby tak učinili. Jednoduchý vyskakovací nebo bodový systém s poděkováním pomáhá zaměstnancům dávat si pozor a hlásit, co jim připadá podezřelé.
Prozkoumejte vhodné nabídky pojištění kybernetické odpovědnosti.
Zvažte pořízení vhodného pojištění, které vám umožní dostatečné krytí v případě kybernetického útoku.
Zapněte lokální bránu firewall.
Chcete-li zabránit neoprávněnému přístupu, zapněte lokální bránu firewall.
Zakažte prostředí Windows PowerShell.
Pokud se nepoužívá, vypněte Windows PowerShell. Některé varianty ransomwaru používají PowerShell ke spuštění.
Co dělat v případě infekce ransomwarem?
- 1) Okamžitě odpojte, ale nevypínejte, infikované(-á) zařízení od všech síťových připojení, ať už kabelových, bezdrátových nebo mobilních.
- 2) Ve velmi závažných případech zvažte odpojení od sítě Wi-Fi, deaktivování připojení k páteřním sítím (včetně zařízení switch) a odpojení se od internetu.
- 3) Resetujte přihlašovací údaje, včetně hesel (zejména pro administrátorské a další systémové účty), ale zabezpečte, že si neuzavíráte cestu do systémů důležitých pro obnovení.
- 4) Incident nahlaste své národní policii a příslušnému úřadu pro kybernetickou a informační bezpečnost.
- 5) Uchovejte veškeré důkazy v koordinaci s příslušnými orgány vyšetřujícími kybernetický útok: vytvořte forenzní obraz postižených systémů (nebo snímek systému), vytvořte výpis paměti RAM postižených systémů, vytvořte zálohu systémových disků a uchovejte síťový tok (netflow) nebo jiné zájmové protokoly síťového provozu.
- 6) Navštivte www.nomoreransom.org a zkontrolujte, zda byla vaše firma infikována jednou z variant ransomwaru, pro kterou máme zdarma k dispozici dešifrovací nástroje. Pokud tomu tak není, pokračujte kroky k obnovení.
- 7) Bezpečně smažte infikovaná zařízení a znovu nainstalujte operační systém.
- 8) Před obnovením ze zálohy ověřte, zda neobsahuje žádný malware. Obnovit byste měli, pouze pokud jste si velmi jisti, že záloha a zařízení, ke kterému ji připojujete, jsou čisté.
- 9) Připojte zařízení k čisté síti a stáhněte, nainstalujte a aktualizujte operační systém a veškerý další software.
- 10) Nainstalujte, aktualizujte a spusťte antivirový software.
- 11) Znovu se připojte k síti.
- 12) Monitorujte síťový provoz a spusťte antivirové kontroly, abyste zjistili, zda nepřetrvává nějaká infekce.