Tartsa naprakészen a vállalati eszközök operációs rendszereit és alkalmazásait.
- Alkalmazza a legújabb biztonsági javításokat, és gondoskodjon a kritikus szoftverek naprakészségéről, beleértve a mobileszközöket is.
- Ha lehetséges, engedélyezze az automatikus frissítések lehetőségét. A legfrissebb frissítésekkel biztosíthatja, hogy az eszközök ne csak biztonságosabbak legyenek, hanem jobban is teljesítsenek.
- Mérje fel, hogy szükség van-e vírusirtó és anti-malware programokra, és tartsa őket naprakészen .
- Rendszeresen végezzen vizsgálatokat az operációs rendszerek hatékony működésének biztosítása érdekében.
- Fontolja meg egy központi frissítéskezelő rendszer használatát, és használjon kockázatalapú értékelési stratégiát annak meghatározásához, hogy mely rendszerek legyenek a frissítéskezelő program részei.
- Rendszeresen készítsen biztonsági másolatot online és offline is. A naprakész biztonsági másolat a leghatékonyabb módja a helyreállításnak a zsarolóvírus támadás után.
- Győződjön meg arról, hogy készül offline biztonsági másolat, melyet más helyen (ideális esetben az eredeti hálózattól és rendszerektől távoli helyszínen) tartanak, és / vagy egy erre a célra tervezett felhőszolgáltatásban. Ne feledje, hogy a zsarolóvírus aktívan célozza a biztonsági mentéseket, hogy növelje annak valószínűségét, hogy az áldozatok fizetnek az adatok lekéréséért.
Ismerje eszközeit, és kezelje őket megosztva.
Az érzékeny adatokat a mindennaposan használt adatoktól eltérően kell kezelni.
- Tárolja a bizalmas adatokat elosztva.
- A hatékony hálózati szegmentálás megvalósítása és biztosítása annak érdekében, hogy korlátozzuk az támadók azon képességét, hogy a hálózat egyik szegmenséből a másikba juthassanak.
- Biztosítsa a különböző jellemzőkkel és biztonsági profilokkal rendelkező területek szétválasztását, elkülönítve és korlátozva a fenyegetéseknek jobban kitett szegmensek hozzáférését.
Biztonságos hozzáférés a távoli asztal protokollokhoz (RDP)
Korlátozza az erőforrásokhoz való hozzáférést a hálózatokon keresztül, különösen az RDP (távoli asztal kapcsolat) korlátozásával. Megfelelő kockázatértékelés után, ha az RDP-t feltétlenül szükségesnek tartják a szervezete számára, korlátozza a hozzáférést és alkalmazzon többtényezős hitelesítést .
Figyelje az adatok kiszivárgását.
Számos zsarolóvírus-kampány azzal fenyeget, hogy a megszerzett adatokat nyilvánosságra hozzák, így ösztönözve a vállalkozásokat a váltságdíj fizetésére. Minél korábban észlelték az adatok kiszűrését, annál kevesebb kárt okozhat minden további zsarolóvírus verzió. Az adatszivárgás figyelése segítséget nyújt abban, hogy pontosan mely adatok vannak kockázatnak kitéve .
Nincs garancia arra, hogy a támadó nem adja ki az adatokat, vagy nem használja fel ugyanazokat az adatokat további zsarolás céljából. Vegye figyelembe mindkét forgatókönyvet, függetlenül attól, hogy a váltságdíjat kifizetik-e.
Tesztelje rendszereit.
Rendszeresen végezzen sérülékenységvizsgálatot hálózatán, és hajtson végre teszteket a kritikus információk helyreállításának folyamatában annak biztosítása érdekében, hogy az a várt módon működjön.
Csökkentse annak valószínűségét, hogy a rosszindulatú tartalom bejusson a hálózatába.
- Tiltsa le a szkriptelési lehetőségeket és makrókat.
- Állítsa be a rendszereit a tartalom aktív ellenőrzésére, csak bizonyos fájltípusok engedélyezésével és a rosszindulatú webhelyek, alkalmazások, protokollok stb. blokkolásával.
- Hálózati szinten fontolja meg a hálózati forgalom szűrését, házirendek bevezetését a gyanús vagy rosszindulatú forgalom hálózatba jutásának megfigyelésére, szűrésére és megakadályozására.
- Vezessen be el az élő fenyegetésekkel kapcsolatos hírcsatornákon alapuló feketelistázási / engedélyezőlistázási szabályokat annak megakadályozása érdekében, hogy a felhasználók hozzáférjenek rosszindulatú webhelyekhez, rosszindulatú IP-címekhez, adathalász URL-ekhez, névtelen proxykhoz, a Tor hálózatához és más anonimizáló szolgáltatásokhoz, stb.
Használjon bonyolult jelszavakat, és rendszeresen változtassa meg őket.
- Számok, szimbólumok, valamint a kis- és nagybetűk kombinációi segítenek az erős jelszavak létrehozásában.
- Képezze és ösztönözze alkalmazottait, hogy mind a szakmai, mind a magánéletben erős jelszavakat használjanak, és használjanak jelszókezelőt.
Használjon erős hitelesítést, jelszavakat.
Követelje meg többfaktoros azonosítást a kritikus hálózatok fiókjaihoz való hozzáféréshez, hogy az ellopott vagy feltört hitelesítő adatok révén minimalizálhassa a hozzáférés kockázatát.
Menedzselje a magas jogosultságú fiókok használatát.
- Korlátozza alkalmazottainak a szoftveralkalmazások telepítését és futtatását a vállalati hálózatba kapcsolt eszközökön.
- Győződjön meg arról, hogy a felhasználói és rendszerfiókok korlátozottak a fiókhasználati házirendek, a felhasználói fiókok felügyelete és a magas jogosultságú felhasználók hozzáférés-kezelése révén.
- Határozza meg a hozzáférési jogosultságokat a szükséges minimum hozzáférés, a feltétlenül szükséges ismeretekhez való hozzáférés és a feladatok elkülönítése elvei alapján. A magas jogosultságú felhasználói fiók esetleges veszélyeztetése sokkal nagyobb kitettséghez vezetne, mint egy egyszerű felhasználói fióké.
Biztosítsa a távmunkához használt eszközöket.
- Olyan óvintézkedéseket hajtson végre, mint a merevlemez-titkosítás, az inaktivitás időkorlátja, betekintéstől védett képernyők, az erős hitelesítés, a Bluetooth kikapcsolása és a cserélhető adathordozók ellenőrzése és titkosítása (pl. USB-meghajtók).
- Vezessen be megfelelő protokollt az elveszett vagy ellopott eszköz hozzáférésének távolról történő letiltására.
Alkalmazásokat csak megbízható forrásokból telepítsen.
A vállalatok csak eredeti forrásokból származó alkalmazások telepítését engedélyezhetik azokon a mobil eszközökön, amelyek csatlakoznak a vállalati hálózathoz. Opcióként fontolja meg egy vállalati alkalmazásbolt létrehozását, amelyen keresztül a végfelhasználók hozzáférhetnek, letölthetik és telepíthetik a vállalat által jóváhagyott alkalmazásokat. Kérjen tanácsot információbiztonsági szolgáltatótól, vagy oldja ezt meg belső erőforrásokkal.
Legyen elővigyázatos, ha a vállalati adatokat nyilvános Wi-Fi hálózatokon keresztül próbálja elérni.
Általában a nyilvános Wi-Fi hálózatok nem biztonságosak. Ha egy alkalmazott ingyenes, nyílt Wi-Fi-kapcsolaton keresztül fér hozzá a vállalati adatokhoz egy repülőtéren vagy egy kávézóban, az adatokat rosszindulatú felhasználók is elérhetik. Javasoljuk, hogy a vállalatok dolgozzanak ki hatékony szabályzatokat ebben a tekintetben.
Biztosítson munkatársainak kiberbiztonsági oktatást és biztonságtudatossági képzést.
- Oktassa alkalmazottait a vállalat online biztonságra vonatkozó politikájáról. Szánjon időt arra, hogy felhívja a figyelmet a kiberfenyegetésekre, különös tekintettel az adathalászatra és a social engineering-re, valamint arra, hogy mit kell tenni, ha gyanús tevékenységre bukkannak.
- Fontolja meg egy olyan felhasználói képzési program bevezetését, amely szimulált adathalász támadásokat tartalmaz, hogy visszatartsa az alkalmazottakat a rosszindulatú webhelyek felkeresésétől vagy a rosszindulatú mellékletek megnyitásától.
- Biztosítsa munkatársainak az adathalász e-mailek jelentésének zökkenőmentes módját és jutalmazza őket, amikor ezt megteszik. Az egyszerű "köszönöm" felugró ablak vagy pontrendszer elősegíti az alkalmazottak óvatosságát és a gyanús elemek jelentését.
Kössön kibervédelmi felelősségbiztosítást.
Keressen olyan biztosítási ügynököt, aki fedezetet kínál kibertámadás esetén.
Kapcsolja be a helyi tűzfalakat.
Kapcsolja be a helyi tűzfalakat az illetéktelen hozzáférés elleni védelem érdekében.
Tiltsa le a Windows PowerShell alkalmazást.
Tiltsa le a Windows PowerShell alkalmazást, ha az nincs használatban. Egyes zsarolóvírus változatok a PowerShell-t használják tevékenységük során.
Fertőzött lett a rendszer... Mi a következő lépés?
- 1) Azonnal válassza le a hálózatról, de ne kapcsolja ki a fertőzött eszközt (eszközöket), legyen az vezetékes, vezeték nélküli vagy mobileszköz.
- 2) Nagyon súlyos esetekben fontolja meg, hogy szükséges lehet-e a Wi-Fi kikapcsolása, az alapvető hálózati kapcsolatok (beleértve a hálózati switch-eket is) letiltása és az internetről való leválasztás.
- 3) Állítsa alaphelyzetbe a hitelesítő adatokat, beleértve a jelszavakat (különösen az adminisztrátorok és más rendszerfiókok esetében), de ellenőrizze, hogy nem zárja ki magát a helyreállításhoz szükséges rendszerektől.
- 4) Tegyen feljelentést a rendőrségnél, vagy más illetékes hatóságnál.
- 5) Rögzítsen minden bizonyítékot, a támadást kivizsgáló illetékes hatóságokkal együttműködve: készítsen bitazonos másolatot az érintett rendszerekről (vagy egy rendszer pillanatképét), hozzon létre RAM-mentést az érintett rendszerekről, és őrizze meg a netflow vagy más hálózati forgalmi naplókat.
- 6) Látogasson el a www.nomoreransom.org oldalra, és ellenőrizze, hogy vállalkozását olyan zsarolóvírus variáns fertőzte-e meg, amelyhez elérhető feloldó kulcs ingyenesen. Ha nem talál feloldó kulcsot, folytassa a helyreállítási lépéseket.
- 7) Törölje biztonságosan a fertőzött eszközöket, és telepítse újra az operációs rendszert.
- 8) Mielőtt visszaállítana egy biztonsági másolatról, ellenőrizze, hogy az mentes-e bármilyen rosszindulatú programtól. Csak akkor kezdje meg a helyreállítást, ha teljesen biztos abban, hogy a biztonsági másolat és az eszköz, amelyhez csatlakoztatja, nem fertőzött.
- 9) Csatlakoztassa az eszközöket fertőzésmentes hálózathoz új operációs rendszer és az összes többi szoftver letöltéséhez, telepítéséhez és frissítéséhez.
- 10) Telepítsen, frissítsen, majd futtasson le megfelelő víruskereső szoftvert.
- 11) Csatlakozzon újra a hálózathoz.
- 12) Figyelje a hálózati forgalmat, és futtasson vírus-keresést, hogy meggyőződjön arról, hogy maradt-e zsarolóvírus által fertőzött elem.