Skadebegrensning for virksomheter

Hold enheter på virksomhetens operativssytemer og applikasjoner oppdatert.

  • Ta i bruk de nyeste sikkerhetsoppdateringene og forsikre deg om at kritisk programvare er oppdatert. Dette inkluderer mobile enheter.
  • Aktiver valg om automatiske oppdateringer hvis mulig. De nyeste oppdateringene vil forsikre at enheten ikke bare er mer sikker, men også yter bedre.
  • Vurder hvorvidt antivirus- og antiskadevareprodukter kreves og hold de oppdatert.
  • Utfør regelmessige skanninger for å forsikre at operativsystemet ditt fungerer slik det skal.
  • Vurder bruken av et sentralisert Patch Management System, og bruk en risikobasert vurderingsstrategi for å avgjøre hvilke systemer som bør være del av Patch Management-programmet.
  • Sikkerhetskopier systemene dine jevnlig, både online og offline. Oppdaterte sikkerhetskopier er den mest effektive måten å innhente seg på etter et løsepengevirusangrep.
  • Forsikre deg om at du har offline sikkerhetskopier som er oppbevart på et annet sted (helst offsite) enn både nettverk og systemer, og/eller i en skytjeneste designet for nettopp dette. Husk at løsepengevirus aktivt retter seg mot sikkerhetskopier for å øke sannsynligheten for at man betaler for å få tilbake dataene.

Ha kjennskap til dine aktiva og adskill dem.

Sensitive data må behandles annerledes enn ikke-sensitive data.

  • Lagre sensitive data på adskilte lokasjoner.
  • Implementer og sørg for effektiv nettverkssegregering for å redusere uønskede aktører fra å bevege seg fra et segment i nettverket til et annet.
  • Sørg for ås adskille områder med ulike karakteristikker og sikkerhetsprofiler, isoler og begrens adgang til de segmentene som er størst utsatt for trusler.

Sikre adgang til Remote Desktop Protocols (RDPs)

Reduser tilgang til ressurser over nettverk, spesielt ved å begrense RDP. Begrens de opprinnelige kildene og krev flerfaktor-autentisering hvis RDP er ansett som nødvendig for din organisasjon etter en grundig risikovurdering.

Monitorer datauthenting.

Mange løsepengevirus-kampanjer kommer med trusler om å publisere data for å få bedrifter til å betale løsepengene. Jo tidligere datauthentingen oppdages, desto mindre skade vil en publisering gjøre. Å se etter datauthenting gir innsikt i hvilken konkret data som risikerer å bli eksponert.

Det er ingen garanti for at angriperen ikke vil publisere eller gjenbruke dataen for ytterligere utpressing. Anse begge scenarier som mulig, uavhengig av om løsepengene er betalt eller ei.

Test systemene dine.

Kjør regelmessige penetrasjonstester mot egen nettverkssikkerhet, og utfør tester i den kritiske informasjonsgjenopprettelsesprosessen for å forsikre at det fungerer som forventet.

Reduser sannsynligheten av at ondsinnet innhold når nettverkene dine.

  • Deaktiver skriptmiljøer og makroer.
  • Konfiguer systemene dine til å aktivt undersøke innhold, for å tillate spesifikke filtyper og blokkere ondsinnede nettsider, applikasjoner, protokoller, ol.
  • På nettverksnivå bør du vurdere å filtrere nettverkstrafikk, implementere policyer for å overvåke, filtrere og blokkere falsk eller ondsinnet trafikk som forsøker å nå nettverkene dine.
  • Implementer regelverk for black- og whitelisting basert på oppdatert trusseletterretningsinformasjon, for å forhindre at brukere får tilgang til ondsinnede nettsider, IP-adresser, Phishing-URL'er, anonyme proxyer, Tor-nettverket og andre anonymiserte tjenester osv.

Bruk sterke passord og endre disse regelmessig.

  • Tall, symboler og kombinasjoner av store og små bokstaver vil bidra til å styrke passord.
  • Tren og oppmuntre ansatte til å bruke sterke passord både i privat og profesjonelle sammenheng, og oppfordre til bruk av Password Manager.

Bruk sterk autentisering.

For å minimere risiko for tilgang til stjålet eller hacket brukerinformasjon, bør det kreves flerfaktor-autentisering for å få tilgang til kontoer i kritiske nettverk.

Administrer bruken av privilegerte kontoer.

  • Begrens dine ansattes mulighet til å installere og kjøre programvareapplikasjoner på bedriftens nettverksenheter.
  • Sørg for at bruker- og systemkontoer er begrenset via kontopolicyer, brukerkontokontroll og kontroll av privilegert brukertilgang.
  • Organiser tilgangsrettigheter slik at brukere ikke skal jobbe med flere privilegier eller rettigheter enn nødvendig, gjerne etter need-to-know-prinsipper og segregering av plikter. En potensiell kompromittering av en privilegert brukerkonto vil føre til større eksponering sammenliknet med en enklere brukerkonto.

Sikre utstyret ditt til fjernarbeid.

  • Implementer tiltak som kryptering av harddisker, timeouts for inaktivitet, skjermfilter, sterk autentisering, deaktivering av Bluetooth og flyttbare mediekontroller og kryptering (f.eks. minnepenner).
  • Implementer en prosess for å eksternt kunne deaktivere tilgang til en enhet som er mistet eller stjålet.

Innstaller applikasjoner kun fra troverdige kilder.

Bedrifter bør kun tillate installasjon av applikasjoner fra offisielle kilder på mobile enheter som er koblet til bedriftens nettverk. En mulighet som kan vurderes er å bygge en applikasjonsbutikk for bedriften, hvor brukere har tilgang og kan laste ned og installere applikasjoner som er godkjent av bedriften. Konsulter din sikkerhetsleverandør for råd, eller opprett en slik rolle internt.

Vær forsiktig når du arbeider med bedriftsdata via offentlig WiFi-nettverk.

Offentlige WiFi-nettverk er generelt ikke sikre. Hvis en ansatt åpner bedriftsdata via en åpen WiFi-tilkobling på en flyplass eller kaffebar, kan dataen være eksponert for ondsinnede brukere. Det er anbefalt at bedrifter utvikler effektive brukerpolicyer i denne sammenheng.

Gi dine ansatte trening og kursing innenfor datasikkerhet og øk bevisstheten rundt dette.

  • Lær dine ansatte om bedriftens policy for sikkerhet på nett. Bruk tid på å øke bevisstheten rundt datatrusler, særlig phishing og sosial manipulasjon, samt brukerverktøy for hva de skal gjøre hvis de kommer over mistenkelig aktivitet.
  • Vurder å implementere et treningsprogram som inkluderer simulerte angrep for Spear Phishing for å forhindre at ansatte besøker ondsinnede nettsider eller åpne ondsinnede vedlegg.
  • Gi ansatte en sømløs måte å rapportere Phishing-mailer og belønn dem når de gjør det. En enkel pop-up som sier takk eller et poengsystem kan bidra til at ansatte er aktsomme og rapporterer mistenkeligheter.

Utforsk muligheten for forsikring mot datakriminalitet.

Vurder et forsikringsselskap som tilbyr dekning ved et dataangrep.

Aktiver lokale brannmurer.

Aktiver lokale brannmurer for å motvirke uautorisert tilgang.

Deaktiver Windows PowerShell.

Deaktiver Windows PowerShell hvis dette ikke er i bruk. Noen varianter av løsepengevirus bruker PowerShell for å gjennomføre angrep.

Infisert... Hva er neste steg?

  1. 1) Koble fra alle nettverksforbindelser øyeblikkelig, både kablet, trådløst eller mobiltelefonbasert, men ikke slå av de infiserte enhetene.
  2. 2) I alvorlige tilfeller, bør du vurdere å skru av WiFi, koble fra nettverkskontaktpunkter (inkludert switcher) og koble fra internett hvis nødvendig.
  3. 3) Nullstill legitimering, inkludert passord (særlig for administrator- og andre systemkontoer), men forsikre deg om at du ikke låser deg selv ut av systemer som er nødvendig for gjenoppretting.
  4. 4) Rapporter hendelsen til din nasjonale politienhet eller andre relevante myndigheter.
  5. 5) Bevar alle beviser i samråd med myndighetene mens angrepet etterforskes: etabler en oversikt over dine berørte systemer for etterforskningen (eller en skjermdump av systemene), opprett en minnedump av berørte systemer og bevar en hver netflow eller andre logger av nettverkstrafikk.
  6. 6) Besøk www.nomoreransom.org for å undersøke om vi har gratis tilgjengelige dekrypteringsverktøy for en av løsepengervirus-variantene din bedrift har blitt infisert av. Hvis dette ikke er tilfelle, fortsett med gjenopprettelsesstegene.
  7. 7) Gjør en grundig rens av alle infiserte enheter, og reinstaller operativsystemet.
  8. 8) Før du gjenoppretter fra en sikkerhetskopi, verifiser at den er fri fra skadevare. Du bør bare gjenopprette hvis du er sikker på at sikkerhetskopien og enheten du kobler den til er ren.
  9. 9) Koble enheter til et rent nettverk for nedlasting, installasjon og oppdatering av operativsystemet og all annen programvare.
  10. 10) Installer, oppdater og kjør antivirusprogramvare.
  11. 11) Koble til nettverk.
  12. 12) Monitorer nettverkstrafikken og kjør antivirusskanninger for å identifisere gjenværende infeksjon.