Działania zapobiegawcze dla firm

Dbaj o aktualizacje systemów operacyjnych i aplikacji na urządzeniach firmowych.

  • Zainstaluj najnowsze poprawki zabezpieczeń i upewnij się, że krytyczne oprogramowanie firmowe jest aktualne, także na urządzeniach mobilnych.
  • Jeżeli to możliwe, włącz opcję automatycznych aktualizacji. Posiadanie najnowszych aktualizacji sprawi, że urządzenia będą nie tylko bezpieczniejsze, ale także bardziej wydajne.
  • Sprawdź, czy posiadasz niezbędne produkty antywirusowe, chroniące także przed złośliwym oprogramowaniem oraz aktualizuj je.
  • Przeprowadzaj regularne skanowanie, aby zapewnić sprawne działanie systemów operacyjnych.
  • Zastanów się nad zastosowaniem scentralizowanego systemu zarządzania poprawkami i użyj strategii oceny opartej na ryzyku. Określ w ten sposób, które systemy powinny znaleźć się w tym systemie.
  • Regularnie twórz kopie zapasowe swoich systemów - zarówno online, jak i offline. Aktualne kopie zapasowe to najskuteczniejszy sposób na odzyskanie sprawności po ataku ransomware.
  • Upewnij się, że tworzysz kopie zapasowe offline, które są przechowywane w innej lokalizacji (najlepiej poza siedzibą firmy), poza Twoją siecią i systemami lub/oraz w przeznaczonej do tego usłudze chmurowej. Należy pamiętać, że oprogramowanie ransomware aktywnie atakuje kopie zapasowe, aby zwiększyć prawdopodobieństwo, że ofiary zapłacą za odzyskanie swoich danych.

Poznaj swoje zasoby i posegreguj je.

Dane wrażliwe należy traktować inaczej niż dane codzienne.

  • Przechowuj poufne dane w wydzielonych lokalizacjach.
  • Wprowadź i zapewnij skuteczną segregację sieci, aby ograniczyć możliwość przechodzenia przeciwników z jednego segmentu sieci do drugiego.
  • Zadbaj o podział obszarów o różnej charakterystyce i profilach bezpieczeństwa, izolując i ograniczając dostęp do tych segmentów, które są bardziej narażone na zagrożenia.

Bezpieczny dostęp do Protokołów Zdalnego Pulpitu (RDP)

Ogranicz dostęp do zasobów za pośrednictwem sieci, zwłaszcza ograniczając RDP. Po odpowiedniej ocenie ryzyka, jeśli RDP jest absolutnie niezbędne dla Twojej organizacji, ogranicz źródła dostępu i wymagaj uwierzytelniania wieloskładnikowego.

Monitoruj eksfiltrację danych.

Wiele kampanii ransomware polega na groźbie udostępnienia danych, aby zachęcić firmy do zapłacenia okupu. Im wcześniej wykryta zostanie eksfiltracja danych, tym mniej szkód może wyrządzić każde ich upublicznienie. Obserwacja eksfiltracji danych zapewnia dokładny wgląd w to, jakie dane są narażone na ryzyko.

Nie ma gwarancji, że atakujący nie udostępni danych ani nie wykorzysta tych samych danych do ponownego szantażu. Rozważ oba możliwe scenariusze niezależnie od tego, czy okup został zapłacony.

Testuj swoje systemy.

Regularnie przeprowadzaj testy penetracyjne dotyczące bezpieczeństwa sieci i sprawdzaj proces przywracania krytycznych informacji, aby upewnić się, że działa on zgodnie z oczekiwaniami.

Zmniejsz prawdopodobieństwo, że złośliwa zawartość dotrze do Twoich sieci.

  • Wyłącz środowiska skryptowe i makra.
  • Skonfiguruj swoje systemy tak, aby aktywnie sprawdzały zawartość. Zezwalaj tylko na określone typy plików, blokując witryny, aplikacje, protokoły itp., które są znane jako złośliwe.
  • Rozważ filtrowanie ruchu sieciowego, wdrożenie zasad monitorowania oraz blokowania nielegalnego lub złośliwego ruchu przed dotarciem do sieci.
  • Zaimplementuj reguły czarnej/białej listy oparte na kanałach analizy zagrożeń działających na żywo, aby uniemożliwić użytkownikom dostęp do złośliwych stron internetowych, złośliwych adresów IP, phishingowych adresów URL, anonimowych serwerów proxy, sieci Tor i innych usług anonimizacji, itp.

Używaj silnych haseł i zmieniaj je regularnie.

  • Liczby, symbole oraz kombinacje wielkich i małych liter pomogą Ci stworzyć silne hasła.
  • Ucz i zachęcaj swoich pracowników do używania silnych haseł zarówno w życiu zawodowym, jak i prywatnym oraz promuj korzystanie z menedżera haseł.

Używaj silnego uwierzytelniania.

Wymagaj uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do kont w sieciach o znaczeniu krytycznym, aby zminimalizować ryzyko dostępu przez skradzione lub zhakowane dane logowania.

Zarządzaj korzystaniem z kont uprzywilejowanych.

  • Ogranicz możliwość instalowania i uruchamiania aplikacji na urządzeniach w sieci firmowej.
  • Upewnij się, że zarówno konta użytkowników, jak i systemowe są ograniczone za pomocą polityki: korzystania z kont, kontroli kont użytkowników i zarządzania dostępem użytkowników uprzywilejowanych.
  • Zorganizuj prawa dostępu w oparciu o zasady najmniejszych przywilejów - musisz znać zasady i podział obowiązków. Potencjalne naruszenie konta użytkownika uprzywilejowanego doprowadziłoby do znacznie większej ekspozycji, w porównaniu ze zwykłym kontem użytkownika.

Zabezpiecz swój sprzęt do pracy zdalnej.

  • Zapewnij wdrożenie środków bezpieczeństwa, takich jak: szyfrowanie dysku twardego, limity czasu bezczynności, ekrany prywatności, silne uwierzytelnianie, wyłączenie Bluetooth oraz kontrola i szyfrowanie nośników wymiennych (np. napędy USB).
  • Zaimplementuj proces zdalnego blokowania dostępu do urządzenia, które zostało zgubione lub skradzione.

Instaluj aplikacje tylko z zaufanych źródeł.

Firmy powinny zezwalać na instalowanie aplikacji jedynie z oficjalnych źródeł na tych urządzeniach mobilnych, które łączą się z siecią firmową. Opcjonalnie, rozważ zbudowanie sklepu z aplikacjami przedsiębiorstwa, za pośrednictwem którego użytkownicy końcowi mogą uzyskiwać dostęp, pobierać i instalować aplikacje zatwierdzone przez firmę. Skonsultuj się ze swoim dostawcą zabezpieczeń w celu uzyskania porady w tym zakresie lub zbuduj własne rozwiązanie.

Uważaj na dostęp do danych firmy za pośrednictwem publicznych sieci Wi-Fi.

Zasadniczo, publiczne sieci Wi-Fi nie są bezpieczne. Jeśli pracownik uzyskuje dostęp do danych firmowych za pomocą bezpłatnego połączenia Wi-Fi na lotnisku lub w kawiarni, dane mogą być narażone na ekspozycję do złośliwych użytkowników. W tym zakresie zaleca się, aby firmy opracowały skuteczne polityki użytkowania sieci.

Zapewnij swoim pracownikom edukację i szkolenie w zakresie cyberbezpieczeństwa.

  • Poinformuj swoich pracowników o polityce firmy w zakresie bezpieczeństwa w Internecie. Poświęć trochę czasu na zwiększenie świadomości na temat cyberzagrożeń, zwłaszcza phishingu i socjotechniki, a także na to, co zrobić, jeśli napotkają podejrzaną aktywność.
  • Rozważ wdrożenie programu szkoleniowego dla użytkowników, który obejmuje symulacje ataków typu spear phishing, aby zniechęcić pracowników do odwiedzania złośliwych witryn internetowych lub otwierania złośliwych załączników.
  • Zapewnij swoim pracownikom bezproblemowy sposób zgłaszania e-maili phishingowych i nagradzania ich, gdy będą to robić. Prosty system wyskakujących okienek z podziękowaniami lub system punktów pomaga pracownikom zachować ostrożność i zgłaszać podejrzane treści.

Zapoznaj się z ubezpieczeniami od odpowiedzialności cybernetycznej.

Rozważ znalezienie agenta ubezpieczeniowego, który oferuje ochronę na wypadek cyberataku.

Włącz lokalne zapory sieciowe.

Włącz lokalne zapory ogniowe (firewall), aby zapobiec nieautoryzowanemu dostępowi.

Wyłącz Windows PowerShell.

Wyłącz program Windows PowerShell, jeśli nie jest używany. Niektóre warianty ransomware używają programu PowerShell do wykonania złośliwego kodu.

Zainfekowany… Co dalej?

  1. 1) Natychmiast rozłącz się ze wszystkich połączeń sieciowych, zarówno przewodowych, bezprzewodowych, jak i komórkowych. Jednak nie wyłączaj zainfekowanych urządzeń.
  2. 2) W bardzo poważnych przypadkach zastanów się, czy nie jest konieczne wyłączenie sieci Wi-Fi, wyłączenie wszelkich połączeń sieci szkieletowej (w tym przełączników) i odłączenie się od Internetu.
  3. 3) Zresetuj poświadczenia, w tym hasła (szczególnie dla kont administratora i innych kont systemowych), ale sprawdź, czy nie blokujesz się przed systemami potrzebnymi do odzyskania.
  4. 4) Zgłoś incydent do policji lub innego właściwego organu.
  5. 5) Zachowaj wszelkie dowody, w porozumieniu z właściwymi organami prowadzącymi dochodzenie w sprawie ataku: utwórz obraz zainfekowanych systemów (forensic image) lub zrzut systemu (system snapshot), utwórz zrzut pamięci RAM zaatakowanych systemów oraz zachowaj wszelkie dzienniki ruchu sieciowego lub inne logi sieciowe.
  6. 6) Odwiedź www.nomoreransom.org, aby sprawdzić, czy Twoja firma nie została zainfekowana jednym z wariantów oprogramowania ransomware, dla którego mamy dostępne bezpłatne narzędzia deszyfrujące. Jeśli w Twoim przypadku jest inaczej, przejdź do etapów odzyskiwania danych.
  7. 7) Bezpiecznie wyczyść zainfekowane urządzenia i ponownie zainstaluj system operacyjny.
  8. 8) Przed przywróceniem danych z kopii zapasowej sprawdź, czy jest ona wolna od złośliwego oprogramowania. Należy przywracać tylko wtedy, gdy masz pewność, że kopia zapasowa i urządzenie, do którego ją podłączasz, są bezpieczne.
  9. 9) Podłącz urządzenia do bezpiecznej sieci, aby pobrać, zainstalować i zaktualizować system operacyjny i całe inne oprogramowanie.
  10. 10) Zainstaluj, zaktualizuj i uruchom oprogramowanie antywirusowe.
  11. 11) Połącz się ponownie z własną siecią.
  12. 12) Monitoruj ruch sieciowy i uruchom skanowanie antywirusowe, aby określić, czy nadal istnieje jakakolwiek infekcja.