Măsuri de atenuare a riscurilor pentru companii

Actualizează sistemele de operare ale dispozitivelor și aplicațiile utilizate.

  • Aplică ultimele patch-uri de securitate și asigură-te că programele software sunt actualizate, inclusiv pe dispozitivele mobile.
  • Permite efectuarea de actualizări automate. Instalând ultimele actualizări nu vei avea doar dispozitivele mai sigure, ci vor funcționa și mai bine.
  • Analizează dacă soluțiile antivirus sau anti-malware sunt necesare și actualizează-le.
  • Realizează scanări periodice pentru a te asigura că sistemele de operare funcționează eficient.
  • Utilizează un sistem centralizat de gestionare a patch-urilor și folosește o strategie de evaluare a riscurilor pentru a determina care dintre sisteme ar trebui să fie incluse în programul de gestionare a patch-urilor.
  • Realizează backup-uri ale sistemelor utilizate, online și offline. Backup-urile constante sunt cea mai eficientă cale de a-ți recupera datele după un atac ransomware.
  • Asigură-te că ai creat backup-uri offline care sunt păstrate în locații diferite de pe rețeaua sau sistemul pe care îl utilizezi și/sau într-un serviciu de cloud destinat acestui scop. Ține cont de faptul că ransomware-ul atacă în mod deliberat backup-urile pentru a crește șansele ca victima să plătească recompensa.

Cunoaște-ți datele și folosește compartimentalizarea.

Datele sensibile trebuie tratate diferit de cele mai puțin importante.

  • Stochează datele sensibile în locații compartimentate.
  • Implementează și asigură segregarea eficientă a rețelelor, în vederea limitării posibilităților atacatorilor de a pivota dintr-un segment al rețelei către un altul.
  • Asigură compartimentalizarea datelor în locații cu caracteristici și profile de securitate diferite, izolând și limitând accesul către acele segmente mai expuse la risc.

Asigură accesul către Remote Desktop Protocols (RDPs)

Limitează accesul resurselor către rețele, în mod special prin restricționarea RDP. După analiza riscurilor, dacă RDPs sunt absolut necesare pentru organizația ta, restricționează sursele și stabilește autentificarea cu mai mulți factori.

Monitorizează exfiltrarea datelor.

Multe campanii de ransomware amenință diseminarea datelor obținute pentru a încuraja companiile să plătească recompensa. Cu cât mai rapid este detectată exfiltrarea datelor, cu atât distribuirea acestora poate avea mai puține consecințe. Vizionarea exfiltrării datelor oferă o perspectivă exactă asupra datelor care pot fi compromise.

Nu există nicio garanție că autorul nu va distribui datele sau nu le va reutiliza pentru a te șantaja ulterior. Ia în considerare ambele scenarii, indiferent dacă răscumpărarea este plătită.

Testează-ți sistemele.

Rulează în mod regulat teste împotriva securității rețelei tale și efectuează teste de recuperare a informațiilor critice pentru a te asigura că funcționează conform așteptărilor.

Redu probabilitatea ca conținutul malițios să ajungă la rețelele tale.

  • Dezactivează aplicațiile de scriptare și macrocomenzile.
  • Configurează-ți sistemele pentru a verifica în mod activ conținutul, astfel încât să permită utilizarea doar a anumitor tipuri de fișiere și să blocheze site-uri web, aplicații, protocoale etc. despre care se știe că sunt malițioase.
  • La nivelul rețelei, ia în considerare filtrarea traficului, implementarea de politici de monitorizare, filtrare și blocare a traficului ilegitim sau malițios pentru a-l împiedica să pătrundă în rețelele tale.
  • Implementează reguli de blacklisting / whitelisting bazate pe fluxuri de informații despre amenințări pentru a împiedica utilizatorii să acceseze site-uri web rău intenționate, adrese IP rău intenționate, URL-uri de phishing, proxy-uri anonime, rețeaua Tor și alte servicii de anonimizare etc.

Folosește parole complexe și schimbă-le în mod regulat.

  • Cifrele, simbolurile și combinațiile de litere mari și mici te pot ajuta să setezi o parolă puternică.
  • Instruiește și încurajează angajații să utilizeze parole puternice atât în viața profesională, cât și în cea privată și promovează utilizarea unui program de gestionare a parolelor.

Utilizează metode de autentificare complexe.

Implementează autentificarea în mai mulți pași pentru accesarea conturilor din rețelele critice pentru a minimiza riscul de a fi accesate utilizând credențialele conturilor furate sau piratate.

Gestionează utilizarea conturilor privilegiate.

  • Restricționează posibilitatea angajaților de a instala sau rula programe pe dispozitivele companiei.
  • Asigură-te că conturile de utilizator și de sistem sunt limitate prin politici de utilizare a contului, prin controlul contului de utilizator și prin gestionarea conturilor privilegiate ale utilizatorilor.
  • Organizează drepturile de acces în funcție de principiul celui mai redus privilegiu, nevoii de a cunoaște și de cel al separării sarcinilor. O potențială compromitere a unui cont de utilizator privilegiat ar conduce la o expunere mult mai mare decât în cazul compromiterii contului unui utilizator simplu.

Securizează echipamentul pentru munca la distanță.

  • Implementează măsuri precum criptarea hard disk-ului, delogarea automată după o perioadă de inactivitate, ecrane de confidențialitate, autentificare puternică, oprirea conexiunilor Bluetooth, criptarea și controlul mediilor de stocare detașabile (ex. stick USB).
  • Implementează procese de accesare la distanță a dispozitivelor care au fost pierdute sau furate.

Instalează aplicații doar din surse sigure.

Companiile ar trebui să permită instalarea aplicațiilor care provin doar din surse oficiale pe acele dispozitive care se pot conecta la rețeaua companiei. Opțional, poți construi un magazin de aplicații al companiei prin care utilizatorii să poată accesa, descărca și instala aplicațiile permise de companie. Consultă-te cu furnizorul tău de soluții de securitate sau creează-ți propria soluție.

Fii precaut în accesarea datelor companiei prin intermediul rețelelor Wi-Fi publice.

În general, rețelele Wi-Fi publice nu sunt sigure. Dacă un angajat accesează datele companiei folosind o rețea Wi-Fi gratuită dintr-un aeroport sau cafenea, informațiile ar putea fi expuse către utilizatori rău-intenționați. În acest sens, se recomandă companiilor să dezvolte politici de utilizare eficiente.

Oferă personalului cursuri în domeniul securității cibernetice și de conștientizare.

  • Informează-ți angajații în legătură cu politia de siguranță online a companiei. Faceți-vă timp pentru a crește gradul de conștientizare în privința amenințărilor cibernetice, în special a phishingului și a ingineriei sociale, precum și ce trebuie să facă angajații dacă observă activități suspecte.
  • Ia în considerare implementarea unui program de formare a utilizatorilor care să includă atacuri simulate de spear phishing pentru a descuraja angajații să acceseze site-uri sau să deschidă atașamente malițioase.
  • Oferă personalului modalități de a raporta e-mailurile de phishing și recompensează-i atunci când fac acest lucru. Un simplu mesaj automat de mulțumire vă poate ajuta să determinați angajații să fie precauți și să raporteze activitățile suspecte.

Explorează posibilitatea încheierii unei asigurări de răspundere cibernetică.

Încearcă să găsești un asigurator care oferă acoperire în eventualitatea unui atac cibernetic.

Pornește firewall-urile locale.

Pornește firewall-urile locale pentru a te ajuta în blocarea accesului neautorizat.

Dezactivează Windows PowerShell.

Dezactivează Windows PowerShell dacă nu este utilizat. Unele atacuri ransomware utilizează PowerShell pentru a fi executate.

Infectat... Ce e de făcut?

  1. 1) Deconectează imediat dispozitivele de la conexiunile de rețea, fie prin fir, wireless sau prin telefonie mobilă, dar nu opri dispozitivul/dispozitivele infectat/e.
  2. 2) În situații serioase, ia în considerare că oprirea rețelei Wi-Fi, dezactivarea oricăror conexiuni de rețea centrală (inclusiv a switch-urilor) și deconectarea de la internet ar putea fi necesară.
  3. 3) Resetează credențialele de acces, inclusiv parolele (în mod special pentru administratorul rețelei și alte conturi de sistem), dar verifică să nu te blochezi singur din sistemele necesare pentru recuperarea datelor.
  4. 4) Raportează incidentul către poliția națională sau către o altă autoritate competentă.
  5. 5) Salvează orice dovadă, în coordonare cu autoritățile competente care investighează atacul: creează o imagine criminalistică a sistemelor afectate (sau un instantaneu de sistem), creează un RAM dump a sistemelor afectate și păstrează istoricul de navigare sau orice alte date de utilizare a rețelei.
  6. 6) Vizitează www.nomoreransom.org pentru a verifica dacă compania ta a fost infectată cu una din versiunile de ransomware pentru care avem instrumente de decriptare disponibile gratuit. Dacă nu este cazul, urmează pașii de recuperare.
  7. 7) Șterge datele de pe dispozitivele infectate și reinstalează sistemul de operare.
  8. 8) Înainte să recuperezi datele dintr-un backup, verifică ca acesta să nu conțină niciun malware. Ar trebui să restaurezi datele doar dacă ești convins că backup-ul și dispozitivul la care te conectezi sunt curate.
  9. 9) Conectează dispozitivele la o rețea neafectată pentru a descărca, instala și actualiza sistemul de operare și alte programe.
  10. 10) Instalează, actualizează și rulează un program antivirus.
  11. 11) Conectează-te din nou la rețea.
  12. 12) Monitorizează traficul din rețea și rulează scanări cu programul antivirus pentru a identifica dacă a rămas vreun fișier infectat.