Советы для бизнеса

Вовремя обновляйте операционную систему и приложения на корпоративных устройствах.

  • Устанавливайте последние версии важного ПО и исправления безопасности, в том числе на мобильных устройствах.
  • Включите функцию автоматической установки обновлений, если она доступна. Обновления повышают не только безопасность, но и производительность устройств.
  • Выберите подходящие защитные решения и обновляйте их.
  • Проводите регулярные проверки работоспособности операционных систем.
  • По возможности используйте централизованное управление установкой исправлений – проведите оценку с учетом рисков, чтобы понять, какие системы в нем нуждаются.
  • Регулярно создавайте резервные копии систем – онлайн и офлайн. После атаки программы-вымогателя данные проще всего восстановить из актуальных резервных копий.
  • Храните их офлайн, за пределами своих сетей и систем (в идеале – вне офиса), или в предназначенном для этого облачном хранилище. Помните, что вымогатели активно атакуют и резервные копии, чтобы увеличить шанс получить выкуп.

Знайте свои активы и изолируйте их друг от друга.

Конфиденциальная информация требует особого внимания.

  • Лучше всего разделить такие данные на блоки и хранить их отдельно друг от друга.
  • Сегментируйте сеть, чтобы злоумышленникам было сложнее перемещаться из одной ее части в другую.
  • Задайте для каждой подсети свои характеристики и профили безопасности. Изолируйте наиболее уязвимые сегменты и ограничьте доступ к ним.

Защитите протокол удаленного рабочего стола (RDP).

Ограничьте доступ к ресурсам по сети, особенно по протоколу RDP. Если без него не обойтись, то после оценки рисков введите закрытый список устройств, с которых можно удаленно подключаться к рабочим местам, с обязательным использованием многофакторной аутентификации.

Отслеживайте утечки данных.

Часто вымогатели угрожают опубликовать конфиденциальные данные, чтобы заставить компанию заплатить выкуп. Чем раньше вы обнаружите утечку, тем меньше будет последствий. Отследив утечку данных, вы сможете определить, какой информации угрожает раскрытие.

Злоумышленники могут опубликовать информацию или позднее снова использовать ее для шантажа. Будьте готовы к обоим сценариям, даже если вы заплатили выкуп.

Тестируйте системы.

Регулярно проводите тестирование на проникновение для проверки защиты сети, и тестирование процессов восстановления важной информации.

Не дайте вредоносному контенту проникнуть в ваши сети.

  • Отключите скриптовые среды и макросы.
  • Настройте активную проверку содержимого систем, разрешив лишь некоторые типы файлов и блокируя вредоносные веб-сайты, приложения и протоколы.
  • Вам также поможет фильтрация сетевого трафика – создание политик отслеживания и блокировки несанкционированного и вредоносного трафика.
  • Создайте списки разрешенных и запрещенных объектов, основанные на актуальной аналитике угроз, чтобы ограничить доступ пользователей к вредоносным веб-сайтам и IP-адресам, фишинговым URL-адресам, анонимным прокси-серверам, сети Tor и другим сервисам анонимизации.

Используйте сложные пароли и регулярно меняйте их.

  • Чтобы сделать пароли надежнее, комбинируйте цифры, спецсимволы и буквы в верхнем и нижнем регистрах.
  • Настоятельно рекомендуйте сотрудникам использовать сложные пароли не только на работе, но и для личных целей, а таке расскажите им о преимуществах использования менеджера паролей.

Включите надежную аутентификацию.

Настройте многофакторную аутентификацию для доступа к аккаунтам в критически важных сетях. Это минимизирует риск их компрометации с помощью украденных или взломанных учетных данных.

Следите за привилегированными учетными записями.

  • Ограничьте для сотрудников установку и запуск ПО на корпоративных устройствах.
  • Убедитесь, что к пользовательским и системным аккаунтам применяются политики использования учетных записей, внедрены контроль пользовательских аккаунтов и управление привилегированным доступом.
  • Выдавайте права доступа, основываясь на принципах наименьших привилегий, необходимого знания и разделения обязанностей. Помните, что компрометация учетной записи привилегированного пользователя гораздо опаснее взлома обычного аккаунта.

Защитите оборудование для удаленной работы.

  • Зашифруйте жесткие диски, настройте время ожидания активности и надежную аутентификацию. Задействуйте экраны защиты информации, контроль и шифрование содержимого съемных носителей (например, USB-устройств).
  • Обеспечьте возможность удаленной блокировки устройств на случай их утери или кражи.

Устанавливайте приложения только из надежных источников.

На мобильные устройства, связанные с корпоративной сетью, следует устанавливать ПО только из официальных источников. Возможно, вы даже захотите создать собственный магазин бизнес-приложений, откуда конечные пользователи смогут загружать разрешенные программы. Обсудите с партнером по кибербезопасности, какие приложения выбрать, или разработайте свои.

Ограничьте доступ к данным компании через общедоступные сети Wi-Fi.

Такие сети небезопасны. Корпоративные данные становятся уязвимы, если работать с ними, подключившись к бесплатному Wi-Fi в кафе или аэропорту. Для таких случаев у компании должны быть эффективные политики контроля безопасности.

Проводите для сотрудников тренинги по кибербезопасности.

  • Educate your employees about the company’s policy on online safety. Расскажите им о корпоративной политике онлайн-безопасности, о киберугрозах (особенно о фишинге и социальной инженерии), а также о том, что делать, если они заметят подозрительную активность.
  • Вы также можете внедрить программу тренингов с имитацией целевых фишинговых атак, чтобы научить сотрудников не переходить по вредоносным ссылкам и не открывать подозрительные вложения.
  • Придумайте простой способ сообщать о фишинговых письмах и поощряйте тех, кто делает это. Всплывающее окно со словом «спасибо» или система призовых баллов мотивируют сотрудников быть осторожнее и своевременно сообщать о подозрительных находках.

Подумайте о киберстраховании.

Найдите страховщика предлагающего услуги страхования на случай кибератаки.

Включите локальные сетевые экраны.

Они защитят системы от несанкционированного доступа.

Отключите Windows PowerShell.

Сделайте это, если вы не пользуетесь данным средством. Некоторые программы-вымогатели задействуют PowerShell для запуска.

ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО?

  1. 1) Сразу отключите зараженное устройство (или устройства) от интернета и других сетей (проводных, беспроводных и мобильных), но не выключайте питание.
  2. 2) В серьезных случаях, возможно, придется полностью отключить Wi-Fi, основные сетевые соединения (в том числе через коммутаторы) и доступ в интернет.
  3. 3) Поменяйте учетные данные, в том числе пароли (особенно для учетной записи администратора и других системных аккаунтов). Но будьте осторожны, чтобы случайно не заблокировать себе доступ к системам, которые нужны для восстановления.
  4. 4) Сообщите об инциденте в полицию или другой компетентный орган.
  5. 5) Соберите доказательства, необходимые для расследования: создайте дамп оперативной памяти и криминалистический образ (или снимок) затронутых систем. Сохраните журналы сетевого трафика, в том числе данные протокола netflow.
  6. 7) Сотрите все данные и переустановите операционные системы на зараженных устройствах.
  7. 8) Прежде чем начать восстановление, убедитесь, что резервная копия и восстанавливаемая машина ничем не заражены.
  8. 9) Используя надежное сетевое подключение, загрузите, установите и обновите операционную систему и другое ПО.
  9. 10) Установите, обновите и запустите антивирус.
  10. 11) Заново подключитесь к своей сети.
  11. 12) Контролируйте сетевой трафик и запускайте антивирусные проверки, чтобы выявить оставшиеся следы заражения.