Udržujte operačné systémy a aplikácie podnikových zariadení aktualizované.
- Aplikujte najnovšie bezpečnostné záplaty a zabezpečte, aby bol dôležitý software aktualizovaný, a to aj na mobilných zariadeniach.
- Ak je to možné, povoľte možnosť automatických aktualizácií. Vďaka najnovším aktualizáciám sa zabezpečí, že zariadenia budú nielen bezpečnejšie, ale budú tiež lepšie fungovať.
- Posúďte potrebu antivírusových a antimalwarových produktov a udržiavajte ich neustále aktuálne.
- Vykonávajte pravidelné kontroly, aby ste sa uistili, že operačné systémy pracujú efektívne.
- Zvážte použitie centralizovaného systému správy opráv a použitie stratégie hodnotenia založenej na riziku na určenie, ktoré systémy by mali byť súčasťou programu správy opráv.
- Pravidelne zálohujte svoje online a offline systémy. Najefektívnejším spôsobom obnovy po útoku ransomwarom sú aktualizované zálohy.
- Zaistite vytvorenie offline záloh, ktoré budú uchovávané na inom mieste (ideálne mimo pracoviska), mimo Vašej siete a systémov alebo v cloudovej službe určenej na tento účel. Pamätajte, že ransomware sa aktívne zameriava na zálohy, aby zvýšil pravdepodobnosť, že obete zaplatia za získanie svojich dát.
Poznajte svoje aktíva a rozdeľte ich.
S citlivými dátami sa musí zaobchádzať inak ako s bežnými.
- Citlivé dáta uchovávajte v rozložených umiestneniach.
- Implementujte a zabezpečte účinnú segregáciu sietí s cieľom obmedziť schopnosť protivníkov prepínať sa z jedného segmentu siete do druhého.
- Zabezpečte rozčlenenie oblastí s rôznymi charakteristikami a bezpečnostnými profilmi, izolujte a obmedzte prístup k tým segmentom, ktoré sú viac vystavené hrozbám.
Zabezpečený prístup k protokolom vzdialenej pracovnej plochy (RDP)
Obmedzte prístup k zdrojom v sieťach, najmä obmedzením protokolu RDP. Po dôkladnom vyhodnotení rizika, ak je protokol RDP považovaný za absolútne nevyhnutný pre Vašu organizáciu, obmedzte spustené zdroje a vyžaduje viacfaktorovú autentifikáciu.
Monitorujte exfiltráciu dát.
Mnoho ransomware kampaní hrozí zverejnením údajov, aby podniky donútili zaplatiť výkupné. Čím skôr je exfiltrácia dát detegovaná, tým menšie škody môže každé zverejnenie spôsobiť. Sledovanie exfiltrácie dát poskytuje prehľad o tom, aké dáta sú vystavené riziku.
Neexistuje garancia, že útočník dáta odblokuje alebo rovnaké dáta znova nepoužije na ďalšie vydieranie. Zvážte oba možné scenáre bez ohľadu na to, či je výkupné zaplatené.
Otestujte svoje systémy.
Pravidelne spúšťajte penetračné testy bezpečnosti Vašej siete a vykonávajte testy procesu obnovy dôležitých informácií, aby ste sa uistili, že funguje podľa očakávaní.
Znížte pravdepodobnosť škodlivého obsahu, ktorý sa dostane do Vašich sietí.
- Zakáže skriptovacie prostredia a makrá.
- Nakonfigurujte svoje systémy tak, aby aktívne kontrolovali obsah, povoľovali iba určité typy súborov a blokovali webové stránky, aplikácie, protokoly atď., o ktorých sa vie, že sú škodlivé.
- Na úrovni siete zvážte filtrovanie sieťového prenosu a implementáciu politík na sledovanie, filtrovanie a blokovanie prístupu nelegitímneho alebo škodlivého prenosu do Vašich sietí.
- Implementujte pravidlá čiernych/bielych listín na základe aktuálnych spravodajských informácií o hrozbách, aby ste používateľom zabránili v prístupe na škodlivé webové stránky, ku škodlivým IP adresám, phishingovým URL, anonymným proxy, sieti Tor a ďalším anonymizačným službám, atď.
Používajte silné heslá a pravidelne si ich meňte.
- Čísla, symboly a kombinácie malých a veľkých písmen Vám pomôžu vytvoriť silné heslá.
- Vyškoľte a nabádajte svojich zamestnancov, aby používali silné heslá v profesionálnom aj súkromnom živote a podporujte používanie správcu hesiel.
Použite silnú autentifikáciu.
Vyžadujte viacfaktorové overenie pre prístup k účtom v kritických sieťach, aby sa minimalizovalo riziko prístupu prostredníctvom odcudzených alebo napadnutých prihlasovacích údajov.
Spravujte použitie privilegovaných účtov.
- Obmedzte schopnosť svojich zamestnancov inštalovať a spúšťať softwarové aplikácie na sieťových zariadeniach spoločnosti.
- Zabezpečte, aby používateľské a systémové účty boli obmedzené prostredníctvom politík používania účtov, riadenia používateľských účtov a správy prístupov privilegovaných používateľov.
- Usporiadajte prístupové práva na základe princípov najmenších privilégií, zásady poznania a oddelenia povinností. Potenciálny kompromis privilegovaného používateľského účtu by viedol k oveľa väčšej expozícii v porovnaní s obyčajným používateľským účtom.
Zabezpečte si svoje teleworkingové vybavenie.
- Implementujte opatrenia, ako sú šifrovanie pevného disku, časové limity nečinnosti, obrazovky ochrany súkromia, silná autentifikácia, zakázanie Bluetooth a kontrola a šifrovanie vymeniteľných médií (napr. USB diskov).
- Implementujte proces na diaľkové zablokovanie prístupu k zariadeniu, ktoré bolo stratené alebo odcudzené.
Inštalujte aplikácie iba z dôveryhodných zdrojov.
Na tých mobilných zariadeniach, ktoré sa pripájajú k podnikovej sieti, by spoločnosti mali povoliť inštaláciu aplikácií liba z oficiálnych zdrojov. Ako alternatívu zvážte vytvorenie podnikového obchodu s aplikáciami, prostredníctvom ktorého môžu koncoví používatelia pristupovať, sťahovať a inštalovať podnikovo schválené aplikácie. Poraďte sa s Vašim dodávateľom zabezpečenia alebo si vytvorte svoje vlastné riešenie.
Buďte opatrní pri prístupe k firemným dátam prostredníctvom verejných Wi-Fi sietí.
Vo všeobecnosti, verejné Wi-Fi siete nie sú bezpečné. Ak zamestnanec pristupuje k podnikovým údajom pomocou bezplatného Wi-Fi pripojenia na letisku alebo v kaviarni, môžu byť tieto dáta vystavené zlomyseľným používateľom. Odporúča sa, aby spoločnosti v tejto súvislosti vypracovali účinné politiky používania.
Poskytnite svojim zamestnancom vzdelávanie v oblasti kybernetickej bezpečnosti a školenie na zvyšovanie povedomia.
- Vzdelávajte svojich zamestnancov o politike spoločnosti v oblasti online bezpečnosti. Urobte si čas na zvýšenie povedomia o kybernetických hrozbách, najmä o phishingu a sociálnom inžinierstve, ako aj o tom, čo robiť, ak narazia na podozrivú činnosť.
- Zvážte implementáciu školiacej aktivity pre používateľov, ktorá bude obsahovať simulované útoky na spear phishing s cieľom odradiť zamestnancov od návštevy škodlivých webových stránok alebo otvárania škodlivých príloh.
- Poskytnite svojim zamestnancom bezproblémový spôsob pre nahlasovanie phishingových e-mailov a odmeňujte ich, keď tak urobia. Jednoduchý vyskakovací alebo bodový systém s poďakovaním pomáha zamestnancom dávať si pozor a nahlasovať, čo im pripadá podozrivé.
Preskúmajte poistenie kybernetickej zodpovednosti.
Zvážte vyhľadanie poisťovacieho agenta, ktorý ponúka krytie v prípade kybernetického útoku.
Zapnite lokálne firewally.
Zapnite lokálne firewally, aby ste zabránili neoprávnenému prístupu.
Zakážte Windows PowerShell.
Zakážte Windows PowerShell, ak sa nepoužíva. Niektoré varianty ransomwaru používajú na spustenie PowerShell.
Infikovaný... čo robiť ďalej?
- 1) Infikované zariadenia okamžite odpojte od všetkých sieťových pripojení, či už sú to káblové, bezdrôtové alebo mobilné, ale nevypínajte ich.
- 2) Vo veľmi vážnych prípadoch zvážte, či nebude potrebné vypnutie Wi-Fi siete, zakázanie akýchkoľvek základných sieťových pripojení (vrátane switchov) a odpojenie od internetu.
- 3) Resetujte prihlasovacie údaje vrátane hesiel (najmä pre účet správcu a ďalšie systémové účty), ale zároveň si overte, či sa nevymknete zo systémov, ktoré sú potrebné na obnovenie.
- 4) Nahláste incident Vašej národnej polícii alebo inému príslušnému orgánu.
- 5) V koordinácii s kompetentnými orgánmi vyšetrujúcimi útok uchovajte akékoľvek dôkazy: vytvorte forenzný image ovplyvnených systémov (alebo snapshot systému), vytvorte výpis pamäte RAM postihnutých systémov a uchovajte všetky dátové toky alebo iné protokoly sieťovej prevádzky.
- 6) Navštívte stránku www.nomoreransom.org a skontrolujte, či bola Vaša agenda infikovaná jedným z variantov ransomwaru, pre ktorý máme bezplatne k dispozícii dešifrovacie nástroje. Ak to tak nie je, pokračujte v krokoch obnovy.
- 7) Bezpečne vyčistite infikované zariadenia a preinštalujte operačný systém.
- 8) Pred obnovením zo zálohy skontrolujte, či neobsahuje žiadny malware. Obnovu by ste mali robiť, iba ak ste si celkom istí, že záloha a zariadenie, ku ktorému ju pripájate, sú čisté (neinfikované).
- 9) Pripojte zariadenia k čistej (neinfikovanej) sieti a stiahnite, nainštalujte a aktualizujte operačný systém a všetok ďalší software.
- 10) Nainštalujte, aktualizujte a spustite antivírusový software.
- 11) Znova sa pripojte k sieti.
- 12) Monitorujte sieťový prenos a spustite antivírusové kontroly, aby ste zistili, či infekcia pretrváva.