Mitigerande åtgärder för företag

Håll operativsystem och applikationer uppdaterade på företagsenheter.

  • Applicera de senaste säkerhetspatcharna och säkerställ att kritisk mjukvara är uppdaterad, mobila enheter inkluderade.
  • Slå på alternativet för automatiska uppdateringar om möjligt. Att ha de senaste uppdateringarna säkerställer inte bara att enheterna är säkrare, men också att de presterar bättre.
  • Utvärdera huruvida antivirus och anti-malware-produkter är nödvändiga, och håll dem uppdaterade.
  • Genomför regelbundna scanningar för att säkerställa att era operativsystem fungerar effektivt.
  • Överväg att använda ett centralt patch management-system, och använd en riskbaserad utvärderingsstrategi för att fastställa vilka system som bör vara en del av patch management-programmet.
  • Säkerhetskopiera dina system regelbundet, online och offline. Uppdaterade säkerhetskopior är det mest effektiva sättet att återhämta sig från en ransomware-attack.
  • Säkerställ att ni skapar säkerhetskopior som förvaras offline, på en plats som är separat från era nätverk och system (off-site är idealt), och/eller i en cloudtjänst designad för detta ändamål. Kom ihåg att ransomware aktivt riktar in sig på säkerhetskopior för att öka sannolikheten för att de utsatta betalar för att återfå sin data.

Känn till dina tillgångar och kompartmentalisera dem.

Känslig data måste behandlas annorlunda än dag-till-dag-data.

  • Lagra känslig data på kompartmentaliserade platser.
  • Implementera och säkerställ en effektiv nätverkssegregering för att på så sätt minska angriparnas möjlighet att snabbt röra sig från ett segment av nätverket till ett annat.
  • Säkerställ kompartmentaliseringen av de områden med olika karakteristika och säkerhetsprofiler, för att på så sätt isolera- och minska åtkomsten till de segment som är mer exponerade för hot.

Säker åtkomst till Remote Desktop Protocols (RDPs)

Reducera åtkomsten till resurser över nätverk, speciellt genom att ha restriktioner för RDP. Efter en ordentlig riskutvärdering, givet att RDP bedöms som absolut nödvändig för din organisation, inför restriktioner för ursprungskällorna och kräv multifaktorautentisering.

Övervaka dataexfiltrering.

Många ransomware-kampanjer för med sig hotet om att publicera data, detta för att motivera företag att betala lösensumman. Desto tidigare dataexfiltrering upptäcks, desto mindre skada kan en publicering orsaka. Genom att övervaka dataexfiltrering ges insikter om exakt vilken data som riskerar att exponeras.

Det finns ingen garanti för att den som genomför angreppet inte publicerar datan eller återanvänder samma data för ytterligare utpressning. Betrakta båda scenarierna som möjliga, oavsett om lösensumman betalas.

Testa dina system.

Genomför regelbundna penetrationstester mot ert nätverks säkerhet, och genomför tester av den kritiska informationsåterställningsprocessen för att säkerställa att den fungerar som förväntat.

Reducera sannolikheten att skadligt innehåll når era nätverk.

  • Inaktivera skriptmiljöer och makron.
  • Konfigurera era system för att aktivt inspektera innehåll; tillåt endast särskilda filtyper, och blockera webbsidor, applikationer, protokoll, etc. som är kända för att vara skadliga.
  • På nätverksnivå, överväg att filtrera nätverkstrafik, implementera policys för att övervaka, filtrera och blockera illegitim eller skadlig trafik som försöker nå era nätverk.
  • Implementera blacklisting/whitelisting-regler baserade på realtidsflöden av Threat Intelligence, detta för att att förhindra användare från att få tillgång till skadliga webbsidor, skadliga IP-adresser, phishing-URL:er, anonyma proxies, Tor-nätverket, eller andra anonymieringstjänster, etc.

Använd förstärkta lösenord och ändra dem på regelbunden basis.

  • Nummer, symboler, och kombinationer av gemener och versaler hjälper er att skapa starkare lösenord.
  • Utbilda och uppmuntra era anställda att använda starka lösenord både i deras professionella- samt privatliv, och främja användandet av en password manager.

Använd stark autentisering.

Kräv multifaktorautentisering för att ge åtkomst till konton på kritiska nätverk, detta för att minimera risken att stulna eller hackade inloggningsuppgifter ger åtkomst.

Hantera användandet av priviligierade konton.

  • Inför restriktioner gällande era anställdas förmåga att installera och köra applikationer på företagsnätverkets enheter.
  • Säkerställ att era användare och systemkonton är begränsade via nyttjandet av policys om kontoanvändning, User Account Control (UAC) och Privileged Accesss Management (PAM).
  • Organisera åtkomsträttigheterna baserat på principerna om least privilege (PoLP); need-to-know; samt segregation of duties (SoD). En potentiell kompromittering av ett priviligerat användarkonto skulle leda till en mycket större exponering jämfört med ett enkelt användarkonto.

Säkra er utrustning för distansarbete.

  • Implementera åtgärder såsom hårddiskkryptering, timeout vid inaktivitet, integritetsfilter för skärmar, stark autentisering, inaktivering av Bluetooth, samt kontroll över fråntagbar media och kryptering (t.ex. USB-minnen).
  • Implementera en process för att på distans kunna inaktivera tillgång till en enhet som har försvunnit eller blivit stulen.

Installera endast appar från betrodda källor.

Företag bör endast tillåta installationer av appar från officiella källor för de mobila enheter som kopplar upp sig mot företagsnätverket. Som ett alternativ, överväg att bygga en affär för företagsapplikationer genom vilken slutanvändarna kan få åtkomst till, ladda ner, och installera appar som är godkända av företaget. Konsultera er säkerhetsleverantör för råd om detta eller bygg er egen internt.

Vidta försiktighet om företagsdata nås via offentliga Wi-Fi-nätverk.

Generellt är offentliga Wi-Fi-nätverk inte säkra. Om en anställd kommer åt företagsdata genom användandet av en gratis Wi-Fi-uppkoppling på en flygplats eller ett café, kan datan exponeras för fientliga användare. Företag uppmanas att utveckla effektiva policys avseende detta.

Förse era anställda med utbildning inom cybersäkerhet och öka medvetenheten kring detta.

  • Utbilda era anställda gällande företagets policy om onlinesäkerhet. Ta tid för att öka medvetenheten om cyberhot, i synnerhet phising och social manipulation, samt vad som ska göras om de stöter på suspekt aktivitet.
  • Överväg implementationen av ett utbildningsprogram för användare, vilket inkluderar simulerade spear phishing-attacker som får anställda att bli avskräckta från att besöka skadliga webbsidor eller öppna skadliga bilagor.
  • Förse arbetsstyrkan med ett sömlöst sätt att rapportera phishing-email, och belöna dem när de gör så. Ett poängsystem eller en enkel pop-up som säger tack hjälper till att driva de anställda mot varsamhet, samt att de rapporterar vad de finner suspekt.

Utforska cyberförsäkring.

Överväg att finna en försäklingsförmedlare som erbjuder täckning vid händelse av cyberattack.

Slå på lokala brandväggar.

Slå på lokala brandväggar för att skydda mot obehörig åtkomst.

Inaktivera Windows PowerShell.

Inaktivera Windows PowerShell om det inte används. Somliga varianter av ransomware använder PowerShell för att exekveras.

Infekterad… Vad görs härnäst?

  1. 1) Koppla omedelbart ifrån, men stäng inte av den infekterade enheten(erna) från alla nätverksuppkopplingar, oavsett om den är trådbunden, trådlös, eller mobiltelefonsbaserad.
  2. 2) I mycket allvarliga fall, överväg att stänga av ert Wi-Fi, inaktivera nätverksuppkopplingar (switchar inkluderade), och om det är nödvändigt att koppla ifrån internet.
  3. 3) Återställ inloggningsuppgifter, inklusive lösenord (speciellt för administratörer och andra systemkonton), men verifiera att ni inte låser ut er själva från system som krävs för återställning.
  4. 4)Rapportera incidenten till er nationella polismyndighet eller en annan kompetent myndighet.
  5. 5) Bevara alla bevis i koordination med den kompetenta myndigheten som undersöker attacken: skapa en forensisk bild av de påverkade systemen (en överblicksbild på systemet), skapa en minnesdump av påverkade systemen, och bevara all netflow eller annan logg från nätverkstrafiken.
  6. 6) Besök www.nomoreransom.org för att se om din verksamhet har infekterats med en av de ransomware-varianter som har kostnadsfria avkrypteringsverktyg tillgängliga. Om så inte är fallet, fortsätt med återställningsåtgärderna.
  7. 7) Genomför en säker rensning av de infekterade enheterna, och ominstallera ert OS.
  8. 8) Före ni återställer en säkerhetskopia, verifiera att den är fri från skadlig programvara. Ni bör endast göra en återställning om ni är väldigt säkra på att denna säkerhetskopia och enheten ni kopplar upp mot den är rena.
  9. 9) Koppla upp enheter mot ett rent nätverk för att ladda ner, installera, och uppdatera ert OS och all annan mjukvara.
  10. 10) Installera, updatera, och kör antivirusprogram.
  11. 11) Återanslut till ert nätverk.
  12. 12) Övervaka nätverkstrafiken och kör antivirus-scanningar för att identifier om någon infektion kvarstår.