Поради й рекомендації для підприємств

Регулярно оновлюйте операційні системи та застосунки на корпоративних пристроях.

  • Застосовуйте останні оновлення безпеки, щойно такі буде запропоновано, та переконайтеся, що все критичне програмне забезпечення знаходиться в актуальному стані, зокрема на мобільних пристроях.
  • Увімкніть опцію автоматичного оновлення, якщо це можливо. Найсвіжіші оновлення гарантують не тільки вищу безпеку пристроїв, але й вищу продуктивність.
  • Встановіть антивірусні програми та продукти захисту від шкідливих програм, — вчасно їх оновлюйте.
  • Проводьте регулярні перевірки, щоб переконатися, що ваші операційні системи працюють ефективно.
  • Подумайте про використання централізованої системи управління оновленнями та використовуйте стратегію оцінки на основі ризиків, щоб визначити, які системи мають бути частиною програми управління оновленнями.
  • Регулярно створюйте резервні копії своїх даних та зберігайте їх в онлайн та офлайн-сховищі. Резервне копіювання даних є найефективнішим способом їх відновлення після атаки вимагацького ПЗ.
  • Переконайтеся, що ви налаштували автономне зберігання резервних копій в різних місцях, окремо від основного устаткування, на якому розгорнута ваша робоча система, та/або в хмарному сховищі даних. Майте на увазі, що резервні копії є також мішенню для вимагацького ПЗ, оскільки знищення резервних копій збільшує ймовірність того, що жертви заплатять викуп за розшифрування своїх даних.

Знайте та сегментуйте свої системи, ускладнивши доступ та пересування ними для зловмисників.

До захисту важливої інформації слід ставитися інакше, ніж до захисту повсякденних даних.

  • Зберігайте критичну інформацію в місцях, що ізольовані один від одного.
  • Впровадьте та забезпечте ефективну мережеву сегментацію, щоб обмежити для зловмисників можливість переміщення вашою мережею та переходу від одного її сегмента до іншого.
  • Здійсніть розподіл системи на сегменти з різними характеристиками та профілями безпеки, ізолюючи та обмежуючи доступ до тих сегментів, які є більш вразливими до загроз.

Убезпечте доступ до протоколів віддаленого робочого столу (RDP)

Обмежте доступ до ресурсів через мережі, особливо доступ за протоколом RDP. Після належної оцінки ризику, якщо RDP є абсолютно необхідним для вашої організації, обмежте вихідні джерела та використовуйте багатофакторну автентифікацію.

Моніторте витоки даних.

Часто зловмисники-вимагачі погрожують оприлюднити дані, щоб заохотити підприємства заплатити викуп. Чим раніше буде виявлений витік даних, тим меншої шкоди зможуть завдати заяви зловмисників. Спостереження за витоком даних, зокрема, сприяє розумінню того, які саме дані уразливі до витоку.

Немає ніякої гарантії того, що зловмисник не оприлюднить дані або не використає їх для додаткового шантажу. Розглядайте можливість обох сценаріїв, незалежно від того, чи був сплачений викуп.

Перевірте свої системи.

Регулярно здійснюйте тестування проникнення у мережу та відновлення критичної інформації, щоб переконатися, що все працює належним чином.

Зменшить ймовірність потрапляння шкідливого програмного забезпечення до ваших мереж.

  • Вимкніть програмні оболонки та макроси.
  • Налаштуйте ваші системи на активну перевірку вмісту, дозволивши лише певні типи файлів та блокуючи веб-сайти, застосунки, протоколи тощо, відомі як шкідливі.
  • На рівні мережі розгляньте можливість фільтрації мережевого трафіку, впровадження політик моніторингу, фільтрації та блокування незаконного або шкідливого трафіку, щоб унеможливити його потрапляння у ваші мережі.
  • Впровадьте правила внесення до чорних/білих списків, що базуються на актуальній інформації щодо загроз безпеки, щоб запобігти доступу користувачів до шкідливих веб-сайтів та IP-адрес, фішингових посилань, анонімних проксі-серверів, мережі Tor та інших служб анонімізації тощо.

Використовуйте надійні паролі та регулярно їх змінюйте.

  • Цифри, символи та комбінації великих і малих літер допоможуть вам створити надійніші паролі.
  • Навчіть та заохочуйте свій персонал використовувати надійні паролі як у своїй професійній діяльності, так і в приватному житті, а також спонукайте до використання менеджера паролів.

Використовуйте посилену автентифікацію.

Вимагайте багатофакторну автентифікацію для доступу до облікових записів у критично важливих мережах, щоб мінімізувати ризик доступу через викрадені або зламані облікові дані.

Контролюйте використання привілейованих облікових записів.

  • Обмежте можливості свого персоналу встановлювати й запускати програмне забезпечення на корпоративних мережевих пристроях.
  • Переконайтеся, що облікові записи користувачів та системні облікові записи обмежені політиками безпеки, контролю облікових записів та доступу привілейованих користувачів.
  • Організуйте права доступу на основі принципів найменших привілеїв, допуску до інформації в обсязі, що є необхідним для виконання посадових обов'язків, та розподілу обов'язків. Потенційна компрометація привілейованого облікового запису призведе до набагато серйозніших наслідків порівняно з компрометацією облікового запису звичайного користувача.

Убезпечте пристрої, що використовуються для дистанційної роботи.

  • Впровадьте такі заходи безпеки, як шифрування жорсткого диска, налаштування граничного часу бездіяльності, екрани конфіденційності, посилену автентифікацію, вимкнення протоколу Bluetooth, шифрування та контроль за знімними носіями інформації (наприклад, USB-накопичувачами).
  • Впровадьте процедуру віддаленого відключення доступу до втраченого або викраденого пристрою.

Встановлюйте застосунки лише з надійних джерел.

На мобільних пристроях, що підключаються до корпоративної мережі, компанії повинні дозволяти встановлення застосунків тільки з офіційних джерел. Як варіант, розгляньте можливість створення корпоративного магазину застосунків, де кінцеві користувачі матимуть доступ до застосунків, погоджених компанією, зможуть їх завантажувати та встановлювати. Зверніться до свого постачальника рішень безпеки за порадою щодо налаштування або створіть власне рішення.

Остерігайтесь використовувати для доступу до корпоративних даних загальнодоступні мережі Wi-Fi.

Загалом, загальнодоступні мережі Wi-Fi не є безпечними. Якщо працівник здійснює доступ до корпоративних даних за допомогою безкоштовного підключення Wi-Fi в аеропорту або кав’ярні, ці дані можуть бути доступними і для зловмисників. Компаніям рекомендується в цьому напрямку розробляти політику “раціонального використання”.

Навчайте свій персонал та проводьте для нього регулярні тренінги з кібербезпеки.

  • Ознайомте персонал з політикою компанії щодо безпеки в Інтернеті. Витратьте час на підвищення обізнаності персоналу щодо кіберзагроз, особливу увагу приділивши фішингу й соціальній інженерії, та пояснивши, як діяти в разі зіткнення з підозрілою активністю.
  • Подумайте про те, щоб впровадити програму навчання персоналу зі змодельованими фішинговими атаками, щоб запобігти відвідуванню персоналом шкідливих веб-сайтів або відкриттю шкідливих вкладень.
  • Надайте співробітникам зручний механізм інформування щодо фішингових електронних листів та винагороджуйте їх кожного разу, коли вони про це повідомляють. Просте спливне вікно з подякою або система оцінювання заохотять співробітників до повідомлень про те, що їм здається підозрілим.

Дослідіть страхування кібер-ризиків.

Подбайте про те, щоб знайти страхову компанію, яка пропонує покриття у випадку кібератаки.

Увімкніть локальні брандмауери (фаєрволи).

Увімкніть локальні брандмауери (фаєрволи), щоб запобігти несанкціонованому доступу.

Вимкніть Windows PowerShell.

Вимкніть Windows PowerShell, якщо не користуєтесь. Деякі види вимагацького ПЗ для виконання шкідливих дій використовують PowerShell.

Уражені… Що робити далі?

  1. 1) Негайно відключіть, але не вимикайте заражений пристрій, від усіх мережевих підключень: як дротових, бездротових та мобільних.
  2. 2) У серйозних випадках подумайте про вимкнення Wi-Fi, відключення основних мережевих з’єднань (зокрема комутаторів) та від’єднання від Інтернету.
  3. 3) Скиньте облікові записи, зокрема паролі (передусім це стосується системных облікових записів та облікових записів адміністратора), але переконайтесь, що ви не блокуєте себе в системах, що знадобляться вам для відновлення.
  4. 4) Повідомте про інцидент Кіберполіцію України.
  5. 5) Зберігайте всі докази за погодженням з компетентними органами, що розслідують атаку: створіть криміналістичне зображення уражених систем (або знімок екрану), дамп RAM уражених систем та збережіть всі логи мережевого трафіку.
  6. 7) Безпечно зітріть дані з заражених пристроїв та переінсталюйте ОС.
  7. 8) Перш ніж відновити дані із резервної копії, переконайтеся, що вона не містить шкідливих програм. Відновлювати дані слід лише в тому випадку, якщо ви впевнені, що резервна копія та пристрій, до якого ви її підключаєте, чисті.
  8. 9) Підключіть пристрої до чистої мережі, щоб завантажити, встановити та оновити ОС та все інше програмне забезпечення.
  9. 10) Встановіть, оновіть та запустіть антивірусне програмне забезпечення.
  10. 11) Знову підключіться до своєї мережі.
  11. 12) Здійснюйте моніторинг мережевого трафіку та запустіть сканування на віруси, щоб визначити, чи не залишилось зараження.