Jak powstrzymać ransomware?

Identyfikacja i aktualizacje

Pierwszym i podstawowym krokiem powinno być zidentyfikowanie i zinwentaryzowanie wszystkich zasobów firmowych w sieci: urządzeń, ich systemów operacyjnych oraz aplikacji. Pomoże to osobom decydującym o bezpieczeństwie IT wykryć i odnaleźć słabe punkty, najbardziej narażone na zainfekowanie.

Trzeba też pamiętać o regularnym aktualizowaniu oprogramowania wszystkich urządzeń. Należy również monitorować, czy dostawcy sprzętu nie wydali łatek zabezpieczających wykryte luki. Zasady te wydają się być jasne i dobrze znane, jednak wiele firm je lekceważy.

Polecamy: Przewodnik po zmianach przepisów 2019/2020

Zabezpieczenie poczty elektronicznej

Do skutecznego ataku ransomware najczęściej dochodzi po tym, jak nieuważny pracownik kliknie w link przesłany w phishingowej wiadomości e-mail. W związku z tym bezpieczeństwo poczty elektronicznej powinno być jednym z głównych celów strategii ochronnej w przedsiębiorstwie. Odpowiednie rozwiązania ochronne skutecznie zatrzymają maile ze złośliwym linkiem lub załącznikiem, zanim dotrą one do potencjalnych ofiar. Ponadto pracownicy powinni być świadomi stosowanych przez cyberprzestępców zabiegów socjotechnicznych – wiedzieć, czym jest phishing, jak postępować z podejrzanymi wiadomościami, a także jak stworzyć bezpieczne hasło i korzystać z uwierzytelnienia wieloskładnikowego.

Segmentacja sieci

Podział sieci na segmenty gwarantuje, że złośliwe oprogramowanie i zainfekowane systemy pozostaną odizolowane od obiektów w innych obszarach. Segmentacja może też służyć do tego, aby rozdzielić np. własność intelektualną i informacje osobowe oraz przyznać dostęp do poszczególnych danych tylko tym pracownikom, dla których jest to niezbędne.

Rozszerzenie zakresu ochrony na podsieci

Aby zapobiec powstawaniu luk bezpieczeństwa, przedsiębiorstwa powinny wdrażać rozwiązania ochronne, zastosowane w sieci głównej, także w połączonych z nią podsieciach. Dotyczy to zwłaszcza systemów OT (technologii operacyjnych), środowisk chmurowych oraz oddziałów firmy. Analizie powinny podlegać także połączenia z firmową siecią pochodzące z urządzeń klientów, partnerów czy dostawców.

Tworzenie kopii zapasowych

Regularne tworzenie kopii zapasowych danych oraz przechowywanie ich w osobnej lokalizacji w trybie offline pozwoli uniknąć utraty plików w przypadku ich zaszyfrowania. Jednak również i te kopie powinny być analizowane pod kątem obecności złośliwego oprogramowania. Ponadto zespoły bezpieczeństwa powinny wskazać najważniejsze rozwiązania, z których – w przypadku powodzenia ataku ransomware – dane powinny być przywrócone priorytetowo.

W tym zakresie warto pamiętać, że praktyka czyni mistrza: wykonując regularne ćwiczenia przywracania danych, firmy mogą upewnić się, że kopie zapasowe są dostępne, a dane z poszczególnych systemów mogą zostać odzyskane po wystąpieniu ataku.

Pomoc z zewnątrz

W przypadku powodzenia ataku z użyciem oprogramowania ransomware, przedsiębiorstwa powinny mieć przygotowaną listę ekspertów i konsultantów ds. bezpieczeństwa, którzy mogą pomóc w procesie odzyskiwania danych. Przydają się także kontakty do przedstawicieli organów ścigania i zespołów prawnych.

Podnoszenie świadomości

Zarządy przedsiębiorstw powinny pamiętać o potrzebie ciągłego edukowania pracowników na temat aktualnych cyberzagrożeń. Zapewniając regularne szkolenia można sprawić, że pierwsza linia obrony przed cyberatakami, którą stanowią pracownicy, jest wystarczająco silna, aby odpierać zagrożenia.

Chociaż ransomware nadal budzi zrozumiały niepokój, zapobieganie takim atakom nie jest niemożliwe. Podejmując odpowiednie kroki i upewniając się, że każda osoba w przedsiębiorstwie rozumie zasady cyberhigieny, można odpowiednio chronić swoje dane, a w przypadku naruszenia bezpieczeństwa systemy mogą być ponownie uruchomione z minimalnym czasem przestoju.

Autor: Jolanta Malak, dyrektor Fortinet w Polsce