Из всех киберугроз, которые существуют на сегодняшний момент, ransomware можно назвать наиболее разрушительным. ПО такого типа быстро распространяется по сети (частной или корпоративной), закрывая доступ к данным, которые для человека или компании могут быть просто бесценными. Удалить криптовымогатель с ПК можно, но только со всеми данными, что есть на жестких дисках. Некоторые представители этого класса программного обеспечения не слишком опасны, и ключ или другие средства обезвреживания можно найти в сети. Но другие гораздо опаснее, если они уже попали в систему, то жертва не видит иного выхода, кроме как платить.
Для оплаты чаще всего используются биткоины, хотя в некоторых случаях киберпреступники выбирают и другие способы оплаты. Платят очень многие. По данным ФБР, только в 2016 году различные компании выплатили разработчикам ransomware около $1 млрд. Это в 40 раз больше, чем аналогичный показатель, фигурировавший в 2015 году. Все потому, что ransomware становится все более совершенным, новые разработки киберпреступников появляются гораздо быстрее, чем раньше. Но все же — платить стоит далеко не всегда. Точнее, лучше бы вообще не платить.
Стоит просто подумать над тем, как снизить вероятность попадания такого рода ПО в систему. Здесь, как всегда, можно порекомендовать несколько привычных вариантов, которые пригодятся как компаниям, так и обычным пользователям:
- Обучить пользователей в своей компании основам кибербезопасности. Главное — не кликать по незнакомым ссылкам в e-mail сообщениях, что случается очень часто. Кроме того, пользователям стоит объяснить опасность посещения ресурсов, банеры которых часто попадаются в сети. Все мы знаем об этих бесплатных антивирусах и прочих штуках, теперь нужно объяснить это собственным сотрудникам.
- Регулярно обновлять ПО в компании, также стоит обновлять прошивку сетевых устройств, следить за актуальностью ПО на серверах и прочих ключевых элементах сети.
- Работать с файерволами, устанавливая последние обновления. В некоторых версиях такого ПО уже есть базы данных ресурсов с ransomware, так что пользователь, даже нажав на вредоносную ссылку, не попадет на такой сайт.
- Использовать «песочницу» для полученных PDF-документов или документов других видов. Многие эксплоиты внедряются как раз в сложную структуру файлов, создаваемых при помощи офисных программ.
- Разработать систему привилегий для пользователей в компании;
- Если не требуется, всегда убирать функцию Remote Desktop Protocol.
Собственно, все это подавляющее большинство читателей Хабра и так знает (многие даже пишут собственные книги или учебники на эту тему), но все же заново проверить свою систему безопасности в компании или дома не помешает.
Роль безопасности
Как бы там ни было, проблема не всегда в том, чтобы добавить мер безопасности. Слабое звено может найтись всегда. Не всегда помогают такие меры, как аудит, проверка целостности файлов, использование «отпечатков», серийных номеров и самовосстановление.
Не менее важным элементом защиты данных своей компании или личных данных является разработка мер ликвидации последствий взлома. Очень немногие компании представляют, что будут делать после того, как беда произошла. Бегать, хватаясь за голову? Не вариант. Платить злоумышленникам? Да, этот способ используется гораздо чаще. Но это тоже не выход.
У каждой компании должен быть DRP-план (disaster-recovery plan), который поможет быстро выйти на предшествующий аварии рабочий уровень. Об этом мы уже писали. При разработке такого плана главное — проводить учебные тревоги с использованием полученной информации для ликвидации возможных брешей как в системе безопасности, так и в самом плане.
И здесь стоит упомянуть еще один момент, о котором в прошлой статье мы не говорили. Это что? Правильно, бэкапы. Обязательно нужны копии файлов, с сортировкой версий по времени архивации. Просто бэкап не подходит — он может быть сделан в момент атаки и ничего хорошего накатывание такой версии архивных файлов не принесет.
Поэтому, если данные для компании действительно важны, нужна надежная система архивации. Причем система архивации должна быть надежной — желательно такой, чтобы клиенты, даже с уровнем доступа типа «администратор» не могли ничего удалять из архивной копии. Поэтому даже, если зловредному ПО удастся забраться в сеть, то в архивной системе этот зловред ничего сделать не сможет.
После заражения «здоровую» копию можно будет восстановить за несколько минут (или часов, в зависимости от масштаба) и снова получить здоровую систему. В подавляющем большинстве случаев пострадавшие компании, чьи данные стоят сотни тысяч или даже сотни миллионов долларов, не имели нормальной системы архивации, а если она и была, то ее работа проверялась лишь время от времени, а не на регулярной основе.
Таким образом, один из возможных способов защиты файлов — закрыть свои бэкапы в надежном месте, и не давать никому ничего с ними сделать. Храниться они должны столько, сколько потребуется. Конечно, такие средства могут быть достаточно дорогими, но здесь уже стоит подсчитать возможные убытки в случае проникновения в сеть предприятия ransomware и подсчитать «овчинку» и «выделку».
Надежных всем бэкапов!
Автор: King Servers