Ransomware a ochrona danych firmowych

Hakerzy na celownik biorą firmy dowolnego sektora. Coraz więcej firm faktycznie pada ofiarą cyberataków. W przypadku ataku ransomware, wszelkie istotne funkcje i dane biznesowe przestają być dostępne. To samo ma miejsce w stosunku do aplikacji. Cierpi również codzienna praca i komunikacja pomiędzy współpracownikami.

  • W odniesieniu do danych i dostępu do nich mamy do czynienia z cyfrowym wymuszeniem, w tradycyjnych realiach porównywalnym do porwania i przetrzymywania zakładników, dlatego też dla firm, które do tej pory nie zostały zaatakowane –  tak istotne jest informowanie o potencjalnym zagrożeniu i możliwościach radzenia sobie z nim, o czym pisze  Sebastian Kisiel, inżynier systemowy w Citrix.

Ransomware rozwija się doskonale 

Ostatnie miesiące to niechlubny wzrost ‘popularności’ kanałów i form płatniczych (np. Bitcoin) a także zwielokrotnionych ataków wektorowych (m.in. wysyłania zainfekowanych plików, stron www czy ataków phishingowych). Wielu hakerów i organizacji przestępczych dodaje także nowe procedury by transakcje płatnicze przebiegały sprawniej.

  • I tak np. w przypadku ataku ransomware ofiary mogą uzyskać dostęp do danych szybciej, wykorzystując do opłacenia okupu samoobsługową usługę pomocy w formie chatu. Otrzymują instrukcje, która krok po kroku prowadzi ich przez cały elektroniczny proces zapłaty. Dodatkowo, często w celu wzmocnienia elementu ponaglania hakerzy uruchamiają elektroniczny zegar, który odlicza czas, jaki pozostał ofierze do wpłacenia okupu, po którym dane będą niemożliwe do odzyskania.

Często dochodzi również do szantażowania groźbą ujawnienia danych w przypadku, gdy finansowe żądania nie zostaną spełnione. Najmniejsze zagrożenie występuje, gdy systemy są wyłączone w celu zapobieżenia rozprzestrzenianiu się z zainfekowanych hostów. Odzyskanie dostępu do danych może kosztować normalnych użytkowników setki dolarów, podczas gdy instytucje często muszą liczyć się z wydatkiem mierzonym w dziesiątkach lub setkach tysięcy.

Jak to działa?

Ataki ransomware, takie jak Locky, KeRanger, Cryptolocker, CryptoWall czy TeslaCrypt i ponad 50 innych wariantów przeszukują dyski lokalne i sieciowe a następnie szyfrują kluczowe pliki. Hakerzy w zamian żądają opłaty za udostępnienie prywatnego klucza, który pozwoli odzyskać do nich dostęp. Ransomware jest plagą rynku konsumenckiego od kilku lat, ale w ostatnim roku coraz więcej ataków jest właśnie kierowanych w stronę sektora biznesowego.

security 3

Firmo, broń się!

Tendencję zmiany kierunku hakerów w stronę biznesu potwierdzają wyniki przeprowadzonego na rzecz Citrix badania rynku u naszych zachodnich sąsiadów. Przeanalizowano odpowiedzi 250 specjalistów IT oraz osób odpowiedzialnych za bezpieczeństwo w firmach zatrudniających powyżej 250 pracowników w całej Wielkiej Brytanii. To dało pogląd na stosowane strategie ochrony przedsiębiorstw przeciw szeroko rozumianymi cyberatakami, w tym atakami typu ransomware.

  • Z badania wynika, że jedna na pięć (20 procent) średnich i większych organizacji nie ma wdrożonych żadnych procedur i środków awaryjnych w przypadku ataku typu ransomware, a niemal połowa (48 procent) nie tworzy kopii zapasowej firmowych danych minimum raz dziennie. Ponadto jedna trzecia brytyjskich firm (33 procent) zbiera środki w walucie cyfrowej (np. Bitcoin) na wypadek ataku i konieczności wykupienia danych, a ponad 35 procent dużych organizacji (zatrudniających powyżej 2000 pracowników) jest skłonnych zapłacić ponad 50 000 funtów, aby odzyskać dostęp do swojej własności intelektualnej.

Badanie uwidoczniło także znaczenie budowania solidnej sieci IT, która zabezpiecza użytkowników przed cyberatakami. Korzystanie z dedykowanych technologii, takich jak szyfrowanie czy wirtualizacja pozwala organizacjom przechowywać dane w bezpieczny sposób, jednocześnie niedostępny dla hakerów oraz chronić je przed kosztownymi naruszeniami bezpieczeństwa i szkodami naruszenia reputacji.

Jak się chronić?

Coraz więcej ataków jest kombinacją inżynierii społecznej i ataków malware, dlatego warto wprowadzić kilka praktyk, które pozwolą zmniejszyć zagrożenia, w tym ataki ransomware i rozbudować strategię obrony o podejście skoncentrowane na aplikacjach, w tym:

  • Zastosować technologię sandboxing’u w odniesieniu do przeglądarki oraz klienta poczty email
  • Wzmocnić bezpieczeństwo systemu operacyjnego i krytycznych aplikacji
  • Korzystać z jednorazowych sesji przeglądarek dla całego dostępu do sieci Web i hyperlinków
  • Konfigurować zabezpieczenia tak, by były kontekstowe oraz dostosowane do wykorzystywanych aplikacji
  • Wyłączać tryb domyślny dla aktywnej zawartości i udostępniać go jedynie, gdy dana aplikacja tego wymaga
  • Zastosować ”białe listy” dopuszczalnych domen i usług wymaganych przez określone aplikacje.

security 2

Dlaczego zatem, by uchronić organizacje, ich poufne dane oraz użytkowników praktyki te nie są powszechnie stosowane? Ponieważ muszą być instalowane i utrzymane na każdym punkcie końcowym z osobna, a to w świecie biznesu, gdzie wielokrotnie mamy do czynienia ze skomplikowanymi strukturami rozproszonymi organizacji jest właściwie nie do zrealizowania. Zastosowanie wirtualizacji może posłużyć jako baza do podejścia wspierającego udaremnianie ataków ransomware. Można złagodzić je stosując się do następujących zasad:

  • Publikowania wirtualnego, wydzielonego w wyizolowanym środowisku (piaskownicy) klienta poczty email.

Może tyć to zarówno natywny klient poczty jak np. Microsoft Outlook, czy też klient poczty w sieci jak np. Google Gmail czy Microsoft Office 365. Publikowanie klienta poczty zakłada, że wszystkie wymagane ustawienia zabezpieczeń są skonfigurowane i spójne dla wszystkich użytkowników i określonych scenariuszy wykorzystania. Antywirusy, DLP (ochrona przed wyciekiem informacji), „białe listy” oraz wszelkie inne technologie są zintegrowane z publikowaną aplikacją email a zatem nie są zależne od określonego punktu końcowego (urządzenia), na którym działają i przez nie ograniczane. Ponadto, za pomocą wirtualizacji jedynie obraz aplikacji jest przesyłany na urządzenie końcowe – bez wiadomości email, załączników czy innych danych.

  • Publikowania wirtualnych, wydzielonych w wyizolowanym środowisku (piaskownicy) przeglądarek dla określonych aplikacji i scenariusza wykorzystania

Wiele przeglądarek, w tym Internet Explorer czy Chrome, a także ich różne wersje mogą być publikowane i utrzymywane, w zależności od wymagań poszczególnych aplikacji. Konfigurując przeglądarkę tak, by wspierała indywidualne potrzeby bezpieczeństwa dla każdej aplikacji i scenariusza wykorzystania z osobna, obce ustawienia czy niepotrzebna aktywna zawartość i inne niepożądane funkcje mogą zostać wyłączone. Ponadto, zwirtualizowana przeglądarka utrzymuje dane z dala od danego urządzenia / punktu końcowego.

  • Cały ruch sieci Web, w tym hyperlinki zawarte w poczcie email czy w aplikacjach social media jest przekierowywany i otwierany w jednorazowej, wirtualnej przeglądarce w wydzielonym środowisku (piaskownicy).

Taka instancja przeglądarki nie ma dostępu do innych aplikacji, punktu końcowego/ urządzenia, współdzielonych plików czy innych wrażliwych zasobów. Kontrola treści, „białe listy” oraz inne środki bezpieczeństwa mogą być zintegrowane z taką przeglądarką.

Wirtualizacja tworzy solidne ramy dla wprowadzenia środków bezpieczeństwa dla różnorodnych punktów końcowych i wielu scenariuszy użytkowania, w tym dla poszczególnych grup użytkowników, BYO oraz dostępu dla podmiotów powiązanych / firm trzecich. Przez wdrożenie określonych rekomendacji i przy współpracy z osobami odpowiedzialnymi za bezpieczeństwo w organizacji, które wspomagają ustalenie i konfigurację zasad bezpieczeństwa, złośliwe ataki w tym ransomware mogą być znacznie ograniczone. I choć nie ma stuprocentowej strategii zapobiegającej atakom, wykorzystanie wirtualnego środowiska pozwala znacznie rozszerzyć ramy bezpieczeństwa firmy.

Sebastian Kisiel, inżynier systemowy w Citrix

Sebastian Kisiel 2 - Citrix

Citrix_RGB