Как организации защититься от шифровальщиков
Вовремя обновляйте операционную систему и приложения на корпоративных устройствах.
- Устанавливайте последние версии важного ПО и исправления безопасности, в том числе на мобильных устройствах.
- Включите функцию автоматической установки обновлений, если она доступна. Обновления повышают не только безопасность, но и производительность устройств.
- Выберите подходящие защитные решения и обновляйте их.
- По возможности используйте централизованное управление установкой исправлений – проведите оценку с учетом рисков, чтобы понять, какие системы в нем нуждаются.
- Регулярно создавайте резервные копии систем – онлайн и оффлайн. После атаки программы-вымогателя данные проще всего восстановить из актуальных резервных копий.
- Храните их офлайн, за пределами своих сетей и систем (в идеале – вне офиса), или в предназначенном для этого облачном хранилище. Помните, что вымогатели активно атакуют и резервные копии, чтобы увеличить шанс получить выкуп.
Знайте свои активы и изолируйте их друг от друга.
Конфиденциальная информация требует особого внимания.
- Лучше всего разделить такие данные на блоки и хранить их отдельно друг от друга.
- Сегментируйте сеть, чтобы злоумышленникам было сложнее перемещаться из одной ее части в другую.
- Задайте для каждой подсети свои характеристики и профили безопасности. Изолируйте наиболее уязвимые сегменты и ограничьте доступ к ним.
Отслеживайте утечки данных.
Чем раньше вы обнаружите утечку, тем меньше будет последствий. Отследив утечку данных, вы сможете определить, какой информации угрожает раскрытие.
Злоумышленники могут опубликовать информацию или позднее снова использовать ее для шантажа. Будьте готовы к обоим сценариям, даже если вы заплатили выкуп.
Тестируйте системы.
Регулярно проводите тестирование на проникновение для проверки защиты сети, и тестирование процессов восстановления важной информации.
Не дайте вредоносному контенту проникнуть в ваши сети.
- Отключите скриптовые среды и макросы.
- Настройте активную проверку содержимого систем, разрешив лишь некоторые типы файлов и блокируя вредоносные веб-сайты, приложения и протоколы.
- Вам также поможет фильтрация сетевого трафика – создание политик отслеживания и блокировки несанкционированного и вредоносного трафика.
- Создайте списки разрешенных и запрещенных объектов, основанные на актуальной аналитике угроз, чтобы ограничить доступ пользователей к вредоносным веб-сайтам и IP-адресам, фишинговым URL-адресам, анонимным прокси-серверам, сети Tor и другим сервисам анонимизации.
Используйте сложные пароли и регулярно меняйте их.
- Чтобы сделать пароли надежнее, комбинируйте цифры, спецсимволы и буквы в верхнем и нижнем регистрах.
- Настоятельно рекомендуйте сотрудникам использовать сложные пароли не только на работе, но и для личных целей, а также расскажите им о преимуществах использования менеджера паролей.
Включите надежную аутентификацию.
Настройте многофакторную аутентификацию для доступа к аккаунтам в критически важных сетях. Это минимизирует риск их компрометации с помощью украденных или взломанных учетных данных.
Следите за привилегированными учетными записями.
- Ограничьте для сотрудников установку и запуск ПО на корпоративных устройствах.
- Убедитесь, что к пользовательским и системным аккаунтам применяются политики использования учетных записей, внедрены контроль пользовательских аккаунтов и управление привилегированным доступом.
- Выдавайте права доступа, основываясь на принципах наименьших привилегий, необходимого знания и разделения обязанностей. Помните, что компрометация учетной записи привилегированного пользователя гораздо опаснее взлома обычного аккаунта.
Защитите оборудование для удаленной работы.
- Зашифруйте жесткие диски, настройте время ожидания активности и надежную аутентификацию. Задействуйте экраны защиты информации, контроль и шифрование содержимого съемных носителей (например, USB-устройств).
- Обеспечьте возможность удаленной блокировки устройств на случай их утери или кражи.
Устанавливайте приложения только из надежных источников.
На мобильные устройства, связанные с корпоративной сетью, следует устанавливать ПО только из официальных источников. Возможно, вы даже захотите создать собственный магазин бизнес-приложений, откуда конечные пользователи смогут загружать разрешенные программы. Обсудите с партнером по кибербезопасности, какие приложения выбрать, или разработайте свои.
Ограничьте доступ к данным компании через общедоступные сети Wi-Fi.
Такие сети небезопасны. Корпоративные данные становятся уязвимы, если работать с ними, подключившись к бесплатному Wi-Fi в кафе или аэропорту. Для таких случаев у компании должны быть эффективные политики контроля безопасности.
Проводите для сотрудников тренинги по кибербезопасности.
- Расскажите им о корпоративной политике онлайн-безопасности, о киберугрозах (особенно о фишинге и социальной инженерии), а также о том, что делать, если они заметят подозрительную активность.
- Вы также можете внедрить программу тренингов с имитацией целевых фишинговых атак, чтобы научить сотрудников не переходить по вредоносным ссылкам и не открывать подозрительные вложения. В этом могут помочь специализированные курсы, например, на платформе Kaspersky Automated Security Awareness Platform.
- Придумайте простой способ сообщать о фишинговых письмах и поощряйте тех, кто делает это. Всплывающее окно со словом «спасибо» или система призовых баллов мотивируют сотрудников быть осторожнее и своевременно сообщать о подозрительных находках.
Включите локальные сетевые экраны.
Они защитят системы от несанкционированного доступа.
Отключите Windows PowerShell.
Сделайте это, если вы не пользуетесь данным средством. Некоторые программы-вымогатели задействуют PowerShell для запуска.
Защитные решения
Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
Использовать надежное решение для защиты рабочих мест, такое как Kaspersky Endpoint Security для бизнеса, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.