Ochrana koncových bodů aneb osvědčené postupy, jak zastavit ransomware

Podle průzkumu společnosti Sophos mezi 5000 IT manažery ve 26 zemích 51 % respondentů uvedlo, že byli v loňském roce napadeni ransomwarem. V 73 % případů se útočníkům podařilo data zašifrovat. Průměrné globální náklady na nápravu těchto škod dosáhly neuvěřitelných 761 106 USD.

Jednou z nejúčinnějších metod ochrany proti útokům ransomwaru je správně konfigurované řešení ochrany koncových bodů. V tomto článku, který vychází z aktuálního White paperu společnosti Sophos, probereme, jak fungují útoky ransomwaru, jak je lze zastavit a jaké jsou osvědčené postupy konfigurace vašeho řešení koncového bodu pro zajištění co nejúčinnější ochrany.

V posledních letech se útoky ransomwaru změnily z rozsáhlých útoků používajících hrubou sílu na cílené, plánované a ručně prováděné útoky, které je však mnohem těžší odhalit a zablokovat. Podívejme se, jak různé formy ransomwaru fungují a co by měla vaše organizace udělat, aby vůči nim minimalizovala svou zranitelnost.

Cílené útoky ransomwaru

Cílené útoky ransomwaru jsou většinou ručně ovládané, obvykle se zaměřují pouze na jednu oběť a pachatelé za odblokování přístupu často požadují velmi vysoké výkupné. Poté, co útočníci získají přístup do sítě, pohybují se v ní na jedné úrovni („do stran“) a snaží se identifikovat systémy s vysokou hodnotou, přičemž útoky jsou často spuštěny v nejhorších možných časech pro napadenou stranu, tedy v noci, o víkendech či svátcích, a snaží se zasáhnout co nejvíce systémů najednou. Využívají také několik způsobů útoku, aby se dokázaly vyhnout jednotlivým vrstvám ochranných funkcí, což je činí obzvláště účinnými. Typický cílený útok ransomwaru může vypadat následujícím způsobem:

Důsledky pro oběti těchto útoků mohou být závažné. Hackeři jsou stále odvážnější, někdy vyžadují výkupné v řádu šestimístných částek. Průzkum společnosti Sophos navíc ukázal, že výplata výkupného náklady na řešení útoku ve skutečnosti zdvojnásobila – globálně v průměru o více než ohromujících 1,4 milionu dolarů.

Protokol vzdálené plochy RDP nebo protokol nasazení ransomwaru?

Protokol RDP (Remote Desktop Protocol, protokol vzdálené plochy) a další nástroje pro sdílení pracovní plochy, jako je aplikace Virtual Network Computing (VNC), jsou legitimní a velmi užitečné prostředky, které správcům umožňují vzdálený přístup a ovládání systémů. Bez nasazení správného zabezpečení však tyto nástroje také poskytují útočníkům celkem pohodlné vstupy a jsou proto běžně využívány pro cílení útoků ransomwaru.

Pokud řádně nezabezpečíte protokol RDP a jiné podobné protokoly umístěné za virtuální privátní sítí (VPN) nebo pokud alespoň neomezíte IP adresy, které se mohou do sítě připojovat prostřednictvím protokolu RDP, necháváte dveře do široka otevřené případným útokům. Útočníci často používají hackerské nástroje využívající hrubou sílu, které zkoušejí stovky tisíc kombinací uživatelského jména a hesla, dokud nenajdou to jediné správné a neproniknou do vaší sítě.

Obecně osvědčené postupy pro zajištění ochrany před ransomwarem

Zůstat v bezpečí před ransomwarem neznamená jenom nasadit nejnovější řešení zabezpečení. Základními součástmi každého nastavení zabezpečení jsou i správné postupy zabezpečení IT včetně pravidelného školení zaměstnanců. Sophos doporučuje dodržovat následujících 10 osvědčených postupů:

1. Opravy instalujte co možná nejdříve a často

Malware se často spoléhá na chyby zabezpečení obsažené v populárních aplikacích. Čím dříve aktualizujete koncové body, servery, mobilní zařízení a aplikace, tím méně mezer v zabezpečení mohou útočníci využít.

2. Pravidelně zálohujte a udržujte aktuální záložní kopii offline a mimo pracoviště

Průzkum Společnosti Sophos zjistil, že 56 % správců IT, jejichž data byla zašifrována, bylo schopno je obnovit ze záloh. Zašifrujte záložní data a udržujte je offline a mimo pracoviště, abyste se nemuseli starat o to, že cloudové zálohy nebo paměťová zařízení padnou do nesprávných rukou. Připravte si plán obnovy systému po havárii, který zahrnuje obnovu dat.

3. Povolte zobrazování přípon souborů

Ve výchozím nastavení systému Windows jsou přípony souborů skryté, což znamená, že se při jejich identifikaci musíte spoléhat na miniatury souborů. Díky zobrazení přípon je pak mnohem snazší rozpoznat typy souborů, které by vám a vašim uživatelům nebyly běžně zasílány, například soubory jazyka JavaScript.

4. Nastavte otevírání souborů jazyka JavaScript (.JS) v Poznámkovém bloku

Otevřením souboru jazyka JavaScript v aplikaci Poznámkový blok mu znemožníte spuštění škodlivých skriptů a budete si moci prohlédnout jeho obsah.

5. Nepovolujte makra v přílohách dokumentů přijatých e-mailem

Společnost Microsoft ve výchozím nastavení svých aplikací před mnoha lety jako bezpečnostní opatření záměrně vypnula automatické spouštění maker. Mnoho útoků sází na to, že vás přesvědčí, abyste makra znovu povolili. Tak to nedělejte!

6. Buďte opatrní ohledně nevyžádaných příloh

Počítačoví zločinci se často spoléhají na staré dilema: víte, že byste neměli otevírat dokument, dokud si nejste jisti, že se jedná o legitimní soubor, avšak nejste schopni zjistit, zda není škodlivý, dokud jej neotevřete. Pokud máte pochybnosti, neotevírejte jej!

7. Sledujte oprávnění správce

Neustále kontrolujte místní a doménová oprávnění správců. Musíte mít pod kontrolou, kdo taková oprávnění má, a odebrat je těm, kteří je nepotřebují. Nezůstávejte přihlášeni jako správci déle, než je to nezbytně nutné. Neprocházejte a neotevírejte dokumenty ani neprovádějte žádné jiné běžné pracovní činnosti, když jste přihlášeni do systému s oprávněními správce.

8. Mějte stále aktuální informace o nových funkcích zabezpečení podnikových aplikací

Například sada Office 2016 nyní obsahuje ovládací prvek nazvaný „Blokovat makra před spouštěním v souborech sady Office z Internetu“, který pomáhá zajistit ochranu před externím škodlivým obsahem, aniž by vám bránil v interním používání maker.

9. Regulujte vnější přístup do sítě

Nenechávejte porty volně přístupné vnějšímu prostředí. Zablokujte přístup k protokolu RDP a dalším protokolům vzdálené správy v rámci vaší společnosti. Používejte dvojúrovňové ověřování a zajistěte, aby se vzdálení uživatelé ověřovali prostřednictvím sítě VPN.

10. Používejte silná hesla

Zní to triviálně, ale ve skutečnosti to tak opravdu není. Slabé a předvídatelné heslo může hackerům umožnit přístup k celé síti během několika sekund. Doporučujeme proto používat hesla, která nijak nelze spojit s danou osobou, alespoň 12 znaků dlouhá, využívající kombinace malých a velkých písmen, s přidáním interpunkčních znamének na náhodném místě, například Zr0vna.TakoV3to!

Osvědčené postupy pro vaše řešení ochrany koncových bodů

Vedle brány firewall nové generace je jednou z nejúčinnějších metod ochrany před ransomwarem využití řešení ochrany koncových bodů. Aby však takové řešení zajistilo optimální ochranu, musí být správně nakonfigurované. Při ochraně koncových zařízení před ransomwarem postupujte podle osvědčených postupů, které doporučuje společnost Sophos:

1. Zapněte všechny zásady a zajistěte, aby byly povoleny všechny vlastnosti

Vypadá to jako samozřejmost, ale je to nezpochybnitelný způsob, kterým si zajistíte nejlepší ochranu pomocí řešení koncového bodu. Zásady jsou navrženy tak, aby zastavily konkrétní hrozby. Pravidelnou kontrolou, zda jsou všechny zásady zapnuté, pak zajistíte ochranu svých koncových bodů – obzvláště proti novějším typům ransomwaru.

Kromě toho je velmi důležité povolit funkce, které detekují metody útoku bez využití souborů a příznaky chování ransomwaru a brání útočníkům v pronikání do koncových bodů a nasazování škodlivých kódů ransomwaru. Také vám umožní snáze napravovat útoky, pokud útočníci již nějakým způsobem do vašeho prostředí pronikli.

2. Pravidelně přezkoumávejte vaše výjimky a vyloučení

Nastavení výjimek a vyloučení (brání testování důvěryhodných adresářů a typů souborů na přítomnost malwaru) se někdy využívá k tomu, aby se zmírnily stížnosti uživatelů na zpomalování systémů ochrannými opatřeními. Výjimky lze také použít ke snížení rizik možných falešně pozitivních detekcí.

V průběhu času může rostoucí seznam vyloučených adresářů a typů souborů narušovat činnost stále většího počtu uživatelů sítě. A malware, kterému se podaří proniknout do vyloučených adresářů (někdy je tam náhodně přesunut uživatelem), bude pravděpodobně úspěšný, protože je vyloučen z kontroly.

Nezapomeňte pravidelně kontrolovat seznam výjimek v rámci nastavení ochrany před hrozbami a udržovat jejich počet co nejnižší.

3. Povolte víceúrovňové ověřování (MFA) pomocí konzole zabezpečení

Víceúrovňové ověřování (nebo vícefaktorové ověřování, MFA) poskytuje další úroveň zabezpečení po první úrovni, kterou je nejčastěji heslo. Povolení víceúrovňového ověřování pro všechny vaše aplikace je obecně správným způsobem zabezpečení IT a je důležité, aby bylo možné jej povolit všem uživatelům, kteří mají přístup k vaší konzoli zabezpečení.

Jedině tak zajistíte zabezpečený přístup k řešení ochrany koncových bodů, který nebude náchylný k náhodným nebo záměrným pokusům o změnu nastavení, což by mohlo způsobit ohrožení koncových bodů útoky. Víceúrovňové ověřování je také zásadní pro zabezpečení protokolu RDP.

4. Zajistěte, aby každý koncový bod byl chráněný a aktualizovaný

Pravidelně kontrolujte svá zařízení, zda jsou chráněna a aktualizována – je to rychlý způsob, jak zajistit bezpečnost. Zařízení, které nepracuje správně, nemusí být chráněno a může být náchylné k útoku ransomwaru. Nástroje zabezpečení koncových bodů často takové telemetrické údaje poskytují a program údržby správného stavu IT je užitečný i pro pravidelnou kontrolu případných problémů s IT.

5. Udržujte správný stav IT prostředků

Pravidelné zajišťování správného stavu IT prostředků zaručí, že vaše koncové body a software, který je na nich nainstalován, budou pracovat s maximální účinností. Zmírníte tím kybernetická rizika a můžete také ušetřit spoustu času, pokud jde o nápravu škod způsobených potenciálními incidenty v budoucnosti.

Nasazení programu pro zachování správného stavu IT prostředků je zvláště důležité pro ochranu před útoky ransomwaru a dalšími kybernetickými hrozbami. Příkladem lze uvést zajištění, aby protokol RDP pracoval pouze na těch místech, kde jej skutečně potřebujete a očekáváte; pravidelná kontrola výskytů problémů s konfigurací; sledování výkonů zařízení a odstraňování nežádoucích nebo nepotřebných programů. Kontrola správného stavu IT prostředků může poukázat na potřebu aktualizace softwarových aplikací, včetně zabezpečovacího softwaru. Je to také vhodný způsob, jak se ujistit, že vaše cenná data jsou pravidelně zálohována.

6. Vyhledávejte aktivní protivníky ve vaší síti

V dnešním prostředí přeplněném hrozbami jsou zlomyslní útočníci úskočnější než kdy dříve a nasazují tak k provádění škodlivých útoků ransomwaru skryté techniky. Organizace potřebují nástroje, které jim umožní klást ty správné a podrobné otázky, aby dokázaly identifikovat pokročilé hrozby a aktivní protivníky. Jakmile je naleznou, potřebují také nástroje, které mohou použít k rychlému přijetí vhodných opatření, která tyto hrozby zastaví.

Technologie integrované do vašeho řešení koncových bodů, jako je detekce hrozeb v koncových bodech a reakce na ně (EDR), tuto funkci EDR poskytují, takže pokud je máte, nezapomeňte je aktivovat a využívat.

7. Uzavřete mezery lidským zásahem – ransomware je samým koncem hry

Ransomware je pro hackery už jen konec hry. Aby mohli ransomware nasadit, museli hackeři proniknout do vaší sítě a bez vašeho vědomí případně i získat data, a to někdy dokonce několik měsíců před samotným útokem.

Jen technologie často nestačí k zastavení těchto průniků. Jako příklad ze skutečného světa lze uvést bezpečnostní kameru, která vám umožní vidět, jak se zloději dostanou k vašemu majetku, avšak zabránit krádeži mohou pouze zaměstnanci bezpečnostní agentury. Totéž platí i pro kybernetickou bezpečnost. Nejlepším způsobem, jak se proti těmto typům průniků skutečně chránit, je přidat odborné znalosti člověka jako součást vrstvené bezpečnostní strategie.

K tomu jsou velmi důležité služby řízené detekce hrozeb a reakce na ně (MDR). Spojení interních IT a bezpečnostních týmů s externím týmem elitních lovců hrozeb a odborníků na rychlou reakci pomáhá účinně řešit základní příčiny opakujících se incidentů.

Sophos Intercept X Advanced with EDR

Nástroj Sophos Intercept X Advanced s funkcí EDR obsahuje všechny potřebné funkce, které potřebujete k ochraně vaší společnosti před útoky ransomwaru, jakými jsou Ryuk, Sodinokibi, Maze a Ragnar Locker.

Funkce nástroje Intercept X zahrnují technologii ochrany proti ransomwaru, která detekuje škodlivé procesy šifrování a zastaví je dříve, než se rozšíří do vaší sítě. Technologie ochrany před exploity zastaví průnik a instalaci ransomwaru, funkce hlubokého učení blokuje spuštění ransomwaru a technologie CryptoGuard zabraňuje škodlivému šifrování souborů a vrací je zpět do bezpečných stavů.

Kromě toho vám nástroj Sophos EDR pomáhá ve vyhledávání hrozeb a udržování správného stavu IT prostředků v celém vašem systému. Nástroj Sophos EDR dává vašemu týmu možnost klást podrobné otázky k identifikaci pokročilých hrozeb, aktivních protivníků a potenciálních zranitelných míst v rámci vašich IT prostředků a pak rychle podniknout příslušné kroky k jejich zastavení. Umožňuje vám detekovat protivníky připravené ve vaší síti, kteří čekají na nasazení ransomwaru, jenž mohl zůstat bez povšimnutí.

Sophos Managed Threat Response (MTR)

Služba Sophos MTR přidává do vaší vrstvené bezpečnostní strategie lidské zkušenosti. Elitní tým lovců hrozeb ve vašem zastoupení proaktivně vyhledává a ověřuje potenciální hrozby. Pokud k tomu mají oprávnění, tito lovci podniknou kroky k narušení, potlačení a neutralizování hrozeb a poskytnou využitelné rady k řešení hlavních příčin opakujících se incidentů.