Программы-вымогатели и защита конечных устройств (endpoints)
Вирусы-вымогатели (или программы-вымогатели) представляют сегодня одну из наибольших угроз бизнесу во всем мире. Согласно исследованию «2021 Threat Landscape», проведенному агентством кибербезопасности Евросоюза (European Union Agency for Cybersecurity), цена потерь бизнеса в результате успешной вымогательской атаки в 2021 году увеличилась вдвое по сравнению с 2020 годом, и в среднем по организациям-жертвам приблизилась к двум миллионам долларов.
Торстен Джордж, автор публикации на сайте securityweek.com (25 апреля 2022 г.), ставит и сам отвечает на вопрос: что должны делать организации, чтобы минимизировать последствия вымогательских атак?
Опасность этих атак в том, что они в считанные минуты могут парализовать работу компании, заблокировав базы критических данных. Но и это не всё. В последнее время хакеры все чаще прибегают к угрозам обнародовать (или продать) захваченную конфиденциальную информацию о компании, ее руководителях и сотрудниках. Для многих это чревато не только финансовыми потерями.
Итак, организации должны готовиться заранее, не дожидаясь реализации угроз атаки. Для этого надо:
1. Разработать план «стратегической готовности», охватывающий широкий спектр вопросов, в том числе систематическое тестирование систем кибербезопасности, тренинги в виде сценарных учений специалистов и программ ознакомления для персонала.
2. Принять предупредительные меры:
А) залатать прорехи в системе информзащиты, использовать технологию вайтлистинга (whitelisting, защита на основе динамических списков доверенного ПО, подробнее см. https://habr.com/ru/company/kaspersky/blog/130827/?ysclid=l57vtxrzf7328305793);
Б) не забыть об антиспамовых фильтрах, жестком контроле за допуском в корпоративную сеть, установке антивирусов и защите конечных устройств (ноутбуков, планшетов, смартфонов).
В) иметь четкий план реагирования, который включает расследование инцидента, меры по локализации вируса, его вытеснению и восстановлению нормальной работы сети.
Предупредительные меры защиты не гарантируют на все 100%. Но они необходимы, особенно в отношении эндпойнтов - конечных пользователей и устройств, защиту которых зачастую недооценивают, предпочитая всё основное внимание уделять критически важной инфраструктуре, т.е. серверам, бизнес-приложениям, службе каталогов (Active Directory),…
Для исправления ситуации автор рекомендует:
- проверять наличие инструментов, требуемых для защиты конечных устройств от вымогательских атак (антивирусов, программных продуктов по обнаружению и реагированию на угрозы);
- контролировать трафик служебной конфиденциальной информации (финансовые, персональные данные, интеллектуальная собственность и прочее);
- использовать относительно новые инструменты самовосстановления, которые выполняют различные задачи, в том числе: анализ и исправление в автоматическом режиме компонентов или поврежденных системных файлов;
- своевременно информировать конечных пользователей о новых рисках и угрозах, направляя сообщения и предупреждения на их устройства.
Руководитель направления ИБ "Системного софта" Яков Гродзенский в пространной статье на сайте securitylab.ru пишет:
«Соблюдение политик безопасности эндпойнтов с учетом растущего числа угроз сегодня требует использовать как минимум:
- файрволы для разных типов устройств;
- антивирусы для электронной почты;
- мониторинг, фильтрацию и защиту веб-трафика;
- управление безопасностью и защитные решения для мобильных устройств;
- контроль работы приложений;
- шифрование данных;
- средства обнаружения вторжений.
|