Med noget avanceret forberedelse kan du overleve et ransomware-angreb

Denne søjle er tilgængelig i et ugentligt nyhedsbrev kaldet IT Best Practices. Klik her for at abonnere.  

Du ved, det er dårligt, når en cyberkriminalitetsbølge gør ofre ud af de amerikanske politiafdelinger. Retshåndhævelsesbureauer i mindst syv stater er blevet afpresset af cyberangreb ved hjælp af ransomware. Data på afdelingscomputere er krypteret af malware og holdt som gidsler med krav om, at der skal betales løsepenge i bitcoins. Uvant til at give efter for kriminelle, nægtede mange af agenturerne at betale og mistede efterfølgende adgang til deres information for evigt.

Cyberkriminelle har også været rettet mod amerikanske hospitaler. I en højprofileret sag mistede et hospital i Californien adgang til sine kritiske patientjournaler i en uge, indtil der blev betalt en løsepenge til en værdi af omkring $ 17.000. Eksperter vurderer, at denne specielle facilitet tabte så meget som $ 100.000 om dagen i kun en afdeling, fordi den ikke var i stand til at udføre CT-scanninger uden adgang til dens data.

Ransomware kører rundt om i verden, og det tager en enorm vejafgift for både enkeltpersoner og virksomheder. Løsepenge, hvis de udbetales, er bare toppen af ​​isbjerget, når det kommer til omkostningerne ved angrebet. De reelle omkostninger kan sammenholdes med hensyn til tabt produktivitet og forretningsmuligheder, ressourcerne til at reagere på angrebet og reparation eller udskiftning af berørte systemer.

Store udenlandske kriminalsyndikater, der opererer på verdensplan, er ansvarlige for de fleste angreb. Mange af kampagnerne bag ransomware-angreb er industrielle. For eksempel så McAfee Labs-forskere mere end 4 millioner prøver af ransomware alene i andet kvartal af 2015. Symantec rapporterer, at det kun opdagede en ransomware-variant 500.000 gange i løbet af 18 dage. Angrebene er ret rentable for de kriminelle. McAfee anslår, at gerningsmændene indsamler mellem $ 10 millioner og $ 50 millioner om måneden fra ofre over hele verden.

Der er måder at beskytte dine systemer på for at forhindre, at det bliver det næste offer, eller i det mindste at afbøde virkningen af ​​angrebet, men du skal handle inden et angreb rammer. Forskere siger, at det kan tage mindre end 5 minutter, fra det tidspunkt, hvor malware kommer på et system, til det tidspunkt, hvor primære filer krypteres, sikkerhedskopieringsfiler slettes, og kravet om løsepenge præsenteres.

Når det er sagt, her er nogle trin til at overleve et ransomware-angreb:

Planlæg dit svar nu - For de fleste typer ransomware-angreb tæller minutter og sekunder, så tiden til at planlægge, hvordan man skal reagere, er godt, før et angreb sker. Eksperter anbefaler at udvikle en hændelsesplan, der er specifik for denne type angreb. Planen skal specificere roller, ansvar og handlinger, der skal træffes, så snart organisationen bliver opmærksom på et aktivt angreb.

Sikkerhedskopiér dine data - Ransomware-angreb er kendt for at kryptere aktuelle data og også slette backup-data, uanset hvor de kan nås. Cryptolocker krypterer filer på alle drev, der er kortlagt. Dette inkluderer eksterne enheder som USB-tommeldrev, sikkerhedskopitjenester som Carbonite og cloud-fillagre, hvor der er tildelt et drevbogstav. Sørg for, at sikkerhedskopier ikke er tilgængelige fra slutpunkter gennem diskmonteringer, fordi de også bliver krypteret.

Gary Warner, cheftrusselforsker hos PhishMe, anbefaler, at du opbevarer flere serielle sikkerhedskopieringer i tilfælde af, at nyere bliver beskadiget eller bliver krypteret. Hvis du er i stand til at gendanne dine data fra nylige sikkerhedskopier, bliver angrebet virkelig et ikke-problem. Hvad mere er, at have gode sikkerhedskopier er praktisk talt den eneste måde at komme sig efter et angreb på, hvis du ikke ønsker at tage dine chancer med at betale løsepenge og håber, at angriberen giver dekrypteringsnøglen. (Husk, at betaling af løsepenge ikke er nogen garanti for, at du får dekrypteringsnøglen, eller at den fungerer.)

Hold din antivirus-software opdateret - Alle de største leverandører af antivirus-software undersøger ransomware, så de kan prøve at følge med de trusler, der konstant ændrer sig. I sin natur vil AV-underskrifter altid være et skridt bag de nyeste varianter, men de skal være gode nok til at stoppe en høj procentdel af angrebforsøg.

Skærm-e-mails til phishing / malware - I Verizon Data Breach Incident Report 2016 siges, at e-mail-beskeder med ondsindede vedhæftede filer eller links er en vigtig mulighed for installation af ransomware. FireEye bekræfter, at de fleste ransomware leveres via e-mail. Dette gør det vigtigt at skærme indgående e-mails og filtrere, hvad der ser ud til at være phishing-beskeder eller ondsindede vedhæftede filer. Det er især vigtigt at filtrere på eksekverbare filer. Nogle phishing-beskeder bruger bedrag ved at gøre eksekverbare filer tilsyneladende som almindelige PDF-filer.

Lær folk ikke at falde for phishforsøg - Mennesker er det svage led. Vi er godtroende og tillidsfulde, og vi lægger vægt på socialtekniske tricks, der får os til at åbne og klikke på phishing, der kommer vores vej. Lær dine medarbejdere at være opmærksomme på deres handlinger og hjælpe dem med at genkende mistænkte phishing-meddelelser, så de ikke åbner løseprogrammet i første omgang.

Godkend e-mail-kilderne - Ud over at scanne indgående e-mails efter trusler, kan du få mere tillid til den e-mail, dine brugere modtager, ved at autentificere afsendere af meddelelser ved hjælp af teknologier som Domain Message Authentication Reporting and Conformance (DMARC), DomainKeys Identified Email (DKIM) og Sender Policy Framework (SPF) . (Se DMARC har en positiv indflydelse på at reducere forfalskede mails og Sådan implementeres DMARC i din organisation.)

Primer dine forsvarssystemer - Sikkerhedsforskere har kommet med en masse indikatorer, som du kan indgå i dine forsvarssystemer, så de kan blokere eller karantæneaktiviteter vedrørende ransomware. Der er adskillige kilder til efterretningsfeeds, herunder sikkerhedsleverandører, industri-ISAC'er (informationsdelings- og analysecentre) og statslige sikkerhedsagenturer. Forskellige lister over kilder til intelligensfeed kan findes på http://thecyberthreat.com/cyber-threat-intelligence-feeds/ og http://thecyberthreat.com/go Government-cyber-intelligence-sources/.

Brug endepunktsbeskyttelsesløsninger - Ransomware lander normalt på slutbrugerenheder, så beskyt dem med applikationer til endepunktbeskyttelse. Adskillige løsninger på dette område gør alt fra sandboks mistænkelig software til at køre alle applikationer i en virtuel maskine, så de ikke kan sprede deres handlinger ud over en enkelt enhed. Fra et netværksmæssigt synspunkt, hvis det konstateres, at et slutpunkt er kompromitteret, skal det sættes i karantæne så hurtigt som muligt. Dette kan hjælpe med at forhindre malware i at påvirke delte filer.

Har en plan for gendannelse af katastrofesystemer efter løsøre - I tilfælde af at et angreb kommer igennem og lykkes med at kryptere, slette eller beskadige filer, har du brug for en plan for, hvordan du gendannes fra angrebet. Da du ikke ved, om angrebet faldt skjult latent software på dine systemer, er det bedst at erstatte snarere end reparere systemer, hvis det er muligt. Overvej også indvirkningen på din virksomhed, hvis du skal gendanne data fra en ældre sikkerhedskopi, eller du ikke kan gendanne data overhovedet.

I tilfælde af ransomware er det gamle ordsprog "En ounce af forebyggelse værd at et pund kur" meget passende. Den bedste måde at overleve et angreb er at være grundigt klar til det i første omgang.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.