Τριάντα χρόνια μετά την πρώτη κυβερνοεπίθεση ransomware στον κόσμο, οι κυβερνοεγκληματίες εξακολουθούν να κρατούν ομήρους οργανισμούς με την κρυπτογράφηση ευαίσθητων αρχείων και δεδομένων ζητώντας λύτρα πολλών χιλιάδων κάποιες φορές για να τα «απελευθερώσουν» άθικτα.

Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr

 

Και ενώ τα πρωτοσέλιδα σε εφημερίδες και ιστοσελίδες έρχονται και φεύγουν, το ransomware παραμένει ισχυρότερο από ποτέ με τα λύτρα να φτάνουν σε εξαψήφια ή ακόμα και επταψήφια νούμερα πολλές φορές. Όμως ποιοι είναι οι λόγοι πίσω από την μακροζωία του ransomware και οι παράγοντες που του επέτρεψαν να γίνει ταχύτερο, εξυπνότερο και σχεδόν θανατηφόρο για ορισμένους οργανισμούς; Οι επιθέσεις που πραγματοποιήθηκαν στο παρελθόν μας δίδαξαν πολλά πράγματα και μπορούν να αποτελέσουν ένα καλό οδηγό για να ελαχιστοποιήσουμε τις πιθανότητες να επιτύχει τον στόχο της μία επίθεση ransomware. Η χρήση της σωστής τεχνολογίας, η εκπαίδευση του εργατικού δυναμικού και συγκεκριμένες συμπεριφορές που πρέπει να υιοθετήσουν οι οργανισμοί αποτελούν κλειδιά για την επίτευξη αυτού του στόχου.

Πως να αμυνθείτε σε μία επίθεση ransomware

Το ransomware έχει εξελιχθεί σε μία προηγμένη και εξαιρετικά περίπλοκη απειλή και από ότι φαίνεται θα συνεχίσει να εξελίσσεται. Λαμβάνοντας υπόψη το παραπάνω, πως μπορείτε να ελαχιστοποιήσετε τον κίνδυνο να «χτυπηθείτε» από το ransomware; Η απάντηση είναι να καταστήσετε όσο το δυνατόν δυσκολότερο για ένα ransomware να καταφέρει να εισχωρήσει, πραγματοποιώντας περίπλοκες επιθέσεις και αξιοποιώντας τις ευκαιρίες που παρουσιάζονται από τις κοινωνικές αλλαγές και τις εξελίξεις σε τεχνολογικό επίπεδο.

Αυτό που χρειάζεστε είναι: α) να επωφεληθείτε από την καλύτερη τεχνολογία κυβερνοασφάλειας στον κόσμο, η οποία αντί να σταματάει απλώς ένα κομμάτι malware όπως συμβαίνει με κάποια ανταγωνιστικά προϊόντα έχει τη δυνατότητα να πλήξει το σύνολο της αλυσίδας επίθεσης, χωρίς να αφήνει περιθώρια αντίδρασης στους κυβερνοεγκληματίες, β) να εφαρμόζετε πάντα και σε όλες τις περιπτώσεις τις βέλτιστες πρακτικές ασφαλείας και γ) να εκπαιδεύσετε το προσωπικό σας, τόσο για τους κινδύνους όσο και για τη συμπεριφορά που πρέπει να έχουν, μέσω τακτικών εκπαιδευτικών σεμιναρίων ευαισθητοποίησης, χρησιμοποιώντας ένα σύστημα όπως το Sophos Phish Threat.

Από τεχνικής άποψης, το Sophos Intercept X περιλαμβάνει προηγμένες τεχνολογίες προστασίας που σταματούν το ransomware στις τερματικές συσκευές και στους διακομιστές σας σε πολλαπλά στάδια της αλυσίδας επίθεσης. Η προστασία από απειλές στην περίπτωση του Intercept Χ έχει τη βοήθεια της Τεχνητής Νοημοσύνης (ΑΙ) για να εντοπίζει απειλές σε κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου (phishing). H προστασία από exploits εντοπίζει και αποκλείει δεκάδες τεχνικές exploit, συμπεριλαμβανομένων και εκείνων που χρησιμοποιούνται για τη διανομή και την εγκατάσταση ransomware ή την κλιμάκωση προνομίων. Το χαρακτηριστικό Credential Theft αποτρέπει την κλοπή των πολύτιμων διαπιστευτηρίων σας από τους χάκερ, αποκλείοντας τη μη εξουσιοδοτημένη πρόσβαση στο σύστημα και την κλιμάκωση των προνομίων του διαχειριστή. Η προστασία Tamper αποτρέπει την απενεργοποίηση της προστασίας endpoint από το ransomware ενώ χάρη στην βαθιά εκμάθηση (Deep Learning), το «DNA» κάθε αρχείου περνά από ενδελεχή εξέταση για να προσδιοριστεί αν πρόκειται για ransomware και εφόσον διαπιστωθεί κάτι τέτοιο, η εκτέλεση του ransomware αποτρέπεται. Η ανίχνευση συμπεριφοράς επίσης από το CryptoGuard, ένα ακόμη σπουδαίο χαρακτηριστικό του Sophos Intercept X αποκλείει τη μη εξουσιοδοτημένη κρυπτογράφηση των αρχείων σας και εφόσον κριθεί απαραίτητο, τα επαναφέρει στην προηγούμενη, ασφαλή κατάσταση τους μέσα σε δευτερόλεπτα.

Το Sophos XG Firewall επίσης προσφέρει προηγμένη προστασία, καθώς εντοπίζει και αποκλείει τις επιθέσεις ransomware και εμποδίζει τους χάκερ από το να μετακινηθούν εσωτερικά στο εταιρικό δίκτυο (lateral movement) με στόχο να κλιμακώσουν τα προνόμια ή να υποκλέψουν δεδομένα. Η προστασία από απειλές, συμπεριλαμβανομένου και του sandboxing, υποστηρίζεται και στην περίπτωση του XG Firewall από την Τεχνητή Νοημοσύνη (AI) για να ανιχνεύσει το κακόβουλο λογισμικό (malware). Επιπλέον, μέσω εργαλείων διαχείρισης RDP μπορείτε να αποτρέψετε κακόβουλους χρήστες από το να το χρησιμοποιήσουν για να μετακινηθούν εσωτερικά στο δίκτυο σας. Τέλος, το σύστημα IPS μπορεί να εντοπίσει οποιαδήποτε απόπειρα αξιοποίησης ευπαθειών δικτύου, όπως σχετικά με το RDP ή οπουδήποτε αλλού στη δικτυακή υποδομή.

Συγχρονισμένη ασφάλεια

Μπορεί τα Intercept X και XG Firewall να είναι εκπληκτικά εργαλεία από μόνα τους, ωστόσο μαζί, χάρη στην τεχνολογία Synchronized Security, σχηματίζουν την ισχυρότερη άμυνα. Αν κάτι ανιχνευθεί από οποιοδήποτε προϊόν, το XG Firewall και το Intercept X συνεργάζονται για την αυτόματη απομόνωση των συσκευών που έχουν επηρεαστεί ή παραβιαστεί, για να αποτρέψουν την περαιτέρω εξάπλωση της απειλής.

Και τελευταίο, αλλά εξίσου σημαντικό, το Sophos Managed Threat Response (MTR) μπορεί να παίξει πολύ σημαντικό ρόλο στην ισχυροποίηση της άμυνας σας, και όχι μόνο επειδή μπορεί να υπερασπιστεί τον οργανισμό σας ενάντια στο ransomware. Πολλοί οργανισμοί δεν έχουν την εμπειρία, τους πόρους ή την επιθυμία να παρακολουθούν το δίκτυό τους 24/7. Η υπηρεσία Sophos MTR είναι μια αφοσιωμένη ομάδα κυνηγών απειλών και εμπειρογνωμόνων ανταπόκρισης σε περιστατικά κυβερνοασφάλειας έκτακτης ανάγκης, που εργάζεται 24/7 και που αναζητούν συνεχώς για ύποπτη δραστηριότητα και ενεργούν άμεσα.

Οι ισχυρές πρακτικές ασφάλειας είναι ζωτικής σημασίας

Εκτός από την ύπαρξη ισχυρών τεχνολογιών για να αποκρούσετε αποτελεσματικά τις επιθέσεις, μεγάλη σημασία θα πρέπει να δώσετε και σε ορισμένες βέλτιστες πρακτικές που είναι απαραίτητο να ξεκινήσετε να εφαρμόζετε για να αυξήσετε την άμυνά σας. Η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων 2FA (Two Factor Authentication) είναι απαραίτητη ενώ εξίσου απαραίτητη είναι η χρήση ενός διαχειριστή κωδικών πρόσβασης για την χρήση σύνθετων κωδικών πρόσβασης. Είναι επίσης εξαιρετικά σπουδαίο να περιορίσετε τα δικαιώματα πρόσβασης, παρέχοντας στους εργαζομένους αλλά και στους διαχειριστές τα απολύτως απαραίτητα δικαιώματα και τίποτα περισσότερο. Να φροντίσετε επίσης για τη λήψη, σε τακτική βάση, αντιγράφων ασφαλείας όλων των πολύτιμων και απαραίτητων για την λειτουργία της επιχείρησης σας δεδομένων και περιουσιακών στοιχείων. Μάλιστα, πρέπει να τα διατηρείτε offline, καθώς ενδέχεται να αποτελέσουν την τελευταία γραμμή άμυνας σας απέναντι σε υψηλά χρηματικά ποσά για λύτρα. Να εφαρμόζετε συχνά αναβαθμίσεις και ενημερώσεις του λογισμικού σας και να εγκαθιστάτε όλες τις αναβαθμίσεις ασφάλειας (security patches) που διατίθενται. Τύποι ransomware όπως οι WannaCry και NotPetya βασίστηκαν σε ευπάθειες που είχαν μείνει unpached για να εξαπλωθούν σε όλον τον κόσμο. Κλειδώστε το RDP επίσης ! Απενεργοποιήστε το αν δεν το χρειάζεστε και χρησιμοποιήστε rate limiting, έλεγχο ταυτότητας πολλαπλών παραγόντων ή χρησιμοποιήστε ένα VPN αν το χρειάζεστε. Τέλος, βεβαιωθείτε ότι έχετε ενεργοποιήσει τo tamper protection καθώς ορισμένα στελέχη ransomware (όπως το Ryuk) επιχειρούν πρώτα να απενεργοποιήσουν την προστασία endpoint και το tamper protection σχεδιάστηκε για να αποτρέπει τέτοιες ενέργειες.

Διαρκής εκπαίδευση

Η διαρκής εκπαίδευση του προσωπικού σας είναι ζωτικής σημασίας. Άλλωστε, οι άνθρωποι έχει αποδειχτεί ότι είναι πάντα ο πιο αδύναμος κρίκος στην κυβερνοασφάλεια και οι κυβερνοεγκληματίες είναι ειδικοί στην «Κοινωνική Μηχανική» (Social Engineering) και στο πως να εκμεταλλεύονται την φυσιολογική ανθρώπινη συμπεριφορά προς όφελος τους. Πολλές επιθέσεις ransomware ξεκινούν από ένα απλό μήνυμα ηλεκτρονικού ταχυδρομείου που διαθέτει ένα κακόβουλο συνημμένο αρχείο. Αν καταφέρετε πρώτα να σταματήσετε τους εργαζόμενους σας από το να κάνουν κλικ στο συνημμένο, θα σταματήσετε και την απειλή από το να εισχωρήσει στο δίκτυο σας. Είναι λοιπόν απαραίτητο να ξεκινήσετε να επενδύσετε στη διαρκή εκπαίδευση του προσωπικού σας. Η Sophos προσφέρει μία εκτεταμένη και δωρεάν εργαλειοθήκη anti-phishing και ένα σύνολο από εύχρηστους πόρους για να εκπαιδεύσετε την ομάδα σας σχετικά με το ηλεκτρονικό ψάρεμα (phishing).

Το ransomware είναι μία κυβερνοαπειλή που δεν γίνεται να πεθάνει έτσι απλά. Ο λόγος είναι ότι οι κυβερνοεγκληματίες εξακολουθούν να εκμεταλλεύονται τις εξελίξεις στην τεχνολογία και στην κοινωνία μας για να βελτιώνουν και να ενισχύουν διαρκώς τις τεχνικές που χρησιμοποιούν στις επιθέσεις ransomware. Αν μπορούμε να βγάλουμε ένα ασφαλές συμπέρασμα από τα τελευταία 30 χρόνια μάχης που δίνουμε ενάντια στο ransomware, είναι ότι το ransomware θα συνεχίσει να εξελίσσεται. Η καλύτερη άμυνα ενάντια στο ransomware είναι μία πολυεπίπεδη προστασία σε επίπεδο τερματικού (endpoint) και σημείου πρόσβασης (gateway) που μπορεί να αποκόψει την αλυσίδα της επίθεσης, η επιμελής εφαρμογή των βέλτιστων πρακτικών ασφαλείας σε όλες τις περιπτώσεις και η διαρκής εκπαίδευση του προσωπικού σας.