Virtual-IT.pl - wirtualizacja cloud computing storage data center

Artykuły

Jak ochronić dane firmowe przed ransomware?

RansomwareCoraz więcej firm pada ofiarą cyberataków. Hakerzy biorą na celownik organizacje z każdego sektora. W przypadku ataku ransomware, wszelkie istotne funkcje i dane biznesowe przestają być dostępne. Taka sama sytuacja ma miejsce w stosunku do aplikacji. Cierpi również codzienna praca i komunikacja pomiędzy współpracownikami. W odniesieniu do danych i dostępu do nich mamy do czynienia z cyfrowym wymuszeniem, w tradycyjnych realiach porównywalnym do porwania i przetrzymywania zakładników. Daltego też, istotne jest informowanie o potencjalnym zagrożeniu i możliwościach radzenia sobie z tego typu zagrożeniami firm, które do tej pory nie zostały zaatakowane tak istotne.


Ostatnie miesiące to niechlubny wzrost ‘popularności’ kanałów i form płatniczych (np. Bitcoin) a także zwielokrotnionych ataków wektorowych (m.in. wysyłania zainfekowanych plików, stron www czy ataków phishingowych). Wielu hakerów i organizacji przestępczych dodaje także nowe procedury by transakcje płatnicze przebiegały sprawniej. I tak np. w przypadku ataku ransomware ofiary mogą uzyskać dostęp do danych szybciej, wykorzystując do opłacenia okupu samoobsługową usługę pomocy w formie chatu. Otrzymują instrukcje, która krok po kroku prowadzi ich przez cały elektroniczny proces zapłaty. Dodatkowo, często w celu wzmocnienia elementu ponaglania hakerzy uruchamiają elektroniczny zegar, który odlicza czas, jaki pozostał ofierze do wpłacenia okupu, po którym dane będą niemożliwe do odzyskania.
 
Często dochodzi również do szantażu groźbą ujawnienia danych w przypadku, gdy żądania okupu nie zostaną spełnione. Najmniejsze zagrożenie występuje, gdy systemy są wyłączone w celu zapobieżenia rozprzestrzenianiu się z zainfekowanych hostów. Odzyskanie dostępu do danych dla normalnych użytkowników końcowych może stanowić koszt setek dolarów, podczas gdy instytucje często muszą liczyć się z wydatkiem mierzonym w dziesiątkach lub setkach tysięcy.

Ataki ransomware, takie jak Cryptolocker, CryptoWall, Locky, KeRanger czy TeslaCrypt i ponad 50 innych wariantów przeszukują dyski lokalne i sieciowe a następnie szyfrują kluczowe pliki. Hakerzy żądają opłaty w zamian za udostępnienie prywatnego klucza, który pozwoli odzyskać dostęp do danych. Ransomware jest plagą rynku konsumenckiego od kilku lat, ale w ostatnim roku coraz więcej ataków kierowanych jest właśnie w stronę sektora biznesowego.

Niepokojące dane

Tendencję zmiany kierunku hakerów w stronę biznesu potwierdzają wyniki przeprowadzonego na rzecz Citrix badania rynku. Przeanalizowano odpowiedzi 250 specjalistów IT oraz osób odpowiedzialnych za bezpieczeństwo w firmach zatrudniających powyżej 250 pracowników w całej Wielkiej Brytanii. To dało pogląd na stosowane strategie ochrony przedsiębiorstw przed szeroko rozumianymi cyberatakami, w tym atakami typu ransomware.

Z badania wynika, że jedna na pięć (20 procent) średnich i większych organizacji nie wdrożyła żadnych procedur i środków awaryjnych na wypadek ataku typu ransomware, a blisko połowa (48 procent) nie tworzy kopii zapasowej firmowych danych minimum raz dziennie. Ponadto jedna trzecia brytyjskich firm (33 procent) zbiera środki w walucie cyfrowej (np. Bitcoin) na wypadek ataku i konieczności wykupienia danych, a ponad 35 procent dużych organizacji (zatrudniających powyżej 2000 pracowników) jest skłonnych zapłacić ponad 50000 funtów, aby odzyskać dostęp do swojej własności intelektualnej.

Badanie uwidoczniło także znaczenie budowania solidnej sieci IT, która zabezpiecza użytkowników przed zagrożeniami ze strony cyberataków. Korzystanie z dedykowanych technologii, takich jak szyfrowanie czy wirtualizacja pozwala organizacjom przechowywać dane w bezpieczny sposób, jednocześnie niedostępny dla hakerów oraz chronić je przed kosztownymi naruszeniami bezpieczeństwa i szkodami naruszenia reputacji.

Jak się chronić?

Coraz więcej ataków stanowi kombinację inżynierii społecznej i ataków malware, dlatego warto wprowadzić kilka praktyk pozwalających na zmniejszenie zagrożenia, w tym ataki ransomware i rozbudować strategię obrony o podejście skoncentrowane na aplikacjach, w tym:
• Zastosowanie technologii sandboxing’u w odniesieniu do przeglądarki oraz klienta poczty email
• Korzystanie z jednorazowych sesji przeglądarek dla całego dostępu do sieci Web i hyperlinków  
• Wzmocnienie bezpieczeństao systemu operacyjnego i krytycznych aplikacji
• Wyłączanie trybu domyślnego dla aktywnej zawartości i udostępnianie go jedynie, gdy dana aplikacja tego wymaga
• Konfigurowanie zabezpieczeń tak, by były kontekstowe oraz dostosowane do wykorzystywanych aplikacji
• Zastosowanie ”białe listy” dopuszczalnych domen i usług wymaganych przez określone aplikacje.

Dlaczego zatem, by uchronić organizacje, ich poufne dane oraz użytkowników praktyki te nie są powszechnie stosowane? Ponieważ muszą być instalowane i utrzymane na każdym punkcie końcowym z osobna, a to w świecie biznesu, gdzie wielokrotnie mamy do czynienia ze skomplikowanymi, rozproszonymi strukturami organizacji jest właściwie nie do zrealizowania.

Zastosowanie wirtualizacji może posłużyć jako baza do podejścia wspierającego udaremnianie ataków ransomware.

Można złagodzić je stosując się do następujących zasad:
• Publikowania wirtualnego, wydzielonego w wyizolowanym środowisku (piaskownicy) klienta poczty email.
- Może tyć to zarówno natywny klient poczty jak np. Microsoft Outlook, czy też klient poczty w sieci jak np. Google Gmail czy Microsoft Office 365. Publikowanie klienta poczty zakłada, że wszystkie wymagane ustawienia zabezpieczeń są skonfigurowane i spójne dla wszystkich użytkowników i określonych scenariuszy wykorzystania. Antywirusy, „białe listy”, DLP (ochrona przed wyciekiem informacji) oraz wszelkie inne technologie są zintegrowane z publikowaną aplikacją email a zatem nie są zależne od określonego punktu końcowego (urządzenia), na którym działają i przez nie ograniczane. Ponadto, za pomocą wirtualizacji jedynie obraz aplikacji jest przesyłany na urządzenie końcowe - bez wiadomości email, załączników czy innych danych.
• Publikowania wirtualnych, wydzielonych w wyizolowanym środowisku (piaskownicy) przeglądarek dla określonych aplikacji i scenariusza wykorzystania.
- Wiele przeglądarek, w tym Internet Explorer czy Chrome, a także ich różne wersje mogą być publikowane i utrzymywane, w zależności od wymagań poszczególnych aplikacji. Konfigurując przeglądarkę tak, by wspierała indywidualne potrzeby bezpieczeństwa dla każdej aplikacji i scenariusza wykorzystania z osobna, obce ustawienia czy niepotrzebna aktywna zawartość i inne niepożądane funkcje mogą zostać wyłączone. Ponadto, zwirtualizowana przeglądarka utrzymuje dane z dala od danego urządzenia / punktu końcowego.
• Cały ruch sieci Web, w tym hyperlinki zawarte w poczcie email czy w aplikacjach social media jest przekierowywany i otwierany w jednorazowej, wirtualnej przeglądarce w wydzielonym środowisku (piaskownicy).
- Taka instancja przeglądarki nie ma dostępu do innych aplikacji, punktu końcowego/ urządzenia, współdzielonych plików czy innych wrażliwych zasobów. Kontrola treści, „białe listy” oraz inne środki bezpieczeństwa mogą być zintegrowane z taką przeglądarką.

Wirtualizacja tworzy solidne ramy dla wprowadzenia środków bezpieczeństwa dla różnorodnych punktów końcowych i wielu scenariuszy użytkowania, w tym dla poszczególnych grup użytkowników, BYO oraz dostępu dla podmiotów powiązanych / firm trzecich. Przez wdrożenie określonych rekomendacji i przy współpracy z osobami odpowiedzialnymi za bezpieczeństwo w organizacji, które wspomagają ustalenie i konfigurację zasad bezpieczeństwa, złośliwe ataki w tym ransomware mogą być znacznie ograniczone. I choć nie ma stuprocentowej strategii zapobiegającej atakom, wykorzystanie wirtualnego środowiska pozwala znacznie rozszerzyć ramy bezpieczeństwa firmy.

 


Sebastian KisielAutor: Sebastian Kisiel, Lead System Engineer w Citrix