Mikrosegmentacja i ochrona przed ransomware

Ransomware, niegdyś po prostu uciążliwa odmiana szkodliwego oprogramowania wykorzystywana przez cyberprzestępców do ograniczania dostępu do plików i danych poprzez szyfrowanie, przekształciła się w metodę zakrojonego na ogromną skalę ataku. O ile sama groźba trwałej utraty danych budzi przerażenie, cyberprzestępcy i sponsorowani przez rządy hakerzy stali się na tyle wyrafinowani, że wykorzystują oprogramowanie ransomware do penetrowania i paraliżowania dużych przedsiębiorstw, rządów federalnych, globalnej infrastruktury i organizacji opieki zdrowotnej.

Obecnie, w związku z połączeniem przestarzałych technologii, „wystarczająco dobrych” strategii obronnych skoncentrowanych wyłącznie na granicach sieci i punktach końcowych, braku szkoleń (i słabej etykiety bezpieczeństwa) oraz braku prostych i skutecznych rozwiązań zagrożone są organizacje każdej wielkości. Tym bardziej, że cyberprzestępcy stawiają sobie za cel zaszyfrowanie jak największej liczby systemów komputerowych w ramach sieci firmowej w celu wymuszenia okupu w wysokości od tysięcy do milionów dolarów. Szacuje się, że w 2021 r. ataki ransomware miały miejsce co jedenaście sekund, a ich globalny koszt wyniósł 20 mld dolarów. Do ochrony danych nie wystarczy już samo oprogramowanie antywirusowe!

Atak ransomware rozpoczyna się od wstępnego naruszenia, często za pomocą wiadomości phishingowej, luki w zabezpieczeniach sieciowych lub ataków typu „brute force”, które tworzą luki w zabezpieczeniach, odwracając uwagę mechanizmów obronnych od rzeczywistych intencji atakującego. Po zaatakowaniu urządzenia lub aplikacji następuje eskalacja uprawnień i ruch lateralny w sieci i wielu punktach końcowych w celu zmaksymalizowania liczby punktów infekcji i szyfrowania. Atakujący zazwyczaj przejmują kontrolę nad kontrolerem domeny, naruszają dane uwierzytelniające, a następnie odnajdują i szyfrują kopie zapasowe, aby uniemożliwić operatorowi przywrócenie zablokowanych usług.

Ruch lateralny ma decydujące znaczenie dla skuteczności ataku. Jeśli złośliwe oprogramowanie nie może rozprzestrzenić się poza obszar, w którym się znajduje, jest bezużyteczne. Dlatego tak ważne jest uniemożliwienie ruchów lateralnych. Funkcje widoczności i segmentacji w Guardicore Centra pozwalają tworzyć polityki, które zapobiegają pierwszemu naruszeniu i ograniczają jego zasięg. Użytkownik jest również ostrzegany o ruchach lateralnych i innych podejrzanych zachowaniach, co pomaga we wczesnym wykrywaniu złośliwego oprogramowania i umożliwia natychmiastową reakcję.