PRZERYWANIE ATAKU Z UŻYCIEM RANSOMWARE: OGRANICZANIE RYZYKA I ZAPOBIEGANIE

Oprogramowanie ransomware nie rozprzestrzenia się poprzez włamanie do pojedynczego komputera lub urządzenia. Cyberprzestępcy wykorzystują tę odmianę złośliwego oprogramowania do zaszyfrowania jak największej liczby systemów w sieci, aby wymusić zapłatę okupu. Ponieważ oprogramowanie ransomware służy do ataków wielopłaszczyznowych, wdrożenie wielu warstw obrony może pomóc w zapobieganiu rozległym szkodom, utracie danych i przestojom. Pierwsza warstwa obrony polega na próbie zapobiegnięcia początkowej infekcji.

Zapobieganie początkowej infekcji ransomware

Najbardziej narażonymi na ataki punktami każdej sieci są jej punkty styku z Internetem. Chociaż wiele ataków ransomware polega na spersonalizowanym phishingu, mogą także polegać na włamywaniu się do usług dostępnych w Internecie.

Guardicore Reveal umożliwia monitorowanie usług dostępnych w Internecie i ograniczanie ich narażenia na ataki za pomocą polityk obejmujących aspekty takie jak:

Usługi dostępu zdalnego (RDP, SSH, TeamViewer, AnyDesk, VPN).

Usługi potencjalnie podatne na ataki (Apache, IIS, Nginx).

Komputery potencjalnie podatne na ataki (wykrywanie urządzeń z niezaktualizowanym systemem operacyjnym za pomocą Guardicore Insight).
Usługi niezamierzenie narażone na ataki (bazy danych, kontrolery domen, wewnętrzne serwery WWW lub serwery plików).

Nie da się całkowicie zapobiec naruszeniom sieci. Do włamania może dojść w wyniku phishingu, błędu ludzkiego lub uruchomienia na serwerze podatnej na ataki usługi, która nie została odpowiednio zabezpieczona. Dlatego tak ważne jest wdrożenie odpowiednich strategii ograniczania ryzyka. Po włamaniu się do urządzenia należy ograniczyć rozprzestrzenianie się zagrożenia wewnątrz sieci.

Należy podzielić sieć na segmenty operacyjne – według aplikacji, sposobu użytkowania lub środowiska – i nie zezwalać na niepotrzebne połączenia między tymi segmentami i w ich obrębie.

Oto cztery zasady segmentacji, które warto zastosować:

  • Blokada wszelkiej komunikacji między laptopami / stacjami roboczymi
  • Blokada komunikacji z procesami działającymi w oparciu o wysokie uprawnienia użytkowników domeny, takich jak administratorzy domeny
  • Ograniczenie liczby użytkowników, którzy mogą uruchamiać procesy na serwerach
  • Ograniczenie dostępu do serwerów centrum danych i instancji w chmurze z poziomu laptopów / stacji roboczych

Guardicore ułatwia zabezpieczenie sieci przed oprogramowaniem ransomware. Przy użyciu szablonów dostępnych w Guardicore Centra można ograniczyć ataki poprzez skonfigurowanie polityk
w trzech prostych krokach:

  1. Wybór celu, np. wyodrębnienie krytycznej aplikacji, stworzenie polityki łagodzenia skutków działania oprogramowania ransomware lub zabezpieczenie usługi Active Directory.
  2. Identyfikacja odpowiednich zasobów do ochrony, takich jak zasoby aplikacji e-commerce, którą chcesz wyodrębnić, wszystkie procesy Active Directory w centrum danych lub punkty końcowe, które mają być chronione przed rozprzestrzenianiem się oprogramowania ransomware. Ten etap w wielu przypadkach jest realizowany automatycznie przez etykietowanie z użyciem AI Guardicore.
  3. Ochrona zasobów poprzez tworzenie polityk. Sztuczna inteligencja Guardicore automatycznie sugeruje i zaleca polityki w oparciu o rzeczywisty ruch w środowisku oraz uczy się wzorców komunikacji aplikacji w setkach sieci.

Zapobieganie ruchom lateralnym z użyciem zasad ograniczających protokoły Istnieją ogólne wytyczne dotyczące konkretnych protokołów i zachowań. Ze względu na nieodłączne zastosowanie niektórych protokołów w zwykłej codziennej pracy, niektóre z tych protokołów należy ograniczyć z zachowaniem ostrożności. Guardicore Reveal umożliwia wizualizację całego ruchu w celu stworzenia maksymalnie dopasowanych reguł dla danego środowiska, obejmujących protokoły wysokiego ryzyka, takie jak WinRM, SMB, RPC, RDP, SSH i inne.

Na przykład, choć protokół SSH jest przydatny do zdalnego administrowania i służy do zabezpieczania innych protokołów (np. sFTP), to jest także narzędziem wykorzystywanym przez intruzów do łamania zabezpieczeń komputerów i rozprzestrzeniania się w sieci. Należy w jak największym stopniu ograniczyć dostęp do SSH w całej sieci, tworząc serwery przesiadkowe (tzw. jump boxy) dla autoryzowanych użytkowników.

Aby zmaksymalizować szkody, ataki ransomware są zazwyczaj wymierzone w serwery kopii zapasowych organizacji w celu zaszyfrowania przechowywanych tam danych. Innym celem dla oprogramowania ransomware są usługi danych i serwery plików.

Guardicore Centra służy do ograniczania dostępu do serwerów kopii zapasowych, baz danych i serwerów plików, a także do ograniczania dostępu spoza sieci i z regionów sieci, które nie potrzebują dostępu. Aby ograniczyć do minimum ruch do i z krytycznych serwerów kopii zapasowych, można użyć Guardicore Centra, aby wyodrębnić aplikacje i zablokować ruch do i z aplikacji na poziomie procesów i użytkowników. Ograniczenie narażenia usług danych do minimum operacyjnego obniża ryzyko związane z tymi usługami oraz zmniejsza narażenie na ataki z użyciem oprogramowania ransomware i ścieżki jego rozprzestrzeniania się.