Kriget mot ransomware är verkligt. På senare år har denna form av attack blivit ett giltigt hot mot företag. Vi har sett massiva attacker som har gjort multinationella organisationer, inklusive regeringar, sårbara och oförmögna att fortsätta kritiska operationer. 2017 tog WannaCry IT-avdelningar till sjukhus över hela Europa, med över 200.000 2019 datorer drabbade, vilket visar den destruktiva potentialen hos ransomware. Även om WannaCry och Petya fortfarande är de mest anmärkningsvärda ransomware-attackerna, fortsätter denna form av cyberattack att öka, enligt Europols XNUMX Organised Crime Threat Assessment (IOCTA) rapport. Organisationer måste erkänna detta hot och vidta åtgärder för att förbereda, försvara och vara beredda att möta det. Detta är ett viktigt steg för att undvika ett oväntat och möjligen ineffektivt svar senare i en ransomware-incident. En robust, flerskiktad cybersäkerhetsstrategi och försvar för att hantera ransomware består av tre nyckelelement: utbildning, implementering och åtgärdande. Dessutom är det viktigt att ha en extremt motståndskraftig metod för att säkerhetskopiera, återställa och återställa data för att skydda verksamhetens kontinuitet i händelse av en händelse.
Utbilda verksamheten
Ur ett utbildningsperspektiv bör två huvudmålgrupper riktas: IT-personal och organisationens användare. Det är viktigt att rikta in sig på båda grupperna, eftersom båda karaktärerna kan introducera hot. De viktigaste ingångspunkterna till en verksamhet för ransomware är Remote Desktop Protocol (RDP) eller andra fjärråtkomstmekanismer, nätfiske och programuppdateringar. Enkelt uttryckt, i de flesta fall behöver cyberangripare inte arbeta så hårt som de borde för att vinna stora priser. Att veta att dessa är de tre huvudmekanismerna är en stor hjälp för att avgöra var man ska investera mest ansträngning för att vara motståndskraftig ur ett attackvektorperspektiv. De flesta IT-administratörer använder RDP för sitt dagliga arbete, med många RDP-servrar anslutna direkt till Internet. Verkligheten är att RDP ansluten till Internet måste stoppas. IT-administratörer kan vara kreativa med speciella IP-adresser, vidarebefordra RDP-portar, komplexa lösenord och mer; Men uppgifterna ljuger inte om att mer än hälften av ransomware kommer via RDP. Detta berättar för oss att att exponera RDP-servrar för Internet inte är en banbrytande resistensstrategi för ransomware. Det andra vanliga inmatningsläget är nätfiske-e-post. Vi har alla sett mejl som inte verkar rätt. Det korrekta är att ta bort detta element. Men alla användare hanterar inte dessa situationer på samma sätt. Det finns populära verktyg för att bedöma risken för ett framgångsrikt nätfiskehot mot en organisation som Gophish och KnowBe4. I kombination med utbildning för att hjälpa anställda att identifiera nätfiske-e-postmeddelanden eller länkar, kan självvärderingsverktyg vara ett effektivt förstahandsförsvar. Det tredje området som spelar in är risken för sårbarhetsexploatering. Att uppdatera system är ett urgammalt IT-ansvar som är viktigare än någonsin. Även om det inte är en glamorös uppgift, kan det snabbt verka som en bra investering om en ransomware-incident utnyttjade en känd och korrigerad sårbarhet. Se till att hålla dig uppdaterad med uppdateringar av kritiska IT-tillgångskategorier: operativsystem, applikationer, databaser och enhetsfirmware. Flera stammar av ransomware, inklusive WannaCry och Petya, är baserade på tidigare upptäckta sårbarheter som sedan har korrigerats med lämplig programvara för patchhantering. Även organisationer som följer bästa praxis för att undvika exponering för ransomware är i riskzonen. Även om utbildning och utbildning i cybersäkerhet är ett kritiskt steg måste organisationer förbereda sig för det värsta scenariot. Om det är något IT- och affärschefer behöver komma ihåg är det att ha någon form av extremt robust backuplagring. På Veeam förespråkar vi 3-2-1-regeln som en övergripande datahanteringsstrategi. 3-2-1-regeln rekommenderar att det finns minst tre kopior av viktig data, på minst två olika typer av media, med minst en av dessa kopior utanför platsen. Det bästa är att denna regel inte kräver någon speciell typ av hårdvara och är tillräckligt mångsidig för att hantera nästan alla felscenarios. Den "enda" kopian av 3-2-1-strategin måste vara hög motståndskraft. Med detta menar vi ett tomt, frånkopplat eller oföränderligt utrymme. Det finns olika former av media där denna kopia av data kan lagras på ett ultrabeständigt sätt. Dessa inkluderar bandmedia, oföränderliga säkerhetskopior till S3- eller S3-kompatibel objektlagring, ledigt utrymme och offlinemedia, eller programvara-som-en-tjänst backup och katastrofåterställning (DR). Trots dessa utbildnings- och implementeringstekniker måste organisationer fortfarande vara beredda att åtgärda ett hot om det uppstår. På Veeam är vårt tillvägagångssätt enkelt. Betala inte lösensumman. Det enda alternativet är att återställa data. Dessutom måste organisationer planera sin reaktion när ett hot upptäcks. Den första åtgärden är att kontakta supporten. Veeam-kunder har tillgång till ett speciellt team med specifika operationer för att guida dem genom dataåterställningsprocessen i händelse av ransomware-incidenter. Utsätt inte dina säkerhetskopior på spel eftersom de är avgörande för din förmåga att återställa. Vid katastrofer av alla slag blir kommunikation en av de första utmaningarna att övervinna. Ha en plan för hur du ska kommunicera med rätt personer utanför bandet. Detta skulle inkludera grupptextlistor, telefonnummer eller andra vanliga mekanismer för att anpassa kommunikationen inom ett utökat team.Återvinningsbeslut
Det förs också samtal om beslutanderätt. Företag måste bestämma vem som begär återställning eller failover innan något går fel. När ett återställningsbeslut har fattats bör organisationer implementera ytterligare säkerhetskontroller innan de sätter tillbaka systemen online. Ett beslut måste också tas om huruvida återställning av en hel virtuell maskin (VM) är den bästa lösningen eller om återställning på filnivå är mer meningsfullt. Slutligen bör själva återställningsprocessen vara säker, köra fullständiga virus- och skadliggenomsökningar på alla system och kräva att användarna ändrar sina lösenord efter återställning. Även om hotet om ransomware är verkligt, kan organisationer med lämpliga förberedelser öka motståndskraften mot en incident för att minimera risken för dataförlust, ekonomisk förlust och skada på rykte. Ett tillvägagångssätt på flera nivåer är viktigt. Ge dina IT-team och anställda möjlighet att minimera risker och maximera förebyggande. Implementera dock lösningar för att säkerställa datasäkerhet och säkerhetskopiering. Slutligen, var beredd att åtgärda datasystem med omfattande backup- och katastrofåterställningsfunktioner om dina gamla försvarslinjer misslyckas.- Rick Vanover, Senior Director of Product Strategy, Veeam.