Artykuł Ochrona przed ransomware’em dla każdego pochodzi z serwisu CRN.
]]>Niestety, zmienił się również sposób rozpowszechniania się infekcji. Początkowo cyberprzestępcy przesyłali złośliwe oprogramowanie w załącznikach korespondencji e-mail czy zamieszczali malware na stronach WWW. Obecnie programy szyfrujące coraz częściej przybierają postać robaka internetowego mającego na celu samoistne kopiowanie się w sieci dzięki wykorzystaniu słabych punktów w systemach operacyjnych Windows.
Rodzimy biznes raczej zdaje sobie sprawę z nowych zagrożeń, jednakże w dalszym ciągu podstawą zabezpieczeń w polskich firmach są techniki stosowane od dziesięcioleci – zapory ogniowe poprzedniej generacji oraz oprogramowanie antywirusowe. Rozwiązania te nie zabezpieczają przed pełnym spektrum możliwych ataków, a brak integracji między nimi sprawia, że zarządzanie całością ochronny nie jest skalowalne.
Z uwagi na wyzwania, jakie twórcy aplikacji szantażujących stawiają przed użytkownikami Internetu, specjaliści Cisco stworzyli architekturę Cisco Ransomware Defense.W ten sposób przyspieszyli proces wykrywania infekcji i kompleksową ocenę ich wpływu na sieć klienta. Ponadto zastosowane mechanizmy integracji zapewniają automatyzację procesów zarządzania infrastrukturą, co stanowi znakomitą alternatywę dla rozwiązań punktowych.
Nie każdy atak cybernetyczny można od razu zatrzymać. Tak samo jak żadne rozwiązanie chroniące przed złośliwym oprogramowaniem nie jest w 100 proc. skuteczne. Dlatego tak ważna jest współpraca z zaufanym partnerem, który zajmie się nie tylko wdrożeniem i optymalizacją opisanych elementów architektury bezpieczeństwa, ale również koordynacją i odpowiedzią na atak hakerski, jeżeli do niego już dojdzie. Odpowiednie praktyki, wsparte efektywnymi mechanizmami detekcji ataków pochodzących z różnych źródeł, stanowią znakomitą alternatywę dla tradycyjnych rozwiązań punktowych, które nie spełniają obecnych wymogów ochrony.
W skład nowej architektury CRD wchodzi szereg rozwiązań i funkcji. Spośród nich należy wymienić Cisco Advanced Malware Protection (AMP) for Endpoints. W przeciwieństwie do systemów antywirusowych, Cisco AMP umożliwia ocenę stanu całej sieci IT, gdyż wskazuje administratorowi, które stacje końcowe są zainfekowane złośliwym oprogramowaniem i w jaki sposób rozpowszechniło się ono w sieci (pokazuje mapę tego ruchu). Ponadto Cisco AMP zapewnia retrospektywną analizę oprogramowania. Oznacza to, że plik jest analizowany nie tylko, gdy wchodzi do sieci użytkownika – system bowiem nieustannie analizuje stan stacji i potrafi wychwycić zachowania typowe dla złośliwego oprogramowania (Indicator of Compromise, IOC). Administrator może otrzymać informację zwrotną z chmury Cisco o zmianie dyspozycji pliku nawet po jego wejściu do sieci lokalnej.
Prawie każde oprogramowanie szyfrujące korzysta z DNS, dlatego tak istotne jest monitorowanie tych zapytań wraz z blokowaniem dostępu do źródeł zagrożenia. Stąd duże znaczenie Cisco Umbrella, które nie wymaga instalacji dodatkowego sprzętu, a proces uruchomienia „parasola” zajmuje jedynie kilkanaście minut. Podobnie jak Cisco AMP, chroni użytkownika końcowego niezależnie od tego, czy jest podłączony do sieci firmowej, czy korzysta z sieci niezaufanej. Umożliwia monitorowanie ruchu internetowego oraz dostarcza szczegółowe analizy i statystyki dotyczące zagrożeń.
Kolejna istotna kwestia dotyczy poczty elektronicznej, która wciąż stanowi najczęściej wykorzystywaną przez hakerów „furtkę”. Zastosowanie skutecznych mechanizmów antyphishingowych czy analizy hiperłączy w e-mailach – jak Cisco Email Security z Advanced Malware Protection (AMP) – pozwala wydatnie ograniczyć ilość szkodliwej poczty przychodzącej do skrzynek odbiorczych pracowników firmy. Ponadto wykorzystanie Cisco AMP w bramkach e-mailowych umożliwia gruntowną analizę każdego przychodzącego załącznika.
Wspomniany przykład ataków WannaCry i Petya nie tylko po raz kolejny pokazał, jak ważne dla bezpieczeństwa jest aktualizowanie oprogramowania, ale również jak duża liczba użytkowników zapomina bądź nie ma możliwości zainstalowania krytycznych poprawek do programów. Z tego względu konieczne jest zastosowanie rozwiązań Next-Generation IPS (Intrusion Prevention System), które wykrywają i blokują znane ataki na podstawie odkrytych słabych punktów w firmowej sieci. Do takich należy Cisco Firepower Next-Generation Firewall z Next-Generation IPS (NGIPS) oraz Advanced Malware Protection (AMP).
Natomiast Cisco Identity Services Engines (ISE) to element przydatny do realizacji jednej z najlepszych praktyk budowania bezpiecznych sieci komputerowych, jaką jest mikrosegmentacja oraz zadbanie o kontrolę dostępu użytkowników końcowych do odpowiednich zasobów. Dzięki temu, nawet jeżeli dojdzie do ewentualnej infekcji sieci oprogramowaniem szyfrującym, zakres ataku zostanie skutecznie ograniczony, a administratorzy będą mieli łatwiejsze zadanie podczas przywracania zainfekowanych stacji do działania.
Trendy pokazują, że ataki typu ransomware, które sieją tak wiele spustoszenia na całym świecie, będą dalej ewoluowały. W sporej mierze od resellerów i integratorów zależy, jak klienci zabezpieczą swoje firmy przed tym zagrożeniem.
Artykuł Ochrona przed ransomware’em dla każdego pochodzi z serwisu CRN.
]]>