Artykuł Sophos ułatwia ochronę przed ransomwarem pochodzi z serwisu CRN.
]]>1. Nieustanny rozwój technik ataku
Cyberprzestępcy nie ustają w próbach maksymalizacji swojego zysku. Ich celem jest jak największe zautomatyzowanie procesu zarażania komputerów ofiar i pobierania od nich okupu. Stali się profesjonalistami, od których mogliby się uczyć inni twórcy oprogramowania oraz dostępnych przez Internet usług.
Żądza zysku cyberprzestępców spowodowała również, że postanowili „podzielić się” swoją wiedzą z innymi nieuczciwymi osobami, mniej biegłymi w kryptografii. Dlatego powstała nowa dziedzina usług określana mianem Malware-as-a-Service (MaaS). Obecnie atak może zainicjować nawet zupełny amator. Być może taki atak będzie miał ograniczony zasięg, ale nadal zapewni zyski. Wystarczy, że wykorzystująca malware osoba będzie miała wystarczające zdolności, aby korzystając z metod inżynierii społecznej, przekonać ofiary np. do zainstalowania złośliwego kodu zawierającego ransomware.
2. Luki w strategii zabezpieczeń firm
W przedsiębiorstwach nadal często brakuje podstawowej ochrony przed skutkami działania oprogramowania ransomware, czyli odpowiedniej strategii backupowej. Nie są wykonywane kopie danych w czasie rzeczywistym, brakuje także kopii znajdujących się na nośnikach fizycznie odseparowanych od systemów produkcyjnych. Kolejnym problemem jest brak polityki aktualizacji systemów operacyjnych i aplikacji, a to właśnie luki w niezałatanym oprogramowaniu są najczęściej wykorzystywane do ataków.
Niewystarczająca uwaga jest też przywiązywana do zasad nadawania uprawnień użytkownikom (bardzo często mają uprawnienia administratora) oraz ich szkoleń, dzięki którym nabraliby umiejętności rozpoznawania podejrzanych załączników i korespondencji phishingowej. Problemem jest też brak segmentacji w sieci (serwery nieoddzielone od stacji roboczych) oraz luki w konfiguracji systemów ochronnych (skanerów antywirusowych, firewalli, IPS-ów, bram e-mail/web).
3. Brak zaawansowanych systemów ochronnych
W wielu firmach stosuje się jakieś narzędzia, ale z reguły nie są skuteczne wobec działania oprogramowania ransomware. Cyberprzestępcy nauczyli się je omijać, np. zaraz po procesie zaszyfrowania danych złośliwy kod sam siebie usuwa z komputera, aby utrudnić jego analizę.
Żeby móc zatrzymać atak ransomware, należy wprowadzić zabezpieczenia w wielu obszarach. Przede wszystkim trzeba wyposażyć stacje końcowe w oprogramowanie antywirusowe oraz dodatkowe narzędzia (np. Sophos Intercept X) sprawdzające w czasie rzeczywistym, czy na komputerze nie aktywowano jakiegoś procesu szyfrującego dane.
Administratorzy często zapominają też, że źródłem rozprzestrzeniania się ransomware’u w firmie bywają lokalne serwery. Dlatego resellerzy powinni zaopatrzyć swoich klientów w takie narzędzia jak
Sophos Server Protection, które zapewnia tworzenie białych list serwerów i uruchomionych na nich aplikacji, co ułatwia blokowanie działania złośliwego kodu.
Kolejny etap to zabezpieczenie serwera poczty elektronicznej, aby nie przepuszczał wiadomości zawierających złośliwy kod w załączniku lub linki do niego. Narzędzia ochronne są w stanie w odpowiednim momencie zwrócić użytkownikom uwagę, że nierozważne klikanie w linki wiadomości e-mail może być zgubne w skutkach. Odpowiednia ochrona powinna być też zaimplementowana na serwerach web.
Warto też pomyśleć o komunikacji między zainstalowanymi systemami ochronnymi. W przypadku rozwiązań marki Sophos wymiana informacji następuje dzięki funkcji Sophos Heartbeat. To zapewnia szybką korelację informacji o pozornie niewiele znaczących wydarzeniach, które w efekcie mogą prowadzić do utraty danych.
Dodatkowe informacje: 
Sebastian Zamora, Channel Account Executive, Sophos,
Artykuł powstał we współpracy z firmą Sophos.
Artykuł Sophos ułatwia ochronę przed ransomwarem pochodzi z serwisu CRN.
]]>Artykuł Skuteczna ochrona przed ransomware’em pochodzi z serwisu CRN.
]]>W zasadzie wiadomości pocztowe, które zawierają złośliwy kod lub linki do niego, powinny być blokowane, jeszcze zanim trafią na serwer pocztowy. Szczególnie ważne jest unikanie załączników z dokumentami zawierającymi programy makro. Stąd w Intercept X stosowane są zarówno mechanizmy antyspamowe, które identyfikują podejrzane maile, jak też antywirusowe, analizujące przesłany do odbiorcy kod. Funkcja Time-of-Click uniemożliwia użytkownikowi kliknięcie znajdującego się w wiadomości linku prowadzącego do zainfekowanej strony internetowej lub zawierającej złośliwy kod do pobrania.
Zagrożenia płynące bezpośrednio z sieci web neutralizowane są w firewallu i bramie web. Funkcja filtrowania adresów URL chroni użytkowników przed wejściem na strony zawierające kod ransomware, jak również będące centrum zarządzania i kontroli komputerów zombie (z już zainstalowanym złośliwym oprogramowaniem), czekających na instrukcje od przestępców. Całkowicie uniemożliwione jest też pobieranie oprogramowania zawierającego ransomware na komputer użytkownika.
Sebastian Zamora
Channel Account Executive, Sophos
Eksperci IT wiedzą, że obecnie stosowanie tylko jednej metody zabezpieczania danych w firmie nie przynosi pożądanego efektu. Dlatego powstało rozwiązanie Sophos Intercept X. Zastosowano w nim nowatorskie połączenie różnych technik ochronnych. Stworzono je w wyniku uważnej obserwacji szybko zmieniającej się charakterystyki zagrożeń, której towarzyszy znaczący wzrost wartości firmowych danych. W analizie wzorców zachowań złośliwego oprogramowania, sposobów przeprowadzania ataku oraz przypuszczalnych motywów przestępców pomaga nam analiza Big Data, prowadzona w centrach danych Sophos.
Mechanizmy ochrony zarówno poczty, jak i stron sieci web mają dostęp do chmurowej usługi sandbox, w której testowane jest zachowanie kodu uznanego wstępnie przez rozwiązanie Sophos za podejrzany. Dzięki temu w praktyce każdy użytkownik dysponuje własnym laboratorium, chroniącym go przed złośliwym oprogramowaniem. W rozwiązaniu Intercept X zastosowano także mechanizm białej listy dla aplikacji, które uprawnione są do dokonywania zmian w danych znajdujących się na firmowych serwerach. Wszystkie inne próby są blokowane i zgłaszane administratorowi.
Bijące serce sieci
W celu wymiany informacji dotyczących bezpieczeństwa, przesyłanych między różnymi urządzeniami w sieci, producent stworzył platformę Sophos Security Heartbeat. Rolę centralnego firewalla pełni w niej system operacyjny Sophos Firewall OS, który może funkcjonować w kilku instancjach, m.in. w urządzeniu Sophos XG Firewall, jako programowy firewall lub w wirtualnej maszynie. Rolę strażnika na stacjach końcowych pełni Central Endpoint Advanced. Dzięki Sophos Security Heartbeat wszystkie podłączone do sieci urządzenia sieciowe oraz końcowe komunikują się i wymieniają informacje o podejrzanym zachowaniu oprogramowania lub użytkowników próbujących dostać się do firmowych zasobów przez Internet. Centralny firewall jest w stanie odciąć podejrzane urządzenie końcowe od pozostałych i wymusić podjęcie działań, dzięki którym poziom ochrony tego sprzętu zostanie zweryfikowany. Po upewnieniu się, że nie stanowi on zagrożenia, blokada zostaje zdjęta.
Intercept X jest częścią tego mechanizmu, dzięki czemu administratorzy mogą zarządzać bezpieczeństwem całego środowiska IT z jednej centralnej konsoli. Zastosowanie wspomnianego rozwiązania na stacjach roboczych praktycznie nie wpływa na wydajność ich pracy. W ten sposób przestrzega się zasady, że efektywność ma być wykorzystywana do codziennych zadań biznesowych, a nie do pracy algorytmów ochronnych.
Dodatkowych informacji na temat Intercept X i innych rozwiązań Sophos udziela Sebastian Zamora (sebastian.zamora@sophos.com), pełniący w Polsce funkcję Channel Account Executive. Oficjalnymi dystrybutorami Sophos w Polsce są AB i Konsorcjum FEN.
Artykuł Skuteczna ochrona przed ransomware’em pochodzi z serwisu CRN.
]]>