Ransomware – Zapobieganie i Łagodzenie – najlepsze praktyki – część 1
Zaledwie trzy tygodnie temu opublikowaliśmy artykuł, w którym zwrócono uwagę na aktualne trendy w branży oprogramowania ransomware, ujawniając stały wzrost liczby incydentów związanych z oprogramowaniem ransomware w ciągu ostatnich kilku lat.
Na początku czerwca BBC poinformowało o kolejnej sprawie związanej z oprogramowaniem ransomware, w którą zaangażowana była niesławna rosyjska grupa hakerska znana jako Clop. Ta grupa ujawniła w ciemnej sieci, że z powodzeniem naruszyła dane osobowe ponad 100 000 pracowników znanych organizacji, takich jak BBC, British Airways i Boots.
Biorąc pod uwagę panujące okoliczności, nie jest niespodzianką, że 23 maja CISA, NSA i FBI wspólnie wydały zaktualizowany dokument o nazwie „Przewodnik #StopRansomware”. Ten kompleksowy przewodnik koncentruje się na zapobieganiu atakom ransomware i łagodzeniu ich skutków.
Przewodnik zawiera nieocenione wskazówki dla organizacji, oferując skuteczne strategie minimalizowania skutków i prawdopodobieństwa incydentów związanych z oprogramowaniem ransomware i wyłudzania danych. Zawiera zbiór najlepszych praktyk, które organizacje mogą zastosować, aby przygotować się na takie incydenty, zapobiegać im i łagodzić je. Te najlepsze praktyki w zakresie zapobiegania są podzielone na kategorie według typowych wektorów dostępu początkowego. Ponadto przewodnik zawiera pomocną listę kontrolną najlepszych praktyk w zakresie reagowania na incydenty związane z oprogramowaniem ransomware.
Przygotowanie na incydenty ransomware i wyłudzania danych
Utrzymywanie w trybie offline, zaszyfrowane kopie zapasowe danych krytycznych
Aby zapewnić bezpieczeństwo danych krytycznych, niezbędne jest utrzymywanie zaszyfrowanych kopii zapasowych w trybie offline. Regularne testowanie dostępności i integralności tych kopii zapasowych w sytuacji odzyskiwania po awarii ma kluczowe znaczenie. Wskazane jest przeprowadzanie okresowych testów procedur tworzenia kopii zapasowych w celu sprawdzenia ich skuteczności.
Podkreślenie aspektu offline ma ogromne znaczenie, ponieważ liczne odmiany oprogramowania ransomware aktywnie wyszukują i próbują usunąć lub zaszyfrować dostępne kopie zapasowe. Trzymając kopie zapasowe w trybie offline, większe są szanse na przywrócenie systemu nawet jeśli okup nie zostanie zapłacony,
Niezbędne jest utrzymywanie i konsekwentne aktualizowanie referencyjnej maszyny wirtualnej „Golden Image” krytycznych systemów. Obejmuje to przechowywanie „szablonów” obrazów, które zawierają wstępnie skonfigurowane systemy operacyjne (OS) i powiązane aplikacje, umożliwiające szybkie wdrożenie w celu przebudowy systemu, takiego jak maszyny wirtualne lub serwery.
- Wykorzystywanie infrastruktury jako kodu (IaC), aby ułatwić wdrażanie i aktualizowanie zasobów w chmurze. Przechowując kopie zapasowe plików szablonów w trybie offline, możesz w razie potrzeby szybko ponownie wdrożyć zasoby. Niezbędne jest utrzymywanie kontroli wersji kodu IaC i przeprowadzanie dokładnych audytów wszelkich zmian wprowadzanych w szablonach.
- Oprócz kopii zapasowych offline zaleca się przechowywanie odpowiedniego kodu źródłowego lub plików wykonywalnych. Ponadto należy zachować zdeponowane kopie i umowy licencyjne. Chociaż przebudowa z obrazów systemowych jest ogólnie bardziej wydajna, niektóre obrazy mogą nie zostać poprawnie zainstalowane na innym sprzęcie lub na różnych platformach. Posiadanie oddzielnego dostępu do oprogramowania pomaga w takich przypadkach.
Aby zapewnić alternatywną opcję odzyskiwania systemu, zaleca się zachowanie zapasowego sprzętu, którego można użyć do odbudowy systemów, jeśli odbudowa systemu podstawowego nie jest preferowanym sposobem działania.
- Aby ułatwić procesy przywracania, należy rozważyć wymianę przestarzałego sprzętu na nowoczesny. Starszy sprzęt może stanowić wyzwanie pod względem instalacji i kompatybilności podczas odbudowy z obrazów systemu. Dzięki aktualizacji do nowoczesnego sprzętu można zminimalizować potencjalne przeszkody i zapewnić płynniejsze działanie przywracania.
Aby zapobiec uzależnieniu się od dostawcy i zapewnić solidne kopie zapasowe między chmurami, zaleca się rozważenie wdrożenia rozwiązania wielochmurowego. Korzystając z usług wielu dostawców usług w chmurze, możesz ograniczyć ryzyko, że problem z jednym dostawcą wpłynie na wszystkie konta. Takie podejście zapewnia dodatkową odporność i elastyczność w zarządzaniu i zabezpieczaniu kopii zapasowych na różnych platformach w chmurze.
- Warto zauważyć, że niektórzy dostawcy usług w chmurze zapewniają niezmienne rozwiązania pamięci masowej, które zapewniają ochronę danych bez konieczności posiadania oddzielnego środowiska. Należy jednak zachować ostrożność podczas korzystania z pamięci niezmiennej, ponieważ może ona nie spełniać wymagań zgodności określonych przepisów. Ponadto błędne konfiguracje we wdrażaniu niezmiennej pamięci masowej mogą powodować znaczne koszty. Dlatego ważne jest, aby dokładnie ocenić przydatność niezmiennej pamięci masowej do konkretnych potrzeb i zapewnić odpowiednią konfigurację, aby uniknąć potencjalnych pułapek
Plan reagowania na incydenty cybernetyczne
Stworzenie i konsekwentne aktualizowanie kompleksowego planu reagowania na incydenty cybernetyczne (IRP) wraz z planem komunikacji. Powinno to obejmować dobrze zdefiniowane procedury reagowania i powiadamiania odpowiednich stron w przypadku oprogramowania wymuszającego okup, wyłudzania danych lub incydentów naruszenia danych. Regularne przeprowadzanie ćwiczeń, aby sprawdzić skuteczność PRnI. Ważne jest, aby mieć łatwo dostępną wersję papierową planu, jak również wersję offline, aby zapewnić jego dostępność nawet w scenariuszach offline.
Zastosowanie architektury zerowego zaufania
Aby zwiększyć bezpieczeństwo i ograniczyć nieautoryzowany dostęp do danych i usług, zaleca się wdrożenie architektury Zero Trust Architecture (ZTA). Takie podejście podkreśla potrzebę szczegółowego egzekwowania kontroli dostępu. ZTA działa w oparciu o założenie, że sieć jest już zagrożona i stosuje zestaw zasad i strategii mających na celu zminimalizowanie niepewności podczas egzekwowania dokładnych decyzji o najniższych uprawnieniach dostępu dla każdego żądania w systemach i usługach informatycznych. Wdrażając ZTA, organizacje mogą znacznie poprawić swój poziom bezpieczeństwa i zmniejszyć ryzyko nieautoryzowanego dostępu.
Zapobieganie i łagodzenie incydentów związanych z oprogramowaniem ransomware i wyłudzaniem danych
Najlepsze praktyki w zakresie zapobiegania są kategoryzowane na podstawie typowych punktów wejścia używanych przez sprawców oprogramowania ransomware i wyłudzania danych.
Wektor początkowego dostępu: luki w zabezpieczeniach i błędne konfiguracje w Internecie
- Przeprowadzanie regularnego skanowania pod kątem luk w zabezpieczeniach, aby wykrywać i szybko usuwać luki w zabezpieczeniach, szczególnie na urządzeniach wystawionych na działanie Internetu. Pomaga to zminimalizować powierzchnię ataku i poprawia ogólną postawę bezpieczeństwa.
- Zapewnienie regularnego instalowania poprawek i aktualizowanie oprogramowania i systemów operacyjnych do najnowszych dostępnych wersji. Ta praktyka pomaga wyeliminować znane luki w zabezpieczeniach i wzmacnia ogólne bezpieczeństwo systemów.
- Priorytetem jest szybkie łatanie serwerów podłączonych do Internetu, które przetwarzają dane internetowe, takich jak przeglądarki internetowe, wtyczki do przeglądarek i czytniki dokumentów, zwłaszcza w przypadku luk w zabezpieczeniach, o których wiadomo, że są aktywnie wykorzystywane.
- Uznając wyzwania stojące przed małymi i średnimi firmami w zakresie utrzymywania aktualnych serwerów z dostępem do Internetu, organizacje stojące za tym przewodnikiem zdecydowanie zalecają rozważenie przejścia na renomowanych „zarządzanych” dostawców chmury. Ta migracja może pomóc zmniejszyć, choć nie wyeliminować, obowiązki związane z konserwacją systemów tożsamości i poczty e-mail.
- Podjęcie działań, aby zapewnić odpowiednią konfigurację i włączyć funkcje zabezpieczeń na wszystkich urządzeniach lokalnych, usługach w chmurze, urządzeniach mobilnych i osobistych (np. przynieś własne urządzenie [BYOD]). Na przykład wyłącz nieużywane porty i protokoły, które nie są niezbędne do prowadzenia działalności biznesowej, takie jak Remote Desktop Protocol [RDP] na porcie 3389 protokołu Transmission Control Protocol [TCP].
- Ograniczenie korzystania z protokołu Remote Desktop Protocol (RDP) i innych usług pulpitu zdalnego.
Jeśli korzystanie z protokołu RDP (Remote Desktop Protocol) jest niezbędne, kluczowe znaczenie ma wdrożenie najlepszych praktyk w celu ograniczenia ryzyka. Aktorzy stanowiący zagrożenie często wykorzystują odsłonięte i nieodpowiednio zabezpieczone usługi zdalne w celu uzyskania wstępnego dostępu do sieci. Mogą dalej poruszać się po sieci, wykorzystując natywnego klienta Windows RDP. Ponadto cyberprzestępcy często atakują wirtualne sieci prywatne (VPN) lub wykorzystują przejęte dane uwierzytelniające w celu uzyskania nieautoryzowanego dostępu. Ważne jest, aby zachować czujność i podjąć odpowiednie środki w celu zabezpieczenia RDP i innych usług zdalnych, aby zapobiec takiemu nieautoryzowanemu dostępowi.
- Przeprowadzanie regularnych audytów sieci w celu identyfikacji systemów wykorzystujących protokół RDP. Zamknięcie wszystkich nieużywanych portów RDP i wymuszeniu blokady kont po określonej liczbie nieudanych prób. Zaimplementowanie uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa i upewnij się, że próby logowania RDP są dokładnie rejestrowane.
- Aktualizacja sieci VPN, urządzeń infrastruktury sieciowej i urządzeń do pracy zdalnej za pomocą najnowszych poprawek oprogramowania i konfiguracji zabezpieczeń. Zaimplementowanie MFA dla wszystkich połączeń VPN, aby zwiększyć bezpieczeństwo. Jeśli MFA nie istnieje, nakaż telepracownikom stosowanie haseł o długości co najmniej 15 znaków w celu wzmocnienia środków uwierzytelniania.
- Wyłączenie protokołu Server Message Block (SMB) w wersji 1 i 2 i przejście do wersji 3 (SMBv3) po usunięciu wszelkich zależności, które mogą występować w istniejących systemach lub aplikacjach i które mogą potencjalnie zostać zakłócone przez wyłączenie.
Wektor początkowego dostępu: naruszone dane uwierzytelniające
- Wdrożenie rozwiązania do uwierzytelniania wieloskładnikowego (MFA), które są odporne na ataki typu phishing dla wszystkich usług.
W szczególności w przypadku poczty e-mail, sieci VPN i kont z dostępem do systemów krytycznych należy zapewnić wdrożenie usługi MFA. W przypadkach, gdy systemy nie obsługują MFA, nie egzekwują MFA lub użytkownicy nie są zarejestrowani w MFA, niezwłocznie zgłoś te ustalenia kierownictwu wyższego szczebla w celu odpowiedniej eskalacji.
- Ocena możliwości przyjęcia bezhasłowych metod uwierzytelniania wieloskładnikowego (MFA), które zastępują tradycyjne hasła dwoma lub więcej czynnikami weryfikacyjnymi, takimi jak rozpoznawanie odcisków palców, rozpoznawanie twarzy, kod PIN urządzenia lub klucze kryptograficzne. Takie podejście zwiększa bezpieczeństwo i eliminuje poleganie na hasłach jako pojedynczym punkcie podatności na ataki.
- Zapoznanie się z opcją subskrypcji usług monitorowania danych uwierzytelniających, które aktywnie monitorują ciemną sieć w poszukiwaniu przejętych danych uwierzytelniających. Usługi te pomagają wykryć, czy jakiekolwiek dane uwierzytelniające pracownika lub organizacji zostały naruszone, umożliwiając szybką reakcję i ograniczając potencjalne ryzyko związane z nieautoryzowanym dostępem lub przejęciem konta.
- Wdrażanie systemów zarządzania tożsamością i dostępem (IAM), aby wyposażyć administratorów w narzędzia i technologie niezbędne do skutecznego monitorowania i zarządzania rolami i uprawnieniami dostępu poszczególnych podmiotów sieciowych zarówno w aplikacjach lokalnych, jak i chmurowych. Systemy IAM pomagają zapewnić odpowiednie zarządzanie i kontrolę nad dostępem użytkowników, zmniejszając ryzyko nieautoryzowanego dostępu i zwiększając ogólne bezpieczeństwo.
- Zaimplementowania podejścia kontroli dostępu oparte na zerowym zaufaniu, ustanawiając solidne zasady dostępu, które ściśle ograniczają dostęp użytkownika do zasobów i dostęp do zasobów. Ta praktyka jest szczególnie krytyczna, jeśli chodzi o zarządzanie kluczowymi zasobami w chmurze.
- Zmiana domyślnych nazw użytkownika i haseł administratora
- Nieużywanie kont dostępu root do codziennych operacji.
- Zaimplementowanie zasad dotyczących haseł, które wymagają unikatowych haseł o długości co najmniej 15 znaków.
- Egzekwowanie zasad, które automatycznie blokują konta użytkowników po określonej liczbie nieudanych prób logowania. Ponadto zaimplementowanie kompleksowego mechanizmu rejestrowania i monitorowania w celu śledzenia prób logowania, w szczególności w celu wykrywania i ograniczania łamania haseł metodą brute force oraz ataków polegających na rozpylaniu haseł.
- Przechowywanie haseł w zabezpieczonej bazie danych i używanie silnych algorytmów haszujących.
- Wyłączenie zapisywania haseł w przeglądarce w konsoli zarządzania zasadami grupy.
- Zaimplementowanie rozwiązania hasła lokalnego administratora (LAPS) tam, gdzie to możliwe, jeśli Twój system operacyjny jest starszy niż Windows Server 2019 i Windows 10, ponieważ te wersje nie mają wbudowanego LAPS.
- Włączenie kompleksowego szkolenie w zakresie bezpieczeństwa haseł do corocznego programu szkoleń z zakresu bezpieczeństwa dla wszystkich pracowników. Podkreślenie znaczenia niewykorzystywania haseł na wielu kontach oraz ryzyko związane z zapisywaniem haseł w plikach lokalnych.
- Użycie Windows PowerShell Remoting, Remote Credential Guard lub RDP z ograniczeniami.
- Wprowadzenie wyraźnego podziału między kontami administratorów i kontami użytkowników. Wyznaczenie konkretnego konta administratora wyłącznie do zadań administracyjnych, upewniając się, że są one wykorzystywane wyłącznie do takich celów. Przyznając uprawnienia administracyjne poszczególnym użytkownikom do ich stacji roboczych, należy utworzyć osobne konta, które nie mają dostępu administracyjnego do innych hostów, takich jak serwery. W niektórych środowiskach chmurowych należy rozważyć rozdzielenie obowiązków przez ograniczenie uprawnienia konta odpowiedzialnego za udostępnianie kluczy/zarządzanie nimi do korzystania z kluczy i odwrotnie. Należy zauważyć, że to podejście może powodować dodatkowe narzuty związane z zarządzaniem i może nie być odpowiednie dla wszystkich środowisk.
Wektor początkowego dostępu: Phishing
- Ustanowienie kompleksowego programu uświadamiania i szkolenia użytkowników w zakresie cyberbezpieczeństwa, który obejmuje wskazówki dotyczące identyfikowania i zgłaszania podejrzanych działań, takich jak próby phishingu, a także innych incydentów.
- Zaimplementowanie flagowania zewnętrznych wiadomości e-mail w klientach poczty e-mail.
- Wdrożenie mechanizmów filtrowania w bramce poczty e-mail, aby skutecznie identyfikować i blokować wiadomości e-mail zawierające znane złośliwe wskaźniki, w tym złośliwe tematy. Ponadto zaimplementowanie reguły zapory, aby proaktywnie blokować podejrzane adresy protokołu internetowego (IP).
- Włączenie filtrów popularnych załączników, aby ograniczyć typy plików, które zwykle zawierają złośliwe oprogramowanie i nie powinny być wysyłane pocztą e-mail.
- Zaimplementowanie zasady uwierzytelniania, raportowania i zgodności wiadomości opartej na domenie (DMARC) oraz mechanizmów weryfikacji, aby zmniejszyć ryzyko otrzymywania sfałszowanych lub zmodyfikowanych wiadomości e-mail z legalnych domen. DMARC zwiększa ochronę domeny, przeciwdziałając fałszowaniu wiadomości e-mail, ale należy pamiętać, że nie zapewnia ochrony przed sfałszowanymi wiadomościami przychodzącymi, chyba że domena wysyłająca również korzysta z DMARC. DMARC opiera się na powszechnie przyjętych protokołach, takich jak Sender Policy Framework (SPF) i Domain Keys Identified Mail (DKIM), obejmujących funkcję raportowania, która umożliwia nadawcom i odbiorcom ulepszenie i monitorowanie ochrony domeny przed oszukańczymi działaniami e-mailowymi.
- Należy upewnić się, że skrypty makr są wyłączone dla plików pakietu Microsoft Office przesyłanych pocztą e-mail. Te makra mogą być używane do dostarczania oprogramowania ransomware.
- Wyłączenie hosta skryptów systemu Windows (WSH). Hosting skryptów systemu Windows zapewnia środowisko, w którym użytkownicy mogą wykonywać skrypty lub wykonywać zadania.
Wektor początkowego dostępu: Wstępna infekcja złośliwym oprogramowaniem
- Korzystanie z automatycznych aktualizacji oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem oraz upewnienie się, że powiązane sygnatury są regularnie aktualizowane. Skonfigurowanie narzędzi bezpieczeństwa, aby szybko eskalować ostrzeżenia i wskaźniki, ostrzegając personel bezpieczeństwa o potencjalnych zagrożeniach. Zaleca się korzystanie z centralnie zarządzanego rozwiązania antywirusowego. Takie rozwiązanie umożliwia wykrywanie zarówno prekursorów malware, jak i ransomware
- Zaimplementowanie rozwiązań do tworzenia list dozwolonych aplikacji i/lub wykrywania i reagowania na punkty końcowe (EDR) we wszystkich zasobach, aby zapewnić ścisłą kontrolę nad wykonywaniem oprogramowania. Takie podejście zapewnia, że dozwolone jest uruchamianie tylko autoryzowanego oprogramowania, a nieautoryzowane oprogramowanie jest skutecznie blokowane.
- Ocena wdrożenia systemu wykrywania włamań (IDS) w celu skutecznego identyfikowania działań w zakresie dowodzenia i kontroli, a także innych potencjalnie złośliwych zachowań w sieci, które poprzedzają wdrożenie oprogramowania ransomware.
- Monitorowanie i analizowanie wskaźników podejrzanej aktywności, wykorzystując narzędzie Windows Sysmon do proaktywnego identyfikowania i blokowania tworzenia plików złośliwego oprogramowania.
Wektor początkowego dostępu: Zaawansowane formy inżynierii społecznej
- Opracowanie kompleksowych zasad, które obejmują szkolenie w zakresie świadomości cyberbezpieczeństwa, w szczególności dotyczące zaawansowanych form inżynierii społecznej, dla personelu mającego dostęp do sieci. Szkolenie to powinno koncentrować się na wyposażeniu pracowników w wiedzę i umiejętności pozwalające na identyfikowanie nielegalnych stron internetowych i wyników wyszukiwania. Regularne powtarzanie szkoleń w zakresie świadomości bezpieczeństwa ma kluczowe znaczenie dla zapewnienia, że pracownicy są na bieżąco informowani i zachowują czujne podejście do praktyk związanych z cyberbezpieczeństwem.
- Wdrożenie rozwiązania Protective Domain Name System (DNS), aby zwiększyć bezpieczeństwo sieci dla pracowników zdalnych. Usługi te blokują złośliwą aktywność internetową u źródła, oferując solidną ochronę przed zagrożeniami, takimi jak złośliwe oprogramowanie, oprogramowanie ransomware, ataki typu phishing, wirusy, złośliwe witryny i oprogramowanie szpiegujące. Wykorzystując istniejący protokół i architekturę DNS, usługi Protective DNS analizują zapytania DNS i podejmują natychmiastowe działania w celu ograniczenia potencjalnych zagrożeń.
- Ocena wdrożenia przeglądarek działających w trybie ‘sandbox’ jako środka zabezpieczającego systemy przed złośliwym oprogramowaniem pochodzącym z przeglądania sieci. Przeglądarki pracujące w trybie ‘sandbox’ tworzą bezpieczne środowisko, które izoluje komputer hosta od potencjalnie złośliwego kodu, znacznie zmniejszając ryzyko infekcji złośliwym oprogramowaniem.
Wektor początkowego dostępu: osoby trzecie i dostawcy usług zarządzanych
- Ocena praktyk zarządzania ryzykiem i higieną cybernetyczną zewnętrznych dostawców lub dostawców usług zarządzanych (MSP), na których Twoja organizacja polega, aby realizować swoją misję. Należy wziąć pod uwagę, że MSP zostały zidentyfikowane jako potencjalne wektory infekcji dla oprogramowania ransomware, które ma wpływ na wielu odbiorców usług MSP.
- Wdrażanie zasady najmniejszych uprawnień i utrzymywania wyraźnego rozdziału obowiązków przy udzielaniu dostępu stronom trzecim. Upewnienie się, że strony trzecie i MSP mają dostęp tylko do urządzeń i serwerów, które są odpowiednie do ich konkretnych ról i obowiązków.
- Ocena wdrożenia zasad kontroli usług (SCP) dla zasobów opartych na chmurze, aby ograniczyć użytkownikom lub rolom dostęp do określonych usług lub wykonywanie określonych działań w ramach tych usług. Korzystając z punktów SCP, organizacje mogą egzekwować szczegółową kontrolę nad uprawnieniami i uniemożliwiać użytkownikom wykonywanie działań, takich jak usuwanie dzienników, modyfikowanie konfiguracji Virtual Private Cloud (VPC) lub modyfikowanie konfiguracji dzienników.
W przyszłym tygodniu w części 2 będziemy kontynuować ogólne najlepsze praktyki i wskazówki dotyczące utwardzania, a także przedstawimy listę kontrolną oprogramowania ransomware i wymuszania danych.
0 komentarzy