Программы-вымогатели продолжают досаждать организациям, становясь всё более изощрёнными за счёт таких тактик, как двойное и многократное вымогательство, использование искусственного интеллекта для более тонких атак и рост модели «программы-вымогатели как услуга».
Руководителям служб информационной безопасности (CISO) и директору по безопасности (CSO) необходимо в приоритетном порядке разработать для своих организаций план действий, чтобы лучше защититься от подобных атак.
Очевидно, что программы-вымогатели остаются серьёзной угрозой кибербезопасности. По данным новой «Оценки состояния программ-вымогателей» от компании CrowdStrike, готовность к противодействию программам-вымогателям отстаёт, поскольку киберпреступники «используют ИИ на всех этапах атаки для ускорения вторжения, шифрования и вымогательства».
Отчёт, основанный на глобальном опросе 1100 лиц, принимающих решения в области ИТ и кибербезопасности, показывает, что 76% организаций с трудом справляются со скоростью и сложностью атак с использованием ИИ. Примерно половина респондентов называют цепочки атак с применением ИИ главной угрозой со стороны программ-вымогателей, а 85% считают, что традиционные методы обнаружения устаревают перед лицом атак, усиленных ИИ.
«Когда речь заходит о программах-вымогателях, большинство компаний по-прежнему воспринимают это как далёкую угрозу, пока она не ударит. Тогда начинается хаос», — говорит Тревор Хоровиц, CISO в компании TrustNet. «Хороший план действий при атаке программ-вымогателей — это не просто документация. Это мышечная память. Вы должны тренироваться так, как будете сражаться».
Вот некоторые ключевые элементы, которые стоит учесть для эффективного противодействия программам-вымогателям.
Планирование и мозговые штурмы: готовность начинается с практики
Любая организация, не имеющая согласованного плана действий в отношении угроз программ-вымогателей, напрашивается на неприятности. Разработка общей стратегии, охватывающей инструменты, процессы и людей, жизненно важна для поддержания непрерывности бизнеса и минимизации финансовых потерь.
Без плана предприятия рискуют предпринять неорганизованный и неэффективный ответ на атаки, что может привести к потере данных, значительному простою систем, проблемам с соблюдением нормативных требований и ущербу для бренда или репутации.
Ключевым компонентом процесса планирования является проведение учений по кибербезопасности в формате мозгового штурма, чтобы смоделировать поведение команд во время реальной атаки программы-вымогателя. Это позволяет организациям тестировать и улучшать свой план реагирования на инциденты в безопасной среде, уделяя внимание принятию решений, коммуникации и установлению чётких ролей.
«Учения в формате мозгового штурма — это то, с чего всё начинается», — говорит Хоровиц. «Если ваша команда руководителей не собиралась вместе и не отрабатывала симуляцию атаки программы-вымогателя, начните с этого. Вы не хотите выяснять, кто имеет право платить выкуп или делать публичное заявление посреди реального взлома. Вы хотите знать, насколько быстро могут работать вместе юристы, ИТ-специалисты и [специалисты по коммуникациям]. Давление велико, и решения принимаются быстро. Поэтому план действий должен направлять эти решения, а не просто лежать на полке».
Эти учения позволяют предприятиям «создавать и поддерживать специализированный план реагирования на инциденты, связанный с программами-вымогателями, который определяет роли, процессы сдерживания, процедуры сбора криминалистических данных и шаблоны коммуникации», — говорит Джон Отте, старший консультант по безопасности в технологической консалтинговой фирме Resultant.
«Проводите реалистичные учения в формате мозгового штурма с участием юридического отдела, отдела коммуникаций, ИТ-специалистов и руководителей, как минимум ежегодно, для отработки принятия решений», — рекомендует Отте.
Учения в формате мозгового штурма должны моделировать реальные сценарии нарушения бизнес-процессов, а не только технические сбои, говорит Джордж Герчоу, CSO в компании Bedrock и преподаватель IANS Research. «Эффективная готовность к атакам программ-вымогателей начинается с практики, а не с паники», — отмечает он. «Наиболее ценными являются сессии с участием руководителей из операционных, юридических, финансовых, кадровых служб и отделов коммуникаций, поскольку эти команды принимают самые сложные решения под давлением».
Кадровое обеспечение, навыки и обучение
Многие организации по-прежнему сталкиваются с нехваткой экспертов по кибербезопасности, поэтому укомплектование команд становится проблемой. Это может стать препятствием для реализации стратегии противодействия программам-вымогателям. Компаниям необходимо обладать разнообразными навыками, включая экспертизу в области обнаружения и предотвращения инцидентов, реагирования на инциденты, настройки межсетевых экранов и других областях.
Им также необходимо быть готовыми обучать всех сотрудников тому, как помочь предотвратить атаки программ-вымогателей. Это включает обучение распознаванию, обработке и сообщению об угрозах, таких как фишинговые электронные письма, подозрительные ссылки и сомнительные вложения.
«Что касается кадрового обеспечения, вам нужны люди, которые знают, что делают», — говорит Хоровиц. «Не только специалисты по кибербезопасности, но и люди из юридического отдела, PR и руководства. И дело не только в количестве. Вам нужна готовность. Назначенный руководитель по инцидентам. Специалист с навыками криминалистического анализа. Человек, который понимает бизнес-риски и знает, когда нужно эскалировать проблему».
Организации часто инвестируют в инструменты, прежде чем инвестировать в людей, и это неправильно, считает Герчоу. «Устойчивость зависит от межфункциональной готовности, когда сотрудники понимают не только, что делать, но и почему это важно», — отмечает он.
Предприятия должны проводить соответствующее их ролям обучение по безопасности для пользователей, включая бизнес-лидеров, ИТ-команды, финансовый отдел и т. д., по реалистичным угрозам, таким как социальная инженерия и вредоносные вложения.
Бизнес-лидеры должны поощрять постоянное обучение, которое связывает риск кибербезопасности с непрерывностью бизнеса и репутацией, говорит Герчоу. «Речь идёт о создании культуры, в которой каждый, от службы поддержки до совета директоров, понимает свою роль в поддержании операционной целостности», — подчеркивает он. «Регулярные программы повышения осведомлённости, drills по реагированию для конкретных ролей и брифинги для руководства помогают перевести технические риски на язык бизнеса».
Шаги по предотвращению
Предприятия могут инвестировать в ряд технологических решений как для защиты от атак программ-вымогателей, так и для устранения последствий инцидентов. Предотвращение атак программ-вымогателей требует многоуровневого подхода, который включает регулярные обновления программного обеспечения и установку патчей, эффективное резервное копирование данных и систем, а также другие инструменты кибербезопасности, такие как межсетевые экраны, многофакторная аутентификация (MFA) и антивирусное программное обеспечение.
Управление патчами и устранение уязвимостей являются жизненно важными элементами защиты от программ-вымогателей, поскольку злоумышленники часто используют уязвимости безопасности — всё чаще в самих устройствах безопасности. Устраняя оба этих аспекта, компании могут проактивно защищаться от угроз программ-вымогателей.
«Поддерживайте приоритизированную и отслеживаемую программу установки патчей, которая минимизирует возможности для эксплуатации уязвимостей», — говорит Отте. «Сочетайте автоматизированное развертывание патчей с проверкой критически важных систем вручную и регулярно запускайте сканирование для выявления отклонений или пропущенных патчей».
Обнаружение и реагирование на конечных точках (EDR), антивирусное ПО (AV), средства защиты электронной почты и от фишинга, а также управление идентификацией и доступом/MFA также являются важными составляющими любой стратегии противодействия программам-вымогателям, отмечает Отте. «Используйте современное EDR с поведенческим обнаружением, возможностью отката и изоляции, а не полагайтесь исключительно на сигнатурный AV», — советует он.
Одним из основных способов, которым злоумышленники осуществляют свои атаки, является электронная почта. «С точки зрения ИТ-безопасности, основной вектор атаки — это система электронной почты», — говорит Расс Эрнст, технический директор Blancco. «Лучшие практики безопасности электронной почты должны быть реализованы во всей организации».
Безопасность электронной почты может включать продвинутые фильтры фишинга для предотвращения распространённых способов доставки программ-вымогателей, говорит Отте. Сложное управление доступом может помочь минимизировать угрозы.
«Внедряйте MFA везде, где это возможно, особенно для привилегированных учётных записей и удалённого доступа, и применяйте принцип наименьших привилегий для ограничения возможностей злоумышленников по перемещению по сети», — рекомендует Отте. «Храните административные учётные данные в централизованном хранилище секретов, регулярно меняйте их и не используйте общие учётные записи локальных администраторов. Требуйте MFA перед любым повышением привилегий. Отслеживайте аномальное использование учётных данных и применяйте обнаружение против атак методом перебора или бокового перемещения с использованием привилегированных учётных данных».
Восстановление и устранение последствий
Если компания подверглась атаке программы-вымогателя, ей необходимо как можно быстрее перейти в режим восстановления и устранения последствий, чтобы минимизировать ущерб. Это включает восстановление систем и данных, а также устранение любого ущерба, затронувшего сотрудников, клиентов и корпоративный бренд.
«Создайте комплексные планы восстановления с приоритезацией последовательности восстановления системы и стратегиями публичных коммуникаций, ориентированными на клиентов, регулирующие органы и правоохранительные органы», — советует Отте. «Заранее привлеките юридических консультантов, представителей киберстраховки и специалистов по криминалистическому анализу для принятия обоснованных, своевременных решений и соблюдения требований уведомления».
Когда происходит атака программы-вымогателя, «устранение последствий должно быть быстрым, но точным», — говорит Хоровиц. «Вы должны немедленно изолировать системы. Остановить распространение. Прекратить каналы связи вредоносного ПО. Привлечь криминалистов, чтобы выяснить, как они проникли. Потому что, если вы не поймёте точку входа, восстановление из резервной копии может просто снова занести угрозу».
Предприятия должны проверять свои резервные копии перед их использованием, говорит Хоровиц. «Я видел, как компании восстанавливали данные, которые выглядели чистыми, только чтобы обнаружить, что вредоносное ПО находилось в состоянии покоя неделями», — отмечает он.
Им также необходимо обеспечить наличие регулярных процессов резервного копирования, говорит Эрнст. «Важно регулярно создавать резервные копии данных, а также регулярно тестировать эти резервные копии», — подчеркивает он. «Данные, регулярно резервируемые в автономной среде, не пострадают от прямой атаки программы-вымогателя».
Доступ к этим сохранённым данным должен помочь минимизировать время простоя, говорит Эрнст. «Резервные копии также помогают вам восстановить инфраструктуру, если вы решите заплатить выкуп и получить ключи шифрования — только чтобы обнаружить, что ваши данные были повреждены и стали непригодными для использования. Если организация понимает, сколько времени требуется для восстановления из резервной копии, она может рассчитать предполагаемое время простоя после атаки программы-вымогателя», — поясняет он.
Организации, которые могут рассмотреть возможность переговоров с группами вымогателей о выплате выкупа, также должны быть в курсе последних советов и тактик.
Процесс восстановления — это не только технический аспект, но и репутационный, говорит Хоровиц. «Если доверие клиентов подорвано, его нужно быстро восстановить», — отмечает он. «Это означает чёткое общение, признание произошедшего и объяснение предпринимаемых действий. Необходимо уведомить правоохранительные органы. Регулирующие органы тоже. И уроки, извлечённые из этой атаки, должны вернуться прямо в план действий. Что сработало? Что нет? Где команда застыла? Этот цикл обратной связи укрепляет вашу программу».
Наличие эффективного внутреннего и внешнего плана коммуникации при атаках программ-вымогателей имеет жизненно важное значение. «Стратегия коммуникации при атаке программы-вымогателя должна быть частью общего корпоративного плана организации, связанного с инцидентами безопасности», — говорит Эрнст. «Он должен определять, кто должен быть проинформирован — сотрудники, клиенты, инвесторы, другие заинтересованные стороны — а также как и когда, что будет сказано в сообщениях и кто будет их отправлять».
