Програми-вимагачі — це не питання «чи» з’явиться, а радше «коли». Зловмисники наполегливі, добре фінансовані та постійно розробляють нові методи. Цілком імовірно, що ваш захист врешті-решт зіткнеться із загрозою, яку не зможе зупинити.
Ось чому помилково розглядати профілактику та відновлення як окремі стратегії. Вони працюють разом. Профілактика зменшує частоту успішних атак, тоді як відновлення зменшує шкоду, коли вони трапляються. Пропускаючи будь-яку з них, ви берете на себе непотрібні ризики для свого бізнесу.
Профілактика зупиняє більшість нападів
Запобігання блокує зловмисників, перш ніж вони зможуть зашифрувати ваші системи та вимагати оплати. Саме на це витрачається більшість бюджетів на безпеку, оскільки зупинка атаки дешевша та менш руйнівна, ніж відновлення після неї.
Надійна профілактика починається з контролю доступу. Слабкі облікові дані та відсутність багатофакторної автентифікації забезпечують зловмисникам легкий доступ. Згідно з дослідженнями користувачів Microsoft Azure Active Directory, лише багатофакторна автентифікація знижує ризик компрометації облікового запису на понад 99,2% . Цей другий крок перевірки зупиняє більшість атак на основі облікових даних.
Керування привілейованим доступом має не менше значення. Користувачі, які працюють із постійними правами адміністратора, створюють величезну проблему безпеки. Будь-яке шкідливе програмне забезпечення, яке вони випадково запускають, отримує ті самі підвищені дозволи. Рішення EPM від Admin By Request вирішує цю проблему, надаючи адміністративний доступ лише за потреби та лише для певних програм, а не повсюдне підвищення прав. (В Україні постачальником рішень Admin By Request є компанія Ідеалсофт (Idealsoft).
Не можна ігнорувати й регулярне оновлення. Зловмисники спеціально полюють на непатчені системи, оскільки відомі вразливості легко використати. Регулярно оновлюйте своє програмне забезпечення, особливо все, що піддається впливу Інтернету.
Навчання співробітників допомагає, але люди роблять помилки. Ваша архітектура безпеки повинна передбачати, що хтось врешті-решт натисне неправильне посилання або завантажить щось шкідливе. Створіть захист, який працюватиме навіть тоді, коли людський глузд не спрацьовує.
Відновлення обмежує шкоду
Жоден захист не є куленепробивним. Коли зловмисники проникають у систему, можливості відновлення визначають, наскільки сильно вони вам завдають шкоди. За умови правильного виконання відновлення, воно дозволяє відновити ваші системи та дані з мінімальним часом простою. Це вимагає підготовки задовго до початку атаки.
Резервні копії не підлягають обговоренню, але їх потрібно створювати правильно. Багато кібератак зараз спрямовані на сховища резервних копій; зловмисники знищують резервні копії спеціально для того, щоб вимагати виплату викупу. Ваша стратегія резервного копіювання повинна враховувати активні спроби їх компрометації.
Ваші резервні копії повинні бути:
- Автоматизовано та часто запускається (щонайменше щодня)
- Зберігається офлайн або в незмінному сховищі, яке не можна змінити чи видалити
- Регулярно тестується для перевірки справжньої роботи відновлення (а не лише завершення резервного копіювання)
- Зберігається в кількох місцях відповідно до правила 3-2-1 (три копії, два різних носії, одна поза офісом)
План реагування на інциденти пришвидшує весь процес, коли трапляється катастрофа. Ви ж не хочете, щоб люди намагалися з’ясувати, хто за що відповідає, поки системи не працюють, а керівники вимагають відповідей. Задокументуйте процес заздалегідь: хто приймає рішення, як ізолювати заражені системи, в якому порядку відновлювати послуги, хто спілкується з клієнтами та зацікавленими сторонами. Проводьте практичні тренування, щоб кожен знав свою роль, і ви могли виявити прогалини в плані.
Зберігання образів системи в автономному режимі також допомагає. Якщо програма-вимагач шифрує критично важливі сервери, ви можете відновити їх із відомих справних конфігурацій, замість того, щоб починати з нуля або намагатися розшифрувати зашифровані системи.
Ціна ігнорування будь-якого з них
Організації, які зосереджені виключно на запобіганні, виявляють свою помилку, коли щось потрапляє під загрозу. Усі ці інвестиції в безпеку не дуже допомагають, коли ваші дані зашифровані, і ви розумієте, що ваші резервні копії знаходилися на мережевих ресурсах, які зловмисники також зашифрували.
Дослідження Statista показує, що середній час простою після успішної атаки програми-вимагача становить 24 дні. Це понад три тижні переривання роботи, втрати продуктивності та потенційного впливу на дохід. Звіт IBM про вартість витоку даних за 2025 рік показав, що 76% організацій знадобилося понад 100 днів для повного відновлення після витоку, а чверті – понад 150 днів.
Без належних можливостей відновлення збитки множаться. Організації або платять викуп без гарантії повернення своїх даних, або стикаються з тривалими збоями, намагаючись відновити все вручну.
Організації з потужними можливостями відновлення, але слабкими засобами запобігання, зрештою неодноразово використовують ці можливості. Відновлення після програм-вимагачів коштує часу та грошей, навіть якщо воно проходить гладко. Втрата продуктивності, перебої в роботі та фактична робота з відновлення – все це накопичується.
Профілактика зменшує частоту цього дорогого та руйнівного процесу. Мета полягає не в тому, щоб швидко відновитися після частих атак, а в тому, щоб запобігти більшості атак, зберігаючи при цьому здатність відновлюватися після тих, що закінчуються успішно.
Вимоги до страхування відображають обидві потреби
Кіберстрахові компанії розуміють цей баланс. Страховики тепер вимагають спеціальних заходів безпеки, перш ніж надавати покриття, і ці вимоги охоплюють як запобігання, так і відновлення:
Вимоги до профілактики:
- Багатофакторна автентифікація для всіх облікових записів віддаленого доступу та привілейованих облікових записів
- Виявлення та реагування на кінцеві точки (EDR) або кероване виявлення та реагування (MDR)
- Регулярне управління вразливостями та їх виправлення
- Навчання з питань безпеки з регулярним тестуванням
Вимоги до відновлення:
- Регулярне резервне копіювання даних з офлайн-копіями або незмінними копіями
- Задокументовані та перевірені плани реагування на інциденти
- Сегментація мережі для обмеження поширення атак
Страховики можуть відхиляти заяви про відшкодування через неадекватні засоби контролю безпеки. Відсутність можливостей запобігання або відновлення може призвести до відмови у покритті, зменшення виплат або збільшення премій, що зробить покриття недоступним.
Застосуйте обидві стратегії
Тестування обох сторін вашої стратегії безпеки показує, чи дійсно ваші плани функціонують під тиском. Тестування на проникнення виявляє вразливості у вашому захисті, перш ніж зловмисники їх знайдуть. Вправи з відновлення резервного копіювання підтверджують, що ви дійсно можете відновити системи, а не лише те, що завдання резервного копіювання, здається, успішно завершені.
З точки зору профілактики, впровадьте багатофакторну автентифікацію (MFA) для всіх облікових записів віддаленого доступу та адміністраторів. EPM з правами адміністратора за запитом вимагає підвищення прав лише за потреби, замість того, щоб залишати користувачам постійні права адміністратора. Забезпечте наявність виправлень у системах, належним чином захистіть віддалений доступ та відстежуйте журнали за допомогою чітких процесів реагування на підозрілу активність.
Для відновлення створюйте кілька резервних копій у різних місцях, зокрема в автономному або незмінному сховищі. Документуйте процедури реагування на інциденти та відпрацюйте їх зі своєю командою. Зберігайте образи систем в автономному режимі та встановлюйте зв’язки з фахівцями з криміналістики до виникнення надзвичайної ситуації.
Організації, які виживають після атак програм-вимагачів без катастрофічних збитків, готуються до обох сценаріїв. Ваша безпека настільки ж сильна, наскільки сильна ваша найслабша ланка.
Напишіть відгук до статті