Ransomware, niegdyś po prostu uciążliwa odmiana szkodliwego oprogramowania wykorzystywana przez cyberprzestępców do ograniczania dostępu do plików i danych poprzez szyfrowanie, przekształciła się w metodę zakrojonego na ogromną skalę ataku. O ile sama groźba trwałej utraty danych budzi przerażenie, cyberprzestępcy i sponsorowani przez rządy hakerzy stali się na tyle wyrafinowani, że wykorzystują oprogramowanie ransomware do penetrowania i paraliżowania dużych przedsiębiorstw, rządów federalnych, globalnej infrastruktury i organizacji opieki zdrowotnej.

Obecnie, w związku z połączeniem przestarzałych technologii, „wystarczająco dobrych” strategii obronnych skoncentrowanych wyłącznie na granicach sieci i punktach końcowych, braku szkoleń (i słabej etykiety bezpieczeństwa) oraz braku prostych i skutecznych rozwiązań zagrożone są organizacje każdej wielkości. Tym bardziej, że cyberprzestępcy stawiają sobie za cel zaszyfrowanie jak największej liczby systemów komputerowych w ramach sieci firmowej w celu wymuszenia okupu w wysokości od tysięcy do milionów dolarów. Szacuje się, że w 2021 r. ataki ransomware miały miejsce co jedenaście sekund, a ich globalny koszt wyniósł 20 mld dolarów. Do ochrony danych nie wystarczy już samo oprogramowanie antywirusowe!

Jak zabezpieczyć się przed skutkiem ataku ransomware. .Należy podzielić sieć na segmenty operacyjne – według aplikacji, sposobu użytkowania lub środowiska – i nie zezwalać na niepotrzebne połączenia między tymi segmentami i w ich obrębie.

Oto cztery zasady segmentacji, które warto zastosować:

• Blokada wszelkiej komunikacji między laptopami / stacjami roboczymi
• Blokada komunikacji z procesami działającymi w oparciu o wysokie uprawnienia użytkowników domeny, takich jak administratorzy domeny
• Ograniczenie liczby użytkowników, którzy mogą uruchamiać procesy na serwerach
• Ograniczenie dostępu do serwerów centrum danych i instancji w chmurze z poziomu laptopów / stacji roboczych

Guardicore ułatwia zabezpieczenie sieci przed oprogramowaniem ransomware. Przy użyciu szablonów dostępnych w Guardicore Centra można ograniczyć ataki poprzez skonfigurowanie polityk
w trzech prostych krokach:

Wybór celu, np. wyodrębnienie krytycznej aplikacji, stworzenie polityki łagodzenia skutków działania oprogramowania ransomware lub zabezpieczenie usługi Active Directory.
Identyfikacja odpowiednich zasobów do ochrony, takich jak zasoby aplikacji e-commerce, którą chcesz wyodrębnić, wszystkie procesy Active Directory w centrum danych lub punkty końcowe, które mają być chronione przed rozprzestrzenianiem się oprogramowania ransomware. Ten etap w wielu przypadkach jest realizowany automatycznie przez etykietowanie z użyciem AI Guardicore.

Ochrona zasobów poprzez tworzenie polityk. Sztuczna inteligencja Guardicore automatycznie sugeruje i zaleca polityki w oparciu o rzeczywisty ruch w środowisku oraz uczy się wzorców komunikacji aplikacji w setkach sieci.

Zapobieganie ruchom lateralnym z użyciem zasad ograniczających protokoły Istnieją ogólne wytyczne dotyczące konkretnych protokołów i zachowań. Ze względu na nieodłączne zastosowanie niektórych protokołów w zwykłej codziennej pracy, niektóre z tych protokołów należy ograniczyć z zachowaniem ostrożności. Guardicore Reveal umożliwia wizualizację całego ruchu w celu stworzenia maksymalnie dopasowanych reguł dla danego środowiska, obejmujących protokoły wysokiego ryzyka, takie jak WinRM, SMB, RPC, RDP, SSH i inne.

Na przykład, choć protokół SSH jest przydatny do zdalnego administrowania i służy do zabezpieczania innych protokołów (np. sFTP), to jest także narzędziem wykorzystywanym przez intruzów do łamania zabezpieczeń komputerów i rozprzestrzeniania się w sieci. Należy w jak największym stopniu ograniczyć dostęp do SSH w całej sieci, tworząc serwery przesiadkowe (tzw. jump boxy) dla autoryzowanych użytkowników.

Aby zmaksymalizować szkody, ataki ransomware są zazwyczaj wymierzone w serwery kopii zapasowych organizacji w celu zaszyfrowania przechowywanych tam danych. Innym celem dla oprogramowania ransomware są usługi danych i serwery plików.

Guardicore Centra służy do ograniczania dostępu do serwerów kopii zapasowych, baz danych i serwerów plików, a także do ograniczania dostępu spoza sieci i z regionów sieci, które nie potrzebują dostępu. Aby ograniczyć do minimum ruch do i z krytycznych serwerów kopii zapasowych, można użyć Guardicore Centra, aby wyodrębnić aplikacje i zablokować ruch do i z aplikacji na poziomie procesów i użytkowników. Ograniczenie narażenia usług danych do minimum operacyjnego obniża ryzyko związane z tymi usługami oraz zmniejsza narażenie na ataki z użyciem oprogramowania ransomware i ścieżki jego rozprzestrzeniania się.