Ransomware, kdysi jen obtěžující malware používaný kyberzločinci k omezení přístupu k souborům a datům pomocí šifrování, se vyvinul v metodu masivního útoku. I když je pouhá hrozba trvalé ztráty dat děsivá, kybernetičtí zločinci a vládou sponzorovaní hackeři se stali dostatečně sofistikovanými, aby pomocí ransomwaru pronikli a paralyzovali velké podniky, federální vlády, globální infrastrukturu a zdravotnické organizace.

Dnes, s kombinací zastaralých technologií, „dostatečně dobrých“ obranných strategií zaměřených výhradně na síťové perimetry a koncové body, nedostatek školení (a špatná etiketa zabezpečení) a nedostatek jednoduchých a účinných řešení, jsou ohroženy organizace všech velikostí. Tím spíše, že cílem kyberzločinců je zašifrovat co nejvíce počítačových systémů v rámci podnikové sítě, aby si vymohli výkupné v řádu tisíců až milionů dolarů. V roce 2021 se odhaduje, že k útokům ransomwaru dojde každých jedenáct sekund, s celosvětovými náklady 20 miliard dolarů. Samotný antivirový software již k ochraně vašich dat nestačí!

Jak se chránit před účinky ransomwarového útoku. Rozdělte síť na provozní segmenty – podle aplikace, použití nebo prostředí – a neumožněte zbytečná spojení mezi těmito segmenty a v rámci těchto segmentů.

Zde jsou čtyři principy segmentace, které je třeba dodržovat:

• Blokovat veškerou komunikaci mezi notebooky/pracovními stanicemi
• Blokování komunikace s procesy fungujícími na základě vysokých oprávnění uživatelů domény, jako jsou administrátoři domény
• Omezení počtu uživatelů, kteří mohou spouštět procesy na serverech
• Omezení přístupu k serverům datových center a cloudovým instancím z notebooků/pracovních stanic

Guardicore pomáhá chránit vaši síť před ransomwarem. Pomocí šablon dostupných v Guardicore Centra můžete omezit útoky konfigurací zásad ve třech jednoduchých krocích:

Výběr cíle, jako je izolace kritické aplikace, vytvoření zásady zmírnění ransomwaru nebo zabezpečení služby Active Directory.

Identifikace správných zdrojů k ochraně, jako jsou prostředky aplikací elektronického obchodování, které chcete extrahovat, všechny procesy služby Active Directory ve vašem datovém centru nebo koncové body pro ochranu před šířením ransomwaru. Tento krok se v mnoha případech provádí automaticky pomocí označení pomocí AI Guardicore.

Ochrana zdrojů vytvářením zásad. Guardicore AI automaticky navrhuje a doporučuje zásady založené na reálném provozu a učí se komunikační vzorce aplikací napříč stovkami sítí.

Prevence laterálního pohybu pomocí zásad omezení protokolu Existují obecné pokyny pro specifické protokoly a chování. Vzhledem k neodmyslitelnému použití některých protokolů v běžné každodenní práci by některé z těchto protokolů měly být omezeny opatrně. Guardicore Reveal vám umožňuje vizualizovat veškerý provoz za účelem vytvoření nejvhodnějších pravidel pro vaše prostředí, pokrývající vysoce rizikové protokoly, jako je WinRM, SMB, RPC, RDP, SSH a další.

Například, zatímco SSH je užitečné pro vzdálenou správu a používá se k zabezpečení jiných protokolů (např. sFTP), je to také nástroj používaný vetřelci ke kompromitaci počítačů a šíření po síti. Omezte co nejvíce SSH přístup v celé síti vytvořením skokových boxů pro autorizované uživatele.

Aby se škody maximalizovaly, útoky ransomwaru se obvykle zaměřují na záložní servery organizace, aby zašifrovaly data tam uložená. Dalším cílem ransomwaru jsou datové služby a souborové servery.

Guardicore Centra se používá k omezení přístupu k záložním serverům, databázím a souborovým serverům a také k omezení přístupu zvenčí sítě a z oblastí sítě, které přístup nepotřebují. Pro minimalizaci provozu do az kritických zálohovacích serverů lze Guardicore Centra použít k izolaci aplikací a blokování provozu do az aplikací na procesní a uživatelské úrovni. Snížení expozice datových služeb na provozní minimum snižuje rizika spojená s těmito službami a snižuje vystavení ransomwarovým útokům a jejich šíření.