Ochrona przed atakami ransomware

Ransomware to rodzaj złośliwego oprogramowania, które znajduje i szyfruje pliki oraz pamięć masową przedsiębiorstwa-ofiary. Pracownicy przedsiębiorstwa mogą nieumyślnie dopuścić do tego rodzaju ataku za pośrednictwem takich punktów wejścia jak phishingowe wiadomości e-mail. Przy użyciu tego złośliwego oprogramowania cyberprzestępcy wymuszają pieniądze od swoich ofiar. Podczas wielu ataków oprogramowanie ransomware wyszukuje wszystkie pliki i dokumenty w środowisku produkcyjnym oraz kopiach zapasowych, a następnie je szyfruje, co sprawia, że przedsiębiorstwo nie ma wyboru i musi spełnić żądania przestępców.

Produkty Veeam do tworzenia kopii zapasowych są znane z prostoty, elastyczności i niezawodności, czyli cech niezbędnych do zapewnienia odporności na zagrożenia zewnętrzne. W razie ataku ransomware odporność zależy od sposobu wdrożenia rozwiązania i infrastruktury kopii zapasowych Veeam, charakteru ataku oraz działań podjętych w celu złagodzenia jego skutków.

Z perspektywy odporności na ataki ransomware zalecenia związane z wdrożeniem można podzielić na następujące części:

• Ochrona serwera i komponentów rozwiązania Veeam Backup & Replication™
• Wdrażanie funkcji Veeam mających na celu wykrywanie obecności oprogramowania ransomware
• Ultraodporna pamięć masowa kopii zapasowych i reguła 3-2-1
• Konfiguracja obejmująca wiele technik odzyskiwania
• Ochrona urządzeń końcowych 
• Ochrona sieciowej pamięci masowej (NAS)
• Szyfrowanie danych kopii zapasowych Veeam 
• Orkiestracja odzyskiwania z kopii zapasowych i replik

Podejście firmy Veeam do reakcji na atak ransomware można streścić następująco:

Nie należy płacić okupu, a jedynym dopuszczalnym rozwiązaniem jest przywrócenie danych. Niezależnie od wszystkich technik uświadamiania i wdrażania zastosowanych w celu uodpornienia się na ataki ransomware przedsiębiorstwo powinno być gotowe do obrony na wypadek wystąpienia zagrożenia. Czasem jednak nie jest jasne, co dokładnie należy zrobić w razie wykrycia zagrożenia. Dlatego poniżej przedstawiamy kilka zaleceń ułatwiających reagowanie na incydenty ransomware:

POMOC TECHNICZNA FIRMY VEEAM
W dziale pomocy technicznej firmy Veeam istnieje specjalna grupa, której zadaniem jest pomaganie klientom dotkniętym atakiem ransomware w przywróceniu danych. Ponieważ nie chcesz narażać swoich kopii zapasowych, dostęp do tej pomocy jest istotnym czynnikiem ułatwiającym powrót do normalnego funkcjonowania.

PRZEDE WSZYSTKIM KOMUNIKACJA
W razie dowolnego poważnego incydentu pierwszorzędne znaczenie ma sprawna komunikacja. Dlatego warto opracować plan komunikowania się z właściwymi osobami z pominięciem standardowych kanałów. Może on obejmować specjalne listy adresatów grupowych wiadomości tekstowych, numery telefonów lub inne mechanizmy, które są często stosowane w systemach dyżurów, ale rozszerzone na całą grupę operacyjną IT.

EKSPERCI
Sporządź listę zespołów ds. bezpieczeństwa, reagowania kryzysowego, zarządzania tożsamościami itp., z którymi można się skontaktować w nagłym wypadku. Mogą to być pracownicy przedsiębiorstwa lub eksperci zewnętrzni. Jeśli Twoja firma korzysta z usług podmiotu stosującego technologie Veeam, warto rozważyć rozszerzenie podstawowego zakresu usług o opcje dodatkowe (takie jak ochrona przed zagrożeniami wewnętrznymi w funkcji Veeam Cloud Connect).

ŁAŃCUCH DECYZYJNY
Kto w razie ataku decyduje o przywróceniu danych, przełączeniu systemów w tryb awaryjny itp.? Rozmowy na temat tych uprawnień warto przeprowadzić zawczasu, aby w razie incydentu można było natychmiast wdrożyć łańcuch decyzyjny.

GOTOWOŚĆ DO PRZYWRÓCENIA
Gdy zostaną spełnione kryteria przywrócenia systemów, przed ich ponownym podłączeniem do sieci należy wykonać dodatkowe czynności sprawdzające. Dodatkowe kroki mogą obejmować przywrócenie systemów z wyłączonym dostępem do sieci w celu przeprowadzenia ostatecznej kontroli.

BEZPIECZNE PRZYWRACANIE
Funkcja bezpiecznego przywracania Veeam skanuje obraz przeznaczony do przywrócenia pod kątem wirusów. Aby mieć pewność, że do systemów nie dostanie się ponownie żadne zagrożenie, funkcja ta korzysta z najnowszych definicji wirusów i złośliwego oprogramowania oraz dodatkowo umożliwia użycie jeszcze jednego narzędzia.

WYMUSZENIE ZMIANY HASEŁ
Choć użytkownicy raczej tego nie lubią, warto wymusić ogólną zmianę haseł, aby ograniczyć powierzchnię propagacji zagrożenia.

Jak wynika z raportu firmy Veeam na temat trendów w ransomware w 2022 r., 44% ataków ransomware rozpoczęło się od phishingowego e-maila, który skierował odbiorcę do złośliwej witryny internetowej lub skłonił go do otwarcia złośliwego pliku bezpośrednio na komputerze. Na przestrzeni ostatnich kilku lat pozorna wiarygodność e-maili phishingowych znacznie wzrosła, a na dodatek zaczęto do phishingu używać innych metod komunikacji niż tylko poczta e-mail. Niezależnie od tego, jak dostarczana jest wiadomość phishingowa, jej celem zawsze jest wytworzenie poczucia pilności, aby użytkownik bez zastanowienia kliknął przycisk lub link.

Dowiedz się, jak można rozpoznawać ataki phishingowe.