Захист від APT, ransomware та криптолокерів: досвід та прості рекомендації

Захист від APT, ransomware та криптолокерів: досвід та прості рекомендації

Протягом декількох останніх років велика кількість виробників ПО попереджали та інформували щодо цілеспрямованих атак, APT, криптолокерів, їх механізмів та методів захисту від сучасних видів загроз. Вони випускають нові продукти, нові версії існуючих продуктів, розробляють нові технології для того, щоб захистити вас – ваш бізнес, ваші дані та інформацію від нових загроз та вразливостей.

Інформаційна безпека – це, перш за все, процес. Процес зниження ризиків. Русланс Барбасінс, регіональний менеджер компанії McAfee, однієї з провідних компаній в сфері кібербезпеки, у своїй статті «Чому мій антивірус не піймав…? Або погляд на WCRY/PetyaA/notPetya від продавця рішень ІБ» ділиться досвідом спостережень компаній, що не постраждали від нашумілих за останній час атак. В основному, не постраждали компанії, в яких дотримувалися елементарних правил ІБ:

  • Користувачі не працюють під правами адміністратора. Елементарна та безкоштовна реалізація, якою, з якихось причин, все ще нехтують деякі компанії.
  • Правильна побудова мережі – сегментація, VLAN, ACL. Навіть при потраплянні віруса в корпоративну мережу, може відбутися зараження одного сегмента, але не всієї компанії. (Приклад з форуму: одна з організацій після атаки XDATA винесли M.E.Doc в окремий VLAN).
  • Блокування непотрібних мережевих та DNS-з’єднань. (Якщо ваша компанія не працює з Китаєм та не використовує TOR).
  • Закриття невикористовуваних портів. Обидві атаки використовували одні й ті самі порти для розповсюдження. Необхідно було закрити їх при першій можливості.
  • Установка патчів та оновлень ОС. Обов’язково!
  • Використання повного арсеналу антивірусних засобів. Хоча сигнатурний захист не може впоратися з такими атаками, але в багатьох антивірусних рішеннях є додаткові модулі і налаштування. Наприклад, за допомогою правил доступу  (Access Protection Rule) можна заборонити виконання файлів .exe з %Temp% директорії
  • Відмова від застарілих систем, що більше не підтримуються та не оновлюються виробником

Ці прості речі повинні бути в кожній компанії. Після цього можна рухатись далі у процесі посилення захисту і детектування.

Рекомендації та пропоновані варіанти для попередження подібних атак в майбутньому, базовані на рішеннях McAfee, та приклади, як ці рішення відпрацювали та заблокували завантаження файлів-вірусоносіїв, ви можете знайти в оригіналі статті за посиланням.

Із запитаннями, будь ласка, звертайтеся до нас: security@erc.ua

Система Orphus
comments powered by Disqus
 
Top