Ransomware je obecně považován za jednu z největších hrozeb pro firmy. Tento malware pracuje tak, že zabrání přístupu do systému

Ransomware je obecně považován za jednu z největších hrozeb, kterým dnes organizace, společnosti i malé firmy čelí. Pokud nemají patřičné zabezpečení a nedbají na školení svých zaměstnanců ohledně kybernetické bezpečnosti, jejich laxnost je může stát nemalé peníze.

Ani malé firmy tomu neuniknou

Navzdory zvýšeným rizikům zůstává povědomí o skutečných rizicích, která útok ransomwaru představuje, nízké, mnoho organizací funguje bez plánů reakce na incidenty a zřídka nebo nikdy netestuje svou kybernetickou obranu.

Když je oběť zasažena ransomwarem, má jen malou příležitost jednat a zmírnit následky. Připravenost přesahuje rámec přímého plánu reakce na incident. Organizace si také musí klást otázky, jako např: Máme plán zdrojů pro delší období reakce a obnovy? Co když budou naše týmy zabývající kybernetickou bezpečností a síťových specialistů náhodou na dovolené? Co když dojde ke kompromitaci záloh?

Zde je pár otázek, které by firmy a společnosti měly mít na paměti při snaze o zabránění takovýmto incidentům.

Co je ransomware?

Ransomware je vážná hrozba, která by se neměla podceňovat. Pokud dojde k postižení byť jen jednoho uživatele, hrozí riziko, že se může rozšířit do celé firemní sítě, což může organizaci stát nemalé peníze a dostat do obrovských problémů.

Tento typ malwaru pracuje tak, že že zabrání nebo omezí přístup uživatelů do systému, a to buď uzamčením obrazovky systému, nebo znepřístupněním uživatelských souborů, dokud není zaplaceno výkupné. Většinou peníze musí být vyplaceny do určitého časového limitu. Modernější typy ransomwaru šifrují určité typy souborů a nutí uživatele zaplatit výkupné prostřednictvím online platebních metod, aby získali dešifrovací klíč. Platební metody mohou být různé, ale většinou jde o zaplacení ve formě kryptoměn.

Je váš specialistů dostatečně proškolen a motivován?

Když dojde k útoku ransomwaru, organizacím dojdou lidé dříve než peníze nebo jiné zdroje. Reakce na útok ransomwaru se podobá spíše maratonu než sprintu: organizace často podceňují daň, kterou si vybírá na operacích, které jsou považovány za samozřejmé.

Obnova po útoku ransomwaru může být běh na dlouhou trať, a proto je nezbytné zajistit, aby ti, kteří jsou v první linii a reagují na hrozbu, byli motivováni, podporováni a vybaveni správnými nástroji, pokud by útok trval delší dobu. Při reakci na komplexní kybernetický útok je zásadní zachovat klid v krizovém okamžiku tím, že se zajistí, aby byl zásahový tým dobře vybaven a připraven na dlouhou dobu.

Jak budete pracovat a komunikovat bez funkční sítě?

Organizace často neuvažují o tom, že mají jen omezené prostředky, kterými mohou komunikovat – pokud by všechny obvyklé systémy vypadly nebo byste se obávali, že by je mohl ovládnout útočník, může být absence nouzových alternativ likvidační. Jednou z prvních oblastí, na kterou se útočník zaměří, je komunikační infrastruktura organizací. Často se jedná o nečekaný a frustrující vedlejší účinek výpadku systémů, který mnozí neberou v úvahu. Útočníci tak mohou zasít zmatek a masivně zdržet reakci na incident.

Zařízení na perimetru, která jsou přístupná přes internet – včetně firewallů, virtualizačních řešení a zařízení virtuálních privátních sítí – zůstávají pro útočníky velmi vyhledávaným cílem. Přístupem k virtualizačním platformám mohou útočníci ransomwarem rychle zašifrovat mnoho virtuálních počítačů, aniž by se museli přímo přihlašovat nebo nasazovat šifrátory v rámci každého stroje.

V jakémkoli krizovém scénáři je komunikace klíčová, ale organizace často předpokládají, že najdou způsob, jak na ni reagovat – pokud však dojde k výpadku chatu, e-mailu a dalších firemních komunikačních kanálů, může to mít značný dopad na udržení běžného provozu podniku i na komunikaci se zaměstnanci ohledně vývoje incidentu a reakce na něj. Zejména ve světě se stále více různorodými pracovníky je zásadní zajistit, aby se správné zprávy dostaly ke správným lidem. Pohotovostní plány organizací pro případ útoku ransomwarem by měly vždy obsahovat informace o komunikačních linkách pro případ výpadku systémů – a ujistit se, že nejsou uloženy pouze v síti, kterou útočníci právě vyřadili z provozu.

Jak jsou přístupné zálohy?

Bez ohledu na to, jak komplexní záloha je, je k ničemu, pokud je přístup k ní znemožněn útokem ransomwaru. Zdá se to být samozřejmé, ale mnoho a mnoho organizací si myslelo, že se na zálohy mohou spolehnout, ale uložily je příliš blízko originálům. Útočníci se často zaměřují na zálohy, aby útok prodloužili a vyvinuli na oběť maximální tlak. Zvláště zranitelné jsou organizace, které fungují výhradně v cloudu. Nejlepší odpovědí na tuto situaci je často zavedení „staronového“ přístupu: mít hybridní přístup fyzických kopií záloh a verzí v cloudu, abyste neměli všechna vejce v jednom košíku.

Při organizaci těchto záloh je samozřejmě třeba brát ohledy – vyhledávání a nahrávání dat v pravidelných intervalech může být nákladné, ale v konečném důsledku poskytuje další linii obrany. Vytvoření účinných offline záloh může často znamenat, že dopad útoku ransomwaru lze rychle zmírnit a systémy lze znovu nainstalovat dříve, než dojde k větším škodám na organizaci.

Můžete si dovolit izolovat část sítě?

Nešťastnou realitou je, že jakmile organizace zjistí, že útočníci jsou uvnitř její sítě, má jen malou šanci je zcela „porazit“. Obvykle bude následovat strategie zmírnění škod: jaké kroky lze podniknout, aby se úroveň škod co nejefektivněji snížila? Jakmile je útočník identifikován, často je nejúčinnější přístup „spálené země“, aby se útok omezil na určité systémy s cílem ochránit organizaci jako celek.

Nerozhodnost může být v tomto okamžiku zabijákem a je velmi důležité, aby vedoucí pracovníci v organizaci byli oprávněni činit tato rozhodnutí rychle – a byli k tomu dostatečně vybaveni příslušnými znalostmi a pravomocemi. Zásadní je také vědět to ještě předtím, než k útoku dojde: organizace musí vědět, co si mohou dovolit ztratit v případě, že dojde k nejhoršímu, a jednat rychle a efektivně.

Spoléháte se pouze na pojištění? Chyba!

Mnoho organizací se domnívá, že uzavření pojistné smlouvy je dostatečně ochrání před finančními následky útoku ransomwaru. Bohužel, vzhledem k obrovské rozmanitosti ransomwarových útoků není pojištění vždy tak komplexní, jak by si organizace mohly myslet, a to kvůli doložkám o vyloučení nebo požadavkům na odpovědnost, které musí být splněny předtím, než pojišťovna vyplatí pojistné plnění.

Útoky ransomwaru jsou úspěšné díky tomu, že obsahují nějaký prvek, který je schopen obejít stávající obranu – tj. zneužít zranitelnost – většina pojistných smluv se zaměřuje na co nejrychlejší obnovení provozu podniku. Nezohledňuje se přitom dopad útoku ani způsob, jakým byla organizace zneužita. Organizace by se měly na pojištění dívat jako na poslední linii obrany a zapojit se do činností, které mohou zabránit tomu, aby k útoku ransomwarem vůbec došlo, nebo připravit organizaci na rychlou reakci v případě narušení její obrany. Provádění osvědčených postupů, jako je modelování hrozeb, red teaming a pravidelné revize kybernetické politiky, může znamenat rozdíl mezi tím, zda pojišťovna vyplatí pojistné plnění, nebo ne.

Být připravený na každý scénář je klíčové

Veškeré organizace musí být proaktivní, pokud jde o vypracování spolehlivého plánu reakce. Promyšlení různých scénářů a situací – dokonce i méně diskutovaných detailů, jako jsou časová pásma a komunikační kanály mezi týmy – to vše pomáhá zmírnit dopad v případě útoku ransomwaru. Připravenosti není nikdy dost, proto je důležité začít si tyto otázky klást již nyní, abyste byli připraveni na nevyhnutelné.

Zdroj: Redakce, Techradar, National Cybersecurity Centre, Trendmicro, Kolide