Μεγάλες και μικρές επιχειρήσεις απειλούνται καθημερινά από ολοένα και πιο άγριες και βίαιες επιθέσεις ransomware. Η αδυναμία πρόσβασης σε κρίσιμης σημασίας αρχεία, ακολουθούμενη από απαιτήσεις για λύτρα, είναι καταστάσεις που μπορούν να προκαλέσουν τεράστια αναστάτωση στην παραγωγικότητα ενός οργανισμού.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
www.nss.gr
Όμως πως μοιάζει στην πραγματικότητα μία τυπική επίθεση με ransomware; Και ποιες λύσεις ασφάλειας θα πρέπει να χρησιμοποιούνται για την παροχή της καλύτερης δυνατής άμυνας; Οι περισσότεροι οργανισμοί έχουν τουλάχιστον μία μορφή προστασίας της υποδομής IT που διαθέτουν. Οπότε πως καταφέρνουν και ξεγλιστρούν οι επιθέσεις ransomware από το δίκτυ προστασίας των οργανισμών; Από ότι φαίνεται, υπάρχουν τρεις βασικοί λόγοι για αυτό:
- Εξελιγμένες τεχνικές επιθέσεων και διαρκής καινοτομία
Η πρόσβαση σε έτοιμα κακόβουλα προγράμματα ως υπηρεσία για άμεση χρήση “Malware-as-a-Service” (ΜaaS) είναι ολοένα και πιο εύκολη, με αποτέλεσμα να είναι απλούστατο το ξεκίνημα μίας τέτοιας επίθεσης και συχνά έχει και καλά αποτελέσματα. Επίσης, αποφέρει κέρδη στους επιτιθέμενους, ακόμα και αν αυτοί δεν γνωρίζουν και πολλά πράγματα σχετικά με την τεχνολογία. Οι τεχνικές κοινωνικής μηχανικής (social engineering) που χρησιμοποιούνται είναι εξαιρετικά επιδέξιες και προτρέπουν τον ανυποψίαστο χρήστη να εκτελέσει μία ρουτίνα εγκατάστασης του ransomware πολλές φορές με επιτυχία. Για παράδειγμα, ο χρήστης μπορεί να λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ενδεχομένως να λέει το παρακάτω: “Οι απαιτήσεις της εταιρείας μας βρίσκονται στο συνημμένο αρχείο. Παρακαλώ όπως μας αποστείλετε σχετική προσφορά”. Οι κατασκευαστές ransomware λειτουργούν με εξαιρετικά επαγγελματικό τρόπο. Αυτό περιλαμβάνει και την παροχή ενός εξατομικευμένου εργαλείου αποκρυπτογράφησης μετά την καταβολή των λύτρων. Όλα κανονισμένα στην εντέλεια !
- Τρύπες ασφαλείας σε επηρεαζόμενες εταιρείες
Πολύ συχνά, δεν υπάρχει κάποια στρατηγική δημιουργίας αντιγράφων ασφαλείας (backup) ή αυτή είναι ανεπαρκής. Δηλαδή, δε δημιουργούνται αντίγραφα ασφαλείας σε πραγματικό χρόνο και αυτά δεν βγαίνουν εκτός της εταιρίας (off-site), κάτι αναγκαίο σε περίπτωση ανάγκης για αποκατάσταση από καταστροφή (disaster recovery). Επιπλέον, οι ενημερώσεις και τα patches για το λειτουργικό σύστημα και τις εφαρμογές δεν εγκαθίστανται αρκετά γρήγορα ή πολλές φορές εφαρμόζονται «επικίνδυνα» δικαιώματα στους χρήστες. Για παράδειγμα υπάρχουν χρήστες ή διαχειριστές που έχουν περισσότερα δικαιώματα από ό,τι είναι απαραίτητο για τις εργασίες τους. Ένα από τα πιο σημαντικά προβλήματα επίσης, είναι ότι υπάρχει έλλειψη κατάρτισης και εκπαίδευσης των χρηστών σε θέματα ασφαλείας. Για παράδειγμα, ποια έγγραφα μπορούν να ανοιχτούν και από ποιον; Ποια είναι η διαδικασία που πρέπει να ακολουθήσει ένας χρήστης αν ένα έγγραφο μοιάζει με κακόβουλο; Πώς μπορεί ο χρήστης να είναι σε θέση να αναγνωρίσει ένα μήνυμα ηλεκτρονικού ψαρέματος (phising); Επιπλέον τα συστήματα ασφαλείας σε μία επιχείρηση όπως σαρωτές ιών (antivirus), τείχη προστασίας (firewalls), IPS, πύλες ηλεκτρονικού ταχυδρομείου (email gateways) ή πύλες περιήγησης ιστού (web gateways) δεν έχουν υλοποιηθεί ή δεν έχουν ρυθμιστεί σωστά. Σε αυτό το σημείο, μπορούμε να λάβουμε υπόψη μας και τον ανεπαρκή κατακερματισμό του δικτύου όπως πχ. αν οι διακομιστές και οι σταθμοί εργασίας βρίσκονται στο ίδιο δίκτυο και δεν υπάρχει DMZ. Κάποια επίσης συνήθη προβλήματα είναι ότι λόγω έλλειψης γνώσεων στην ασφάλεια πληροφορικής ενώ τα αρχεία .exe όντως αποκλείονται από τα συστήματα ηλεκτρονικού ταχυδρομείου, δε συμβαίνει το ίδιο με τις μακροεντολές του Office σε έγγραφα ή άλλο ενεργό περιεχόμενο που τυχόν να συναντήσουν οι χρήστες. Τέλος έχουμε το πρόβλημα των αντικρουόμενων προτεραιοτήτων όταν ακούμε από τη Διοίκηση μίας επιχείρησης ατυχή σχόλια του τύπου: «γνωρίζουμε ότι αυτή η μέθοδος που ακολουθούμε δεν είναι απόλυτα ασφαλής, αλλά οι άνθρωποι μας πρέπει και να δουλέψουν».
- Έλλειψη προηγμένης τεχνολογίας πρόληψης
Πολλές επιχειρήσεις έχουν κάποια μορφή γενικής προστασίας. Αλλά τα ransomware ενημερώνονται συνεχώς για να εκμεταλλεύονται και να ξεπερνούν αυτές τις προστασίες. Για παράδειγμα, υπάρχουν ransomware που αυτό-διαγράφονται πολύ γρήγορα μετά την κρυπτογράφηση αρχείων ώστε να μην απομείνουν στοιχεία που να μπορούν να αναλυθούν στη συνέχεια. Οι λύσεις ασφάλειας θα πρέπει να έχουν εξαρχής σχεδιαστεί ειδικά για την καταπολέμηση των τεχνικών των ransomware. Για να είστε σε θέση να σταματήσετε τα ransomware, θα πρέπει να έχετε μία προηγμένη και ιδιαίτερα αποτελεσματική προστασία σε κάθε στάδιο της επίθεσης. Πάνω από όλα, θα πρέπει να φροντίσετε οι τερματικές σας συσκευές να είναι ασφαλείς. Το Sophos Intercept X χρησιμοποιεί τη μοναδική τεχνολογία CryptoGuard για να αντιμετωπίζει τις επιθέσεις ransomware με επιτυχία. Με τη βοήθεια της τεχνολογίας CryptoGuard, τα ransomware εντοπίζονται εγκαίρως και αποτρέπονται προτού ξεκινήσουν να κρυπτογραφούν τα αρχεία σας. Και αυτό σημαίνει ότι ήταν σε θέση να σταματήσει αποτελεσματικά τα ransomware WannaCry, NotPetya και κυρίως αυτά που ακόμα δεν έχουν κυκλοφορήσει ! Το Intercept X μπορεί να συμπληρώσει την υπάρχουσα ασφάλεια σας, αποκλείοντας προγράμματα που επιχειρούν να τροποποιήσουν χωρίς εξουσιοδότηση τα δεδομένα σας.
Προστασία email με Time–of–Click
Το επόμενο σημαντικό βήμα προστασίας είναι η προστασία από οποιαδήποτε απειλή ηλεκτρονικού ταχυδρομείου. Η καλύτερη άμυνα ενάντια στα «παγιδευμένα» μηνύματα ηλεκτρονικού ταχυδρομείου είναι φυσικά τα συστήματα ασφαλούς ηλεκτρονικής αλληλογραφίας (email security) που έχετε στη διάθεσή σας. Οι τεχνολογίες ενάντια στην ανεπιθύμητη ηλεκτρονική αλληλογραφία (antispam) σταματούν τα μηνύματα ηλεκτρονικού ταχυδρομείου που φέρουν επικίνδυνα αρχεία ransomware ή που οδηγούν σε ransomware μέσω συνδέσμων, ενώ παράλληλα τα εργαλεία antivirus σαρώνουν και αποκλείουν τις απειλές που προέρχονται από μηνύματα ηλεκτρονικού ταχυδρομείου. Ο αποκλεισμός μηνυμάτων ηλεκτρονικού ταχυδρομείου που φέρουν συνημμένα μακροεντολών μπορεί να σας βοηθήσει επίσης να αποφύγετε μια ακόμη κοινή τεχνική ransomware. Η τεχνολογία Time-of-Click εμποδίζει εσάς και τους χρήστες σας από το να κάνετε κλικ σε μολυσμένες διευθύνσεις ιστοσελίδων, ακόμη και αν αυτές ήταν καθαρές όταν το email εισήλθε στα εισερχόμενά σας.
Αποτροπή zero–day απειλών
Επιπλέον, θα πρέπει να φροντίσετε και τις απειλές στο Internet, που μπορούν να εξουδετερωθούν τόσο στο τείχος προστασίας όσο και τα συστήματα προστασίας περιήγησης ιστοσελίδων (web security). Το φιλτράρισμα διευθύνσεων URL αποκλείει τις ιστοσελίδες που φιλοξενούν ransomware, καθώς και τους διακομιστές εντολών και ελέγχου τους (C&C / command and control servers). Και με την επιβολή αυστηρών ελέγχων μπορείτε να απαγορεύσετε εντελώς το κατέβασμα αρχείων που ενδεχομένως να σχετίζονται με ransomware. Ένα πρόσθετο επίπεδο προστασίας τοποθετεί cloud sandboxing τόσο στο ηλεκτρονικό ταχυδρομείο όσο και στην πύλη ιστού. Η τεχνολογία απαγορεύει προηγμένες απειλές zero-day, συμπεριλαμβανομένων και των ransomware. Ουσιαστικά είναι σαν να έχετε το δικό σας ιδιωτικό εργαστήριο εντοπισμού κακόβουλου λογισμικού, που ουσιαστικά «τρέχει» εκτελέσιμα ή γενικότερα ύποπτα αρχεία για να προσδιορίσει με ακρίβεια την συμπεριφορά τους σε ένα εικονικό περιβάλλον.
Sophos Server Protection με CryptoGuard
Αν και πολλές φορές ξεχνιέται, ένα από τα βασικά σημεία εισόδου του κακόβουλου λογισμικού είναι οι διακομιστές της εταιρείας. Οι τεχνικές lockdown και whitelisting των servers μπορεί να τους κρατήσει ασφαλείς αφού μόνο οι εξουδιοδοτημένες εφαρμογές μπορούν να κάνουν αλλαγές και ενημερώσεις. Οποιαδήποτε άλλη προσπάθεια πραγματοποίησης αλλαγών αποκλείεται αυτόματα με αποτέλεσμα να αποτρέπεται και οποιαδήποτε ενέργεια από κάποιο ransomware. Η ανίχνευση κακόβουλης κίνησης δεδομένων αποτρέπει την επικοινωνία του ransomware με τους διακομιστές C&C από όπου θα κατέβει και το κακόβουλο φορτίο. Το Sophos Server Protection επίσης περιλαμβάνει την τεχνολογία CryptoGuard που εμποδίζει το ransomware από το να κρυπτογραφήσει τα δεδομένα και τα αρχεία σας. Επίσης θα πρέπει να σκεφτείτε και ένα σύστημα ασφάλειας που επιτρέπει την επικοινωνία μεταξύ των διαφόρων υποσυστημάτων που το απαρτίζουν. Αν και τα προϊόντα ασφαλείας μπορούν να λειτουργήσουν καλά μεμονωμένα, είναι ακόμη πιο αποτελεσματικά όταν συνεργάζονται και επικοινωνούν μεταξύ τους. Μέσω του Sophos Heartbeat που μέρος της τεχνολογίας Synchronized Security της Sophos και αποτελεί παγκόσμια πατέντα, οι τερματικές συσκευές και το τείχος προστασίας μοιράζονται πληροφορίες και δεδομένα ανταποκρινόμενα προληπτικά, προσφέροντας απαράμιλλη προστασία ενάντια στις προηγμένες απειλές.
X by Invincea και μηχανική εκμάθηση
Πρόσφατα, στο χαρτοφυλάκιο προϊόντων της Sophos προστέθηκε και το X της Invincea που θα ενσωματωθεί στη διάρκεια στο Sophos Central και επομένως στη μάχη ενάντια στις προηγμένες απειλές και στο malware, προστίθεται τώρα και η μηχανική εκμάθηση (machine learning). Το προϊόν ναυαρχίδα της Invincea χρησιμοποιεί τεχνικές βαθιάς εκμάθησης (deep learning), νευρωνικά δίκτυα και παρακολούθηση συμπεριφοράς (behavioral monitoring) για να εντοπίζει με επιτυχία προηγουμένως αθέατο / άγνωστο malware και να σταματάει επιθέσεις προτού γίνουν επιζήμιες. Η Sophos έχει αναγνωριστεί σήμερα ως ηγέτης στον τομέα της προστασίας τερματικών συσκευών με μια διευρυμένη σειρά από τεχνολογίες επόμενης γενιάς, όπως είναι η signature-less τεχνολογία anti-malware, anti-exploit και anti-ransomware με την ονομασία Intercept Χ καθώς και τα βασισμένα στην συμπεριφορά analytics, την τεχνολογία ανίχνευσης κακόβουλης κίνησης δεδομένων και την φήμη εφαρμογών που βρίσκονται στο Sophos Endpoint Protection. Η τεχνολογία ανίχνευσης μηχανικής εκμάθησης και πρόληψης malware της Invincea θα ενσωματωθεί πλήρως στο χαρτοφυλάκιο της προστασίας τερματικών συσκευών της Sophos, για να ενισχύσει περαιτέρω την ηγετική θέση της εταιρείας στη συγκεκριμένη ταχέως αναπτυσσόμενη αγορά. Η διαθεσιμότητα της τεχνολογίας της Invincea στην πλατφόρμα Sophos Central, θα ενισχύσει περαιτέρω το χαρτοφυλάκιο της συγχρονισμένης ασφάλειας της Sophos και την ανταλλαγή πληροφοριών σε πραγματικό χρόνο.
