Макар ransomware да не е нов вид атака, тактиките, техниката и процедурите използвани от хакерите еволюират и са много по-опасни от преди. Организации с различни размери са изправени пред предизвикателства като: използване на cloud технологиите, защита на крайните точки и управление на уязвимостите. Въпреки това, рисковете от ransomware атака са индикативни за по-големи структурни проблеми като: управление на активите, липса на правилна сегментация на мрежата, видимост и реакция при инцидент. Тези аспекти са симптоматични за традиционната, вече остаряла, стратегия за сигурност, която няма постоянна видимост върху LAN, WAN, дата центрове и cloud.
Комплексността на традиционните решения е в основата на затруднението, което срещат компаниите при опит да възпрепятстват атаки. Тези проблеми се задълбочават с появата на ransomware атака, която обикновено надхвърля възможностите на екипите за сигурност да овладеят или ли да смекчат заплахата. Способността на атаката бързо да експлоатира уязвимостите и да се разпространи в мрежата, я прави заплаха номер едно. Според проучване на Fortinet, 94% от организациите са разтревожени от евентуална среща с потенциална ransomware атака, докато 85% от тях я считат за по-сериозна от други заплахи.
В стремежа си да подкрепят вътрешнофирмената експертиза и екипи, организациите се обръщат към доставчиците на услуги за оценка на актуалното състояние на използваните технологии от гледна точна на киберсигурността. За да бъде успешен, доставчикът трябва предостави широк, интегриран и автоматизиран подход и решение.
Всичко започва с имейла
Имейлът остава основният вертикал, през който атаката стартира, като множество доклади показват, че ransomware не дава индикации за забавяне. Стабилната защита на имейла е много повече от стандартната филтрация на спам. Тя следва да може да анализира прикачените файлове и да засича зловредните. MSSP доставчикът може да развие защитата на организациите чрез:
- Разбивка и реконструкция на съдържанието: сканиране на приложените файлове, премахване на зловредното съдържание, изграждане наново с безопасния остатък;
- Защита чрез URL: Създаването на URL филтри, които могат да бъдат проверявани, пренаписвани или блокирани;
- Сканиране на пощенската кутия в реално време и по график: прилагането на сигурно профилиране и действия, базирани на информация за източник, изпращач и получател.
- Облачен sandboxing: инспекция на действия при стартиране за зловреден код.
Сегментация на мрежата
Ако една организация цели намаляването на потенциалната вреда от ransomware и злоупотреба с данни, не е достатъчно просто да ограничи достъпа до ресурсите за зловредни лица. Това означава възпрепятстване на тяхното движение, възпирайки ги от това да се движат между и вътре в мрежите. За ограничаване на риска, организациите трябва да сегментират техните мрежи. Локалната сегментация, посредством защитна стена, отделя чувствителните данни от генералната информация. Организацията следва да получи:
- SSL инспекция за възпиране на ransomware или command-and-control атака;
- Автоматизирана защита срещу заплахи;
- DNS security услуги;
- Консолидирано и едновременно работещо IPS, уеб и видео филтриране.
Защита на уеб-базираните приложения
Хакерите също така експлоатират уязвимости в уебсайтове и уеб приложения. Тъй като много клиенти са установили модела на отдалечена или хибридна работа, увеличената употреба на Software-as-a-Service (SaaS) създава предпоставки за web application защитни стени. Това, което клиентът може да получите от MSSP е:
- Блокиране на известни и неизвестни заплахи;
- Регулярно обновяване на сигнатурите;
- Защита срещу OWASP Top-10 заплахи;
- Предпазване от зловредната дейност на ботове .
Имплементация на Zero Trust Network Access (ZTNA)
Дигиталната трансформация прави критично важен zero-trust (нулево доверие) системния дизайн. Отвъд защитата на устройствата и осигуряване на правилните конфигурации за сигурност, организациите трябва да удостоверяват потребителите и непрекъснато да оценяват риска за всяка сесия. Те вече не могат да се доверят, че потребителите са тези, за които се представят. Съвременните ransomware атаки включват неоторизиран достъп и извличане на данни. Посредством мултифакторно удостоверяване (MFA), служителите трябва да отговорят на допълнителни предизвикателства, за да верифицират тяхната идентичност преди да достъпят мрежата и приложенията.
Наблюдение върху крайните точки
Посредством Security Operations Center (SOC), организацията получава от доставчика ограничаване на риска до самото място на атака. Така реакцията при инцидент става много по-бърза, намалявайки шанса за успех на зловредния софтуер. Клиентът трябва да получи от своя партньор-доставчик:
- Способността да открива и контролира фалшиви устройства;
- Засичане в реално време ;
- Автоматизация на реакция при инцидент;
- Изчистване на false positives .
Диаматикс е доставчик на управляеми услуги за сигурност и предлага пълен пакет за защита на организациите и тяхната мрежа. Можете да научите повече за услугите, които предоставяме на нашата страница „Управлявани услуги за сигурност“ или се свържете с нас директно.
Източник: Fortinet