Макар ransomware да не е нов вид атака, тактиките, техниката и процедурите използвани от хакерите еволюират и са много по-опасни от преди. Организации с различни размери са изправени пред предизвикателства като: използване на cloud технологиите, защита на крайните точки и управление на уязвимостите. Въпреки това, рисковете от ransomware атака са индикативни за по-големи структурни проблеми като: управление на активите, липса на правилна сегментация на мрежата, видимост и реакция при инцидент. Тези аспекти са симптоматични за традиционната, вече остаряла, стратегия за сигурност, която няма постоянна видимост върху LAN, WAN, дата центрове и cloud.

Комплексността на традиционните решения е в основата на затруднението, което срещат компаниите при опит да възпрепятстват атаки. Тези проблеми се задълбочават с появата на ransomware атака, която обикновено надхвърля възможностите на екипите за сигурност да овладеят или ли да смекчат заплахата. Способността на атаката бързо да експлоатира уязвимостите и да се разпространи в мрежата, я прави заплаха номер едно. Според проучване на Fortinet, 94% от организациите са разтревожени от евентуална среща с потенциална ransomware атака, докато 85% от тях я считат за по-сериозна от други заплахи.

В стремежа си да подкрепят вътрешнофирмената експертиза и екипи, организациите се обръщат към доставчиците на услуги за оценка на актуалното състояние на използваните технологии от гледна точна на киберсигурността. За да бъде успешен, доставчикът трябва предостави широк, интегриран и автоматизиран подход и решение.

Всичко започва с имейла

Имейлът остава основният вертикал, през който атаката стартира, като множество доклади показват, че ransomware не дава индикации за забавяне. Стабилната защита на имейла е много повече от стандартната филтрация на спам. Тя следва да може да анализира прикачените файлове и да засича зловредните. MSSP доставчикът може да развие защитата на организациите чрез:

  • Разбивка и реконструкция на съдържанието: сканиране на приложените файлове, премахване на зловредното съдържание, изграждане наново с безопасния остатък;
  • Защита чрез URL: Създаването на URL филтри, които могат да бъдат проверявани, пренаписвани или блокирани;
  • Сканиране на пощенската кутия в реално време и по график: прилагането на сигурно профилиране и действия, базирани на информация за източник, изпращач и получател.
  • Облачен sandboxing: инспекция на действия при стартиране за зловреден код.

Сегментация на мрежата

Ако една организация цели намаляването на потенциалната вреда от ransomware и злоупотреба с данни, не е достатъчно просто да ограничи достъпа до ресурсите за зловредни лица. Това означава възпрепятстване на тяхното движение, възпирайки ги от това да се движат между и вътре в мрежите. За ограничаване на риска, организациите трябва да сегментират техните мрежи. Локалната сегментация, посредством защитна стена, отделя чувствителните данни от генералната информация. Организацията следва да получи:

  • SSL инспекция за възпиране на ransomware или command-and-control атака;
  • Автоматизирана защита срещу заплахи;
  • DNS security услуги;
  • Консолидирано и едновременно работещо IPS, уеб и видео филтриране.

Защита на уеб-базираните приложения

Хакерите също така експлоатират уязвимости в уебсайтове и уеб приложения. Тъй като много клиенти са установили модела на отдалечена или хибридна работа, увеличената употреба на  Software-as-a-Service (SaaS) създава предпоставки за web application защитни стени. Това, което клиентът може да получите от MSSP е:

  • Блокиране на известни и неизвестни заплахи;
  • Регулярно обновяване на сигнатурите;
  • Защита срещу OWASP Top-10 заплахи;
  • Предпазване от зловредната дейност на ботове .

Имплементация на Zero Trust Network Access (ZTNA)

Дигиталната трансформация прави критично важен zero-trust (нулево доверие) системния дизайн. Отвъд защитата на устройствата и осигуряване на правилните конфигурации за сигурност, организациите трябва да удостоверяват потребителите и непрекъснато да оценяват риска за всяка сесия. Те вече не могат да се доверят, че потребителите са тези, за които се представят. Съвременните ransomware атаки включват неоторизиран достъп и извличане на данни. Посредством мултифакторно удостоверяване (MFA), служителите трябва да отговорят на допълнителни предизвикателства, за да верифицират тяхната идентичност преди да достъпят мрежата и приложенията.

Наблюдение върху крайните точки

Посредством Security Operations Center (SOC), организацията получава от доставчика ограничаване на риска до самото място на атака. Така реакцията при инцидент става много по-бърза, намалявайки шанса за успех на зловредния софтуер. Клиентът трябва да получи от своя партньор-доставчик:

  • Способността да открива и контролира фалшиви устройства;
  • Засичане в реално време ;
  • Автоматизация на реакция при инцидент;
  • Изчистване на false positives .

Диаматикс е доставчик на управляеми услуги за сигурност и предлага пълен пакет за защита на организациите и тяхната мрежа. Можете да научите повече за услугите, които предоставяме на нашата страница „Управлявани услуги за сигурност“ или се свържете с нас директно.

Източник: Fortinet