Защитить данных в облаке от вирусов-вымогателей и вырусов-шифровальщиков

Как защитить данные в облаке

Как защитить данные в облаке

Вирусы-шифровальщики — наиболее быстрорастущая угроза кибербезопасности. Так ransomware-атаки характеризует в специальном докладе за 2016 год Минюст США. В статье расскажем, как построить систему безопасности и о чем говорить с сотрудниками, чтобы защитить корпоративные данные в cloud-сервисах от подобных атак.

 

 

 

 

1. Введение

2. С чего начинается безопасность         

3. Поможет автоматический, ежедневный версионный бэкап

4. Как разговаривать о безопасности с сотрудниками

5. Выводы

 

 

Введение

Количество ransomware-атак растет с каждым месяцем в геометрической прогрессии. Если в 2011 году была зафиксирована одна модификация вируса в год, то в 2017-м каждый месяц появляются 10 новых модификаций, и такие вирусы, как WannaCry, который парализовал работу компьютеров в 150 странах, и Petya, будут только совершенствоваться и модифицироваться. Рост числа вирусов еще усугубляется тем, что развивается направление RaaS (Ransomware-as-a-Service), то есть софт для вируса становится доступным для самостоятельного приобретения. Стремительный рост разновидностей вируса-вымогателя делает его более изощренным и способным атаковать новые цели. Следующими на очереди атак после компьютера становятся облачные хранилища, поэтому бизнесу, даже самому малому, стоит позаботиться о защите своих данных уже сегодня.

 

С чего начинается безопасность

Построение системы IT-безопасности начинается с выбора софта. Малый и средний бизнес в России и ближнем зарубежье часто грешит нелицензионным ПО, но в определенный момент желание сэкономить на программном обеспечении может вылиться в немалые потери из-за внешних атак.

Опыт показывает, что крупные производители софта со своей стороны стараются отслеживать уязвимости в собственных продуктах и как можно быстрее латать дыры. К примеру, пользователь Microsoft в течение нескольких недель с момента обнаружения уязвимости получает необходимое обновление. Само собой, на пиратские сборки Windows, скачанные с торрент-трекеров, компания не поставляет обновления с исправленными уязвимостями, более того, зачастую такие сборки уже содержат в себе вредоносные элементы.

Техническим специалистам это понятно, а вот топ-менеджерам — не всегда. Стоит потратить часть времени на то, чтобы понятно донести до руководства возможные угрозы и риски, связанные с нелицензированным софтом. Лучше всего называть конкретные цифры: $500-1000 — средний «ценник» вымогателей, но оплата никак не гарантирует, что создатели или владельцы зловреда дадут ключ. Для некоторых вирусов-шифровальщиков существуют утилиты-декрипторы. Этот способ дает гарантии, но его стоимость гораздо выше.

Еще стоит сказать об антивирусах. Для корпоративных сетей минимальная частота обновлений вирусной базы — один раз в сутки на каждом подключенном устройстве. При таком режиме обновлений реальную опасность составляют лишь атаки первой волны, а последующие вполне могут быть отражены защитным ПО.

 

Поможет автоматический, ежедневный версионный бэкап

Полностью защититься от проникновения вирусов-вымогателей невозможно, тут действует принцип «хочешь мира — готовься к войне». Лучший способ подготовиться — настроить систему ежедневных автоматических бэкапов в независимое облако, это так называемый cloud-to-cloud backup. Контроль версий данных дает возможность восстановить необходимые документы у сотрудника на определенную дату, например, за день до ransomware-атаки.

Жертвами подобных зловредов могут стать не только крупные предприятия, но и совсем небольшие компании. Последние редко могут позволить себе отдельного специалиста по компьютерной безопасности. Чтобы защитить корпоративные данные, необходима целая серия действий, а единственный, кто отвечает за защиту сети, — администратор этой самой сети.  У него может не хватить возможностей или ресурсов. В таких ситуациях оптимальный выход — использовать готовое решение, обратиться к компании, которая специализируется на безопасности данных в облачных сервисах. Примером такого сервиса является Spinbackup — сервис по защите SaaS-данных в облаке.

Рассмотрим, как это работает, на примере данных, хранящихся в Google-облаке.

  1. Ransomware-вирусы могут зашифровать ваши документы через синхронизацию компьютера с облаком Google Диска.

Вирус-вымогатель шифрует все файлы на зараженном устройстве, требуя деньги за ключ дешифровки. Жертвой атаки может стать как обычный пользователь, так и целая корпорация, при этом вероятность возврата файлов даже после уплаты выкупа не гарантируется, да и оплата скорее становится стимулом для злоумышленников снова и снова совершать атаки. Подобных атак лучше избегать, чем решать уже возникшую проблему, однако выход есть всегда.

Ransomware-защита для G Suite — это первое автоматическое решение по защите G-Suite-данных. Решение определяет атаку, блокирует источник, идентифицирует наличие зашифрованных файлов в Google Диске сотрудника и автоматически восстанавливает из последнего успешного бэкапа копию данных. Это позволяет бизнесу работать без остановок, стрессов, автоматизирует работу G-Suite-администратора и экономит огромное количество времени по мануальному восстановлению. По сути такой Disaster Recovery Plan жизненно необходим бизнесам, работающим в облаке.

  1. Сторонние приложения, подключенные к G-Suite-домену, могут служить уязвимостью и одновременно возможностью для хакеров.

Для увеличения продуктивности работы сотрудники нередко ставят дополнительные приложения. Такое приложение, подключенное к корпоративному Google-аккаунту, может потенциально означать дыру в безопасности для администратора. Отдельная проблема — ситуации, когда для доступа к корпоративным данным сотрудник использует несколько устройств, включая смартфон, планшет, личный лэптоп. Bring Your Own Device — подход, когда каждое из устройств может быть открытой дверью для вируса, в контексте ransomware-угроз особенно актуален.

Для этого осуществляется мониторинг сторонних приложений. Мы реализуем это через Spinbackup 3rd-party Apps Audit для G Suite. Анализируется потенциальный уровень угрозы приложений на корпоративные данные, который рассчитывается на основе ряда критериев. Один из критериев — уровень доступа, который получает приложение к данным сотрудника. Приложение, получая права редактирования и изменения данных, может нанести вред без ведома пользователя.

Также для контроля BYOD-устройств рекомендуется использовать MDM-системы, которые позволяют определять политики безопасности устройств и корпоративных данных на них. К примеру, можно запретить доступ к корпоративным данным с несанкционированно перепрошитых устройств, можно ограничивать возможность копирования определенных файлов внутри устройства. Часть функционала MDM есть в Google G Suite: например, администратор может настроить доступ к данным компании только с устройств, которые зашифрованы и имеют защиту PIN-кодом или паролем.

 

Как разговаривать о безопасности с сотрудниками

Самая большая уязвимость любой сложной системы — люди, которые ею пользуются. Мероприятия, направленные на повышение компьютерной грамотности сотрудников, стоит проводить регулярно: раз в месяц или хотя бы раз в квартал. Да, это сложно, особенно для нашего менталитета. Технические специалисты часто относятся к условным «гуманитариям» как к людям недалеким, а те не прислушиваются к советам коллег из ИТ-отдела, потому что их опыт не позволяет оценить риски. В итоге никто даже не пытается построить диалог. Чтобы бухгалтеры или, к примеру, дизайнеры выполняли требования специалистов по безопасности, правила нужно изложить понятным языком.

Не у каждого технического специалиста есть возможность устраивать регулярные встречи с сотрудниками и обсуждать компьютерную безопасность. Но почта ведь есть у всех, так что можно готовить корпоративные рассылки с рекомендациями. Главное — перевести их на «человеческий» язык и избегать любой двусмысленности.

Вот примерное содержание письма, которое можно подогнать под особенности своей компании и отправить всем специалистам.

«Коллеги, в мире распространяется угроза вирусов-шифровальщиков: вредоносная программа попадает на компьютер через прикрепленные файлы в письмах или с зараженных флешек. Вирус шифрует любые файлы, которые могут представлять ценность. Расшифровать данные в лучшем случае дорого, в худшем — невозможно.

Первый симптом — названия файлов превращаются в случайный набор символов, а расширения изменяются (это символы после точки в названии файла). Если вы заметили, что на месте квартального отчета теперь лежит файл вроде «kje43tf34tfseweAeE54s.cloud» — немедленно выключите компьютер и звоните в ИТ-отдел. Также вирус может целиком заблокировать компьютер, требуя выплатить выкуп.

Важно! Чтобы не заразиться вирусом-вымогателем, не открывайте письма от неизвестных отправителей и, тем более, не запускайте вложенные файлы. Особенно опасны файлы, расширение которых вам незнакомо.

Учтите, что опасность представляют не только письма с заголовками типа «Вы стали победителем лотереи, заберите свой $1 000 000 000». Злоумышленники могут создавать поддельные аккаунты, похожие на аккаунты банков, государственных учреждений, наших партнеров или даже коллег из соседнего отдела. В любом подозрительном письме проверяйте адрес отправителя вплоть до каждой буквы. Например, вместо буквы «о» злоумышленники могут использовать символ ноля, они очень похожи. Такая хитрость может нанести нашей компании убытки на тысячи долларов.

Будьте внимательны. Спасибо!»

Подобные письма с советами можно составлять хоть каждую неделю, небольшими порциями повышая компьютерную грамотность коллег. В целом, это такая же часть профилактики, как и тестирование плана восстановления. Если подобные рассылки станут в компании традицией, думать об аварийном восстановлении систем придется гораздо реже.

 

Выводы

Итак, общая стратегия защиты от ransomware-угроз состоит из двух групп задач. Первая касается технической стороны вопроса, вторая затрагивает «человеческий фактор».

Чтобы обеспечить защиту на уровне технологий, необходимо:

  • выбирать надежные облачные приложения для хранения данных;
  • регулярно обновлять ПО и базы антивируса;
  • разграничить уровни доступа для разных пользователей — в соответствии с политикой безопасности;
  • мониторить доступ с BYOD-устройств;
  • отслеживать сторонние приложения;
  • организовать cloud-to-cloud backup в независимое облако;
  • регулярно проверять целостность резервных копий.

Часть этих задач можно автоматизировать, что позволит экономить ресурсы. Для малого и среднего бизнеса, техническое обслуживание которого ложится на плечи одного-двух администраторов, такое решение можно считать оптимальным.

Что касается человеческого фактора, работа в этом направлении должна включать в себя, в первую очередь, обсуждение угроз с топ-менеджментом — с конкретными цифрами и решениями. Кроме того, обязательно нужно повышать компьютерную грамотность всего персонала компании — путем регулярных встреч, лекций или даже корпоративной рассылки. Чем больше сотрудники знают о безопасности — тем проще администратору поддерживать жизнеспособность системы, которую он с таким трудом выстраивает.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru