7-10 minut

Metody obrony przed ransomware: 7 strategii dla firm

Ataki ransomware są obecnie największym zagrożeniem dla bezpieczeństwa firmowych danych. Ewentualny okup to tylko niewielka część wydatków, które organizacja będzie musiała ponieść, aby przywrócić ciągłość biznesu. Ponieważ lepiej zapobiegać niż leczyć, sprawdźmy, jak się przed takimi atakami obronić.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

  1. CZY RANSOMWARE NADAL JEST ZAGROŻENIEM?
  2. DLACZEGO PROBLEM DOTYCZY KAŻDEJ ORGANIZACJI, NIE TYLKO NAJWIĘKSZYCH FIRM?
  3. JAK ZORGANIZOWAĆ SYSTEM WYKONYWANIA KOPII BEZPIECZEŃSTWA, ABY CHRONIŁ PRZED ATAKAMI RANSOMWARE?
  4. JAKIE SĄ INNE SKUTECZNE METODY ZABEZPIECZANIA DANYCH PRZED PRÓBAMI ICH ZASZYFROWANIA LUB WYKRADZENIA?

Według danych zebranych przez ENISA (European Union Agency for Cybersecurity) ataki ransomware są coraz częstsze, a ofiarami przestępców padają nie tylko najwięksi, ale również małe i średnie firmy, które zaniedbują budowanie systemów bezpieczeństwa danych[i]. Blisko 60 proc. organizacji różnej wielkości stało się celem ataku przestępców – wynika z raportu „State of Ransomware 2024” firmy Sophos. W 70 proc. przypadków przestępcom udało się zaszyfrować dane organizacji. A w ciągu ostatnich 12 miesięcy wysokość okupu, jakiego żądali włamywacze za zwrot, wzrosła pięciokrotnie[ii].

Zbliżone informacje przynosi „2024 Ransomware Trends Report” sporządzony dla firmy Veeam. Wynika z niego, że przestępcy prawie zawsze (w 96 proc. przypadków) celują również w kopie bezpieczeństwa. Najczęściej wykorzystywany do tego celu jest niezabezpieczony backup wykonywany samodzielnie przez firmy – w takich przypadkach hakerzy są skuteczni w trzech czwartych prób. Według Veeam, w 43 proc. incydentów danych nie daje się odzyskać[iii].

Ransomware się zmienia

W Strefie Wiedzy T-Mobile nie trzeba nikomu wyjaśniać, czym jest ransomware. Ale ci, którzy jeszcze nie zostali dotknięci tego typu złośliwym oprogramowaniem, być może nie są świadomi, że ransomware występuje w kilku odmianach– i od tego, przez kogo i w jaki sposób zostaliśmy zaatakowani, może zależeć sposób reakcji.

Kto przeprowadza ataki typu ransomware?

Według ekspertów ENISA za atakami ransomware stoją najczęściej całe organizacje przestępcze, korzystające z usług utalentowanych specjalistów liczących na sowitą wypłatę po skutecznym ataku. Coraz powszechniejszy jest model ransomware-as-a-service, w którym przestępcy po prostu zlecają przeprowadzenie odpowiedniej akcji grupom hakerskim. Ci zaś potrafią spędzić całe miesiące na przygotowaniu się do kampanii.

Jak przebiegają ataki ransomware?

Najczęściej z terminem ransomware kojarzy nam się atak z zaszyfrowaniem danych lub ich części. Za odszyfrowanie przestępcy domagają się okupu. Spora część dotkniętych tą formą ransomware firm płaci (wg. Veeam negocjować próbuje co czwarta). Część wcześniej korzysta z profesjonalnych usług odszyfrowania informacji (ponad 40 proc. usiłuje poradzić sobie w ten sposób).

Niekiedy procesowi szyfrowania danych towarzyszy kradzież najcenniejszych informacji, często dotyczących kontraktów z firmami trzecimi, czy danych wrażliwych klientów. Przestępcy grożą wówczas wyciekiem tych informacji, jeżeli nie uzyskają żądanej kwoty. Według Veeam okup to tylko jedna trzecia wydatków, jakie organizacja będzie musiała ponieść, aby wrócić do normalnego działania.

Najbardziej złośliwe ataki polegają na wymazywaniu danych – bez opcji ich odzyskania nawet po wpłaceniu okupu. W tej sytuacji kopia bezpieczeństwa okaże się bezcenna. I są wreszcie prymitywne próby ataku polegające na wystraszeniu użytkowników – przestępcy liczą, że uda im się namówić ofiary do zakupu niepotrzebnego oprogramowania.

Ochrona przed ransomware: zacznijmy od podstaw

Jak się ochronić przed ransomware? O ile żadna metoda nie zagwarantuje w 100 proc. bezpieczeństwa danych i odporności na ataki, o tyle wdrożenie wieloelementowej strategii obrony może utrudnić przestępcom zadanie na tyle, że wybiorą inny cel. Oto siedem rozwiązań, które pomogą organizacjom bronić się atakiem ransomware.

1. By przeciwdziałać atakowi ransomware, rób kopie bezpieczeństwa

Wykonywanie regularnych kopii bezpieczeństwa jest najprostszym sposobem zmniejszenia ryzyka utraty danych w organizacji każdej wielkości. Na co powinniśmy zwrócić uwagę przygotowując strategię backupu?

Po pierwsze należy wdrożyć zasadę 3-2-1 lub jeden z jej wariantów. Zakłada ona przechowywanie co najmniej trzech kopii danych, na co najmniej dwóch różnych nośnikach, z czego jedna powinna znajdować się poza siedzibą firmy (lub według innej strategii – offline). Więcej informacji o zasadzie 3-2-1 znajduje się w artykule: Jak często myślisz o backupie?

Nie bez znaczenia jest również częstość wykonywania kolejnych kopii. Oczywiście najwięcej zależy od specyfiki organizacji i intensywności korzystania z zasobów IT, ale powszechnie przyjmowanym standardem jest wykonywanie kopii co najmniej raz dziennie.

Warto wiedzieć:

Przy dużej częstości wykonywania backupu warto pamiętać, że infekcje oprogramowaniem szyfrującym mogą przez pewien czas być bezobjawowe. A co za tym idzie – że nawet kopia bezpieczeństwa zawiera złośliwe oprogramowanie. W tym przypadku przydatne będzie wykorzystanie takich narzędzi, które dodatkowo kontrolują zawartość backupu (jak to jest w przy usłudze Disaster Recovery as a Service) pod kątem ransomware. Dobrym pomysłem może być przechowywanie również starszych wersji kopii bezpieczeństwa – właśnie na wypadek, gdyby ta najnowsza okazała się wadliwa.

I wreszcie rzecz ostatnia i najważniejsza w strategii backupu – odzyskiwanie danych z kopii trzeba testować. Cóż z tego, że sumiennie robiliśmy backup czy zleciliśmy to zadanie wyspecjalizowanemu usługodawcy, jeśli nie umiemy w rozsądnym czasie przywrócić uszkodzonych zasobów i normalnego działania firmy po ataku?

2. Aktualizuj oprogramowanie i łataj dziury w obliczu zagrożenia ransomware

Według ankiet Sophos jedna trzecia ataków ransomware udaje się za sprawą luk w niezaktualizowanym oprogramowaniu. Chodzi nie tylko o oprogramowanie antywirusowe, czy system operacyjny i przeglądarki – aktualizować należy również oprogramowanie urządzeń sieciowych i wykorzystywane operacyjne, w tym systemów legacy i typowo produkcyjnych. Dotyczy to także inteligentnych firewalli, a nawet wyspecjalizowanego oprogramowania do analizy ruchu sieciowego – te elementy również były wykorzystywane w atakach ransomware na wielką skalę.

Priorytetem powinna być aktualizacja tych elementów, które są bezpośrednio dostępne z zewnątrz przez internet, a także aplikacji biurowych (tzw. zwiększających produktywność) oraz do pracy zdalnej.

Istotną pomocą może tu być automatyzacja niektórych czynności administracyjnych jak np. instalowanie poprawek lub wykupienie odpowiedniej usługi (jak Workspace-as-a-Service) u zewnętrznego dostawcy.

Opracuj plan reagowania na incydenty bezpieczeństwa, w tym ataki ransomware

Zaczęliśmy od strategii backupu i aktualizacji, bo są to fundamenty strategii obrony przed atakami ransomware dla wszystkich organizacji. Jednak podstawą takich działań – zwłaszcza dla firm, które zostaną objęte regulacjami NIS2 – powinno być przygotowanie odpowiedniego planu utrzymania ciągłości działania. Wymienione wyżej sposoby podnoszenia odporności powinny być tego planu elementem.

Sprawdź: Nie ma biznesu bez cyberodporności

Na temat NIS2 i nowych obowiązków, jakie niosą nowe regulacje dla osób odpowiedzialnych za bezpieczeństwo IT i ciągłość biznesową pisaliśmy w Strefie Wiedzy wielokrotnie. Dlatego tu nadmienimy tylko, że taki plan powinien zakładać jasne przypisanie ról i określenie procedur na wypadek incydentu bezpieczeństwa, konieczności odłączenia elementów w sieci, czy określonych użytkowników, a także wspomnianego odzyskiwania danych z backupu. Ten plan powinien być również przetestowany, a odporność organizacji objętych NIS2 regularnie badana.

Więcej na ten temat przeczytasz z cyklu o NIS2:

Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie. Część I – regulacje

Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie. Część II – rozwiązania techniczne

Zabezpieczenia przed ransomware: znaczenie usług i doświadczenia dostawców

4. Skorzystaj z centrum bezpieczeństwa

Nietypowa aktywność w sieci jest pierwszym zwiastunem trwającego ataku. Dlatego warto dysponować narzędziem, które pozwoli taką aktywność podejrzeć. O ile duże firmy korzystające z rozległej infrastruktury i posiadające własne silne zespoły IT mogą sobie z tym zadaniem poradzić same, o tyle dla firm małych i średnich korzystniejsze będzie zapewne wykupienie usług u zewnętrznych dostawców – np. Security Operations Center od T-Mobile.

Takie centrum bezpieczeństwa może monitorować ruch wewnątrz sieci, między oddziałami w sieci SD-WAN, a także ruch wychodzący pod szczególne adresy poza granicami Polski wykorzystywane do „zrzucania” wykradzionych danych.

Częścią tej strategii może być stosowanie inteligentnego firewalla lub skorzystanie z usług, które takie rozwiązanie już zawierają.

5. Zastosuj oprogramowanie typu EDR

Platformy EDR (Endpoint Detection and Response) pozwalają administratorom monitorować aktywność na terminalach użytkowników oraz zdalnie nimi zarządzać. W ten sposób budowana jest pierwsza linia zabezpieczeń przed różnymi złośliwymi działaniami, nie tylko atakami ransomware pochodzącymi z zewnątrz organizacji. Takie rozwiązania mogą zawierać oprogramowanie antywirusowe, szyfrujące dane, wykonujące regularne backupy, a także obejmować monitorowanie działań w przeglądarkach i aplikacjach (tak jak Cyber Guard® od T-Mobile) oraz kontrolę zainstalowanego oprogramowania na wszystkich platformach – od urządzeń mobilnych po laptopy wykorzystywane przez pracowników.

Szczególnie dokładnie należy przyjrzeć się wiadomościom e-mail – a raczej sposobowi, w jaki użytkownicy z nich korzystają. Historycznie, e-maile otwierały przestępcom drzwi do firmowej sieci w 67 proc. ataków ransomware. Dziś również są wektorem ataków, choć rośnie znaczenie oprogramowania do zdalnej współpracy, takiego jak np. MS Teams. Filtrowanie wiadomości z podejrzanymi załącznikami lub linkami powinno być standardową procedurą bezpieczeństwa w każdej firmie.

Nie zawsze jednak platformy EDR będą wystarczające – stanie się tak w sytuacji wykorzystywania prywatnych urządzeń do korzystania z firmowych zasobów (BYOD), co jest szczególnie częste w organizacjach zezwalających na dostęp do zasobów pracownikom zdalnym i hybrydowym oraz partnerom.

Co jeszcze wziąć pod uwagę, budując strategię obrony przed ransomware?

6. Implementuj politykę zerowego zaufania w obliczu ataków ransonware i nie tylko

Zasada zerowego zaufania każe traktować każdego jako potencjalnego intruza – krótko mówiąc nie pozwala zaufać nikomu. Oznacza to, że zarówno laptop pracownika zdalnego, jak i komputer prezesa, znajdujący się w sieci lokalnej, będą traktowane z taką samą ostrożnością.

Fundamentem tej polityki jest kilkustopniowa weryfikacja tożsamości użytkowników (zwykle dwustopniowa, ale w przypadku dostępu do szczególnie cennych danych może być ona wzbogacona o kolejną metodę identyfikacji). Zasada zerowego zaufania oznacza również nadawanie każdemu użytkownikowi najniższych możliwych uprawnień dostępu niezbędnych do wykonania zadania. Razem z segmentacją sieci, czyli podzieleniem infrastruktury IT organizacji na mniejsze części, chronione oddzielnym zestawem zasad, pozwala to na ograniczenie szkód wywołanych ewentualnym atakiem ransomware.

7. W obliczu ataków ransomware, edukuj użytkowników o zagrożeniach

Wszystkie te działania techniczne będą jednak nieskuteczne, jeżeli pominiemy etap edukacji użytkowników. Wielostopniowa weryfikacja, monitorowanie aplikacji, blokada możliwości instalacji oprogramowania – wszystkie te metody użytkownicy potrafią – i w rzeczywistości często to robią – obejść, jeżeli utrudniają im pracę. Bez świadomości zagrożenia i bez współpracy ze strony samych użytkowników, organizacja wcześniej czy później padnie ofiarą ataku ransomware.

Ochrona przed ransomware: najważniejsze wnioski

Jak reagować na cyberzagrożenia? Pierwsza zasada przygotowania do ataku, to przyjęcie do wiadomości, że nie jest to kwestia „czy”, tylko „kiedy”. Obecnie nie ma organizacji korzystającej z cyfrowych technologii, która byłaby niewrażliwa na atak ransomware. Powyżej przedstawiliśmy najlepsze sposoby zmniejszania ryzyka, że taki atak zakończy się sukcesem. Ale fundamentem strategii obrony jest backup – rodzaj koła ratunkowego, pozwalającego utrzymać się na powierzchni, gdy wszystko inne zawiedzie.

[i] https://www.it-daily.net/en/thought-leadership-en/ransomware-top-5-best-practices-for-companies

[ii] https://www.sophos.com/en-us/content/state-of-ransomware

[iii] https://www.veeam.com/resources/wp-2024-ransomware-trends-report.html

Business Backup

Ten artykuł dotyczy produktu

Business Backup

Przejdź do produktu
Disaster Recovery as a Service

Ten artykuł dotyczy produktu

Disaster Recovery as a Service

Przejdź do produktu

Data publikacji: 04.03.2025

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.