Защита удаленной работы от Ransomware

Защита удалённой бизнес-работы от программ-вымогателей

Руководство по защите удалённой бизнес-работы от Ransomware


  COVID-19 вызвал небывалый всплеск удалённой работы и может сильно повлиять на будущие модели рабочих процессов.

Хотя быстро внедряемые механизмы удалённой работы сначала считались временным решением для поддержания непрерывности бизнеса, теперь уже ясно, что удалённая работа станет привычной и по окончании эпидемии.

Работа на дому сопряжена с серьёзными рисками безопасности. Доступ к корпоративным данным выполняется с уязвимых личных устройств, поэтому ИТ-команды не смогут обеспечить домашним пользователям на удалёнке соблюдение протоколов и решений корпоративной безопасности.

Здесь мы укажем на риски безопасности, связанные с работой из дома, и посоветуем компаниям решение для защиты удалённых сотрудников и корпоративных сетей от программ-вымогателей.


Защита удаленной работы от вымогателей


Проблемы безопасности удалённой работы

  Удалённая работа усиливает недостатки безопасности и создаёт новые угрозы, делая компании уязвимыми для кибератак. Назовем некоторые из самых серьёзных проблем безопасности, связанных с удалённой работой:

- Уязвимые домашние устройства подключаются к ресурсам компании

COVID-19 заставил быстро и часто с ошибками перейти на удалённую работу. Такой срочный компромисс в интересах непрерывности бизнеса не дал компаниям времени на обеспечение безопасности домашних сетей своих сотрудников от возможных заражений. В некоторых странах из-за нехватки ИТ-оборудования организации не смогли предоставить сотрудникам оборудование компании. 

Из-за того, что удалённые сотрудники используют небезопасные личные устройства для доступа к корпоративным сетям и важным данным, количество атак возросло. Каждое устройство, подключенное к домашней сети (ПК, смартфоны, ноутбуки, принтеры, смарт-устройства и пр.), по сути новая точка доступа для злоумышленников и вредоносное ПО с домашних устройств может проникнуть в бизнес-сеть. По данным BitSight, в марте 2020 года 45% компаний США получили минимум одно заражение вредоносным ПО удалённых офисов, а 13,3% получили реальное заражение своих корпоративных сетей. 

- Ослабленные меры безопасности

В корпоративной среде ИТ-команды задают строгие политики безопасности на устройства компании с помощью EDR-систем, ограничений групповых политик, белых списков и пр. При удаленной работе такой же контроль невозможен, т.к. многие удаленные сотрудники используют для работы свои личные устройства. 

С этической стороны компаниям сложно диктовать сотрудникам, какие программы можно использовать на домашних устройствах. С технической стороны разнородность удаленной рабочей среды усложняет компаниям задачу по надежной защите множества устройств, операционных систем и приложений в домашней сети сотрудников. 

- Разнородность ПО домашних пользователей

Корпоративная сеть - это контролируемая среда, в которой авторизованные пользователи используют только утверждённое ПО. Современные продукты EDR и защитное ПО, зависящих от машинного обучения, отлично работают в этой очищенной среде, т.к. приложения можно легко сгруппировать и распознать. Разрешено только ПО для бизнеса или ПО ОС, всё другое считается вредоносным. 

Домашняя сеть хаотична, это смесь рабочих, игровых и развлекательных приложений, загруженных из непроверенных интернет-источников. Для продуктов корпоративной безопасности, модели машинного обучения которых были обучены на чёрно-белых списках, это чужая среда. На повторное изучение потенциальных угроз в этой разнородной среде нужно время, и часто продукты, адаптированные для корпоративного рынка, вызывают поток ложных срабатываний и несовместимости в системах домашних пользователей. 

Ransomware


Самые распространённые векторы атак вымогателей на удалённых сотрудников


Злоумышленники используют следующие самые распространненые векторы атаки для компрометации удаленных сотрудников и заражения компаний-работодателей, программами-вымогателями. 

Вредоносный спам: атакующие распространяют email, содержащие вредоносные вложения или ссылки, приводящие к загрузке вредоносного ПО (часто: ботов Emotet, Trickbot, Dridex). Злоумышленники задают им команды для сбора информации о скомпрометированной системе и подключенной сети перед развертыванием других целевых вредоносных программ. Злоумышленники, пользуясь всеобщим интересом к пандемии, запускают вредоносные спам-кампании на тему COVID-19, использующие страх и любопытство людей. В апреле 2020 года ежедневно распространялось ~60000 фишинговых сообщений про COVID-19, причём злоумышленники выдавали себя за надежные источники, такие как Всемирная организация здравоохранения и Центры по контролю и профилактике заболеваний (США).

Удалённый доступ: злоумышленники используют плохо защищенные инструменты RDP для получения доступа к корпоративным сетям. Протокол удаленного рабочего стола (RDP) — это распространенный вектор RD-атаки. Важно знать: любой инструмент удаленного доступа, а также любое ПО, которое подключается к локальному активному каталогу компании, может служить точкой входа, если правильно не защищены. Многие RDP-утилиты были взломаны, в том числе TeamViewer, Kaseya, Citrix, LiteManager, Ammyy Admin, RAdmin и другие. 

Целевой фишинг: это сложная и целенаправленная форма фишинга. Злоумышленники подробно изучают целевую организацию, чтобы узнать о сотрудниках и их привычках общения, и используют эту информацию для рассылки целевых фишинг-писем, созданных так, как-будто отправлены из надежного источника. В email содержатся вредоносное вложение или URL-адрес на загрузку вредоноса. Фишинг более проблематичен в нынешних условиях работы, потому что сотрудники еще мало знакомы с интерфейсами и экранами входа в систему новых инструментов для удаленной работы, и им сложно отличить фишинг-мошенников от легитимных веб-сайтов. 


Как обезопасить удалённые конечные точки и защитить корпоративные сети


  Изменение способа работы требует изменения подхода бизнеса к безопасности. Следующие лучшие практики помогут организациям защитить новые RD-точки и данные компании.

➤ Обучение сотрудников. В офисе или дома, персонал организации должен проходить регулярное обучение по кибербезопасности, иметь чёткое представление о современных стратегиях социальной инженерии и быть знаком с процедурами отчётности и реагирования в случае инцидента.

➤ Безопасный RDP. Протокол удалённого рабочего стола и другие формы RD-доступа желательно отключить. Если RDP нужен для работы организации, его нужно правильно защитить с помощью шлюза VPN или RDP, MFA и надёжных паролей, и лимитировать RDP-доступ для определенных пользователей и IP-диапазонов. См. статью "Защита RDP от вымогателей"

➤ Использование MFA. Взломанные учётные данные — одна из основных причин программ-вымогателей. Этот риск можно уменьшить включением многофакторной аутентификации везде, где возможно, с контролем служб совместной работы и удалённого доступа к сетям компании. Настройки ПО безопасности тоже нужно защитить с помощью MFA, который можно включить в облачных платформах управления антивирусами, таких как Emsisoft Cloud Console

➤ Обслуживание VPN-устройств. Внезапный переход к удаленной работе резко увеличил спрос на коммерческие VPN. Хотя VPN-устройства играют ключевую роль в защите рабочих данных, они также становятся возможной точки входа для злоумышленников, их нужно держать под наблюдением и регулярно обновлять, чтобы вовремя устранить известные уязвимости в системе безопасности.

➤ Надежное антивирусное ПО. В организациях это необходимо для обнаружения и остановки вредоносного ПО, применяющегося для разведки и распространения на ранних этапах цепочки атак. Корпоративные решения безопасности могут столкнуться с трудностями из-за разнообразия домашней пользовательской среды, поэтому организациям необходимы поставщики антивирусного ПО, имеющие опыт и признанный продукт на потребительском рынке. При наличии активных заражений домашних устройств сотрудников классическое обнаружение и устранение неисправностей в процессе подключения имеет решающее значение для сетевой безопасности.

➤ Фильтрация спама. Надежный фильтр спама может остановить большинство вредоносного спама и снизить риск заражения вредоносным ПО через вредоносные URL-адреса и вложения. Можно настроить фильтры для предотвращения доставки типов вложений (например, документов с макросом).

➤ Удаление PowerShell. Этот мощный инструмент администрирования часто используется злоумышленниками на ранних этапах атаки. Если в нём нет необходимости, организациям желательно удалить PowerShell с удалённых конечных точек. Если он нужен, то должен быть правильно защищен (например, ограничить его использование лишь теми пользователями, которым он нужен, и разрешить выполнение сценариев только с цифровой подписью). 

➤ Подтверждение запросов. Обычные рабочие процессы были нарушены и изменены во время перехода к удалённой работе, что может увеличить риск мошенничества. Сотрудники должны помнить о действиях мошенников и запрашивать подтверждения всех необычных запросов и инструкций, в том числе от клиентов, коллег, поставщиков и начальства. Подтверждение нужно запрашивать через дополнительный канал связи в случае взлома учётной записи отправителя. 

➤ Принцип наименьших привилегий. Это практика ограничения доступа пользователей до минимума. Этот принцип должен быть реализован во всех системах, учётных записях, программном обеспечении и функциях, чтобы предотвратить несанкционированный доступ к критическим системам и заблокировать боковое перемещение по сети, которое позволяет злоумышленнику получать информацию из удалённых систем без использования дополнительных инструментов, таких как RAT (троян удалённого доступа)

➤ Создание бэкапов. В удалённой рабочей среде надёжная стратегия резервного копирования остаётся важным компонентом защиты от вымогателей. Проблемы безопасности и ограничения полосы пропускания могут помешать организации отправлять бэкапы на свои локальные NAS через VPN, а реализация локальных бэкапов для каждого удалённого работника логистически сложна. С учётом этих факторов облачная система резервного копирования может стать практичным вариантом для большинства организаций. См. статью "Защита резервных копий от вымогателей".


Ransomware

Вывод

  COVID-19, возможно, навсегда изменил нашу работу. Глобальный переход к удалённой работе важен для поддержания непрерывности бизнеса при соблюдении принципов социальной дистанции, но смена шаблонов работы также открывает уникальные возможности для киберпреступников, жаждущихся извлечь выгоду из хаоса. 

Компании любого размера должны помнить о проблемах безопасности, связанных с удалённой работой, и принимать меры для защиты своих удалённых конечных точек, сетей и корпоративных средств. Применение методов обеспечения безопасности из этой статьи поможет вам значительно снизить риск взлома и не даст стать следующей жертвой вымогателей. 


Thanks to Jareth for the article.

___

EDR - защита конечных точек от сложных и целевых атак (англ. Endpoint Detection and Response).

MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication).

RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol). 

VPN - технология "Виртуальная частная сеть" (англ. Virtual Private Network). 

----
В благодарность за статью или в качестве поддержки сайта вы можете сделать перевод по никнейму IDRANSOMWARE на любую сумму. 
Прямая ссылка: https://qiwi.com/n/IDRANSOMWARE 
Комментарий к переводу — какой пожелаете. 

-----

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.

© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна. 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *