Prvo loše vijesti: Ransomware ne ide nikuda. Dobre vijesti? Pravi podaci mogu pomoći organizacijama da dramatično smanje rizik od cyber iznude uključujući i sprječavanje ransomware napada.
Zapravo, kada su organizacije naoružane obavještajnim podacima koji su pravovremeni, relevantni i djelotvorni, one mogu pojačati vlastite mjere cyber odbrane, pa čak i spriječiti napad ransomware-a.
Još dobrih vijesti: Znamo kako funkcioniraju “bande” ransomware-a i, uglavnom, šta traže.
Ransomware je oportunistički i barijere za ulazak operatera su relativno niske jer su se alati, infrastruktura i pristup koji omogućavaju ove napade proširili u raznim ilegalnim online zajednicama kroz model ransomware-as-a-service (RaaS). Ransomware podružnice mogu iznajmiti zlonamjerni softver i dobiti proviziju od žrtvine naknade za iznudu.
Brokeri za početni pristup—tj. Učesnici prijetnji koji operaterima ransomware-a i podružnicama prodaju pristup mrežama žrtava—konstantno skeniraju internet u potrazi za ranjivim sistemima. Procurjeli akreditivi zbog kršenja i drugih cyber incidenata mogu dovesti do probijanja u sistem.
Zaposleni moraju stalno biti svjesni sve sofisticiranijih šema socijalnog inženjeringa. Akteri prijetnji mogu koristiti bilo koji od ovih mehanizama da probiju sisteme, eskaliraju privilegije, i u idealnom slučaju poduzmu radnje prema ciljevima, ispuštajući zlonamjerni softver na mrežu žrtve i šifrirajući sve njihove datoteke.
Prethodno sam pisao o ulozi otkrivanja, izolacije, ublažavanja i pregovaranja u slučaju ransomware napada. Imati ovaj nivo pripremljenosti danas je od suštinskog značaja
Ali jedan od najefikasnijih načina da se zaustavi napad ransomware-a je da im se uskrati pristup; bez pristupa, nema napada. Protivniku je potrebna samo jedna ruta pristupa, a branilac mora biti svjestan i spriječiti sve ulazne tačke u mrežu. Različite vrste obavještajnih podataka mogu rasvijetliti rizik u lancu prije napada – i pomoći organizacijama da nadgledaju i brane svoje napadne površine prije nego što ih napadnu.
Najbolja obavještajna informacija o ranjivosti trebala bi biti robusna i djelotvorna. Na primjer, sa obavještajnim podacima o ranjivosti koja uključuje dostupnost eksploatacije, tip napada, utjecaj, obrasce otkrivanja i druge karakteristike, timovi za upravljanje ranjivostima predviđaju vjerovatnoću da bi se ranjivost mogla koristiti u napadu na ransomware.
Sa ovim informacijama u ruci, timovi za upravljanje ranjivostima, koji često nemaju dovoljno resursa, mogu dati prioritet zakrpama i preventivno se brane od ranjivosti koje bi mogle dovesti do napada ransomware-a.
Duboko i aktivno razumijevanje ilegalnih online zajednica u kojima djeluju ransomware grupe također može pomoći u informiranju metodologije i sprječavanju proboja. Organizacije moraju biti u mogućnosti da prate i budu upozorene na ukradene akreditive za prijavu prije nego što dođu do kriminalnih aktera. Ovi podaci mogu prekinuti lanac koji vodi do brute force napada.
Kada se akteri cyber prijetnji uspješno infiltriraju u vašu mrežu, naknadni napad nije uvijek trenutan; ponekad će instalirati alate koji im mogu pomoći za dalju invaziju i traže pristup najvrednijim podacima. Tehnička inteligencija pomaže sigurnosnim timovima da otkriju indikatore kompromisa, ili IOC-ove, i prisustvo signala Cobalt Strike, koji mogu nesvjesno biti prisutni u vašim sistemima i kasnije pomoći otkupljivaču da izvrši napad
Kako bi pomogli zaposlenima i rukovodiocima da shvate različite rizike vezane za ransomware, organizacije bi trebale nastojati implementirati vježbe koje su osmislile kompanije sa stručnošću koje se pripremaju za ransomware događaj i reaguju na njega. Ovi simulirani scenariji trebali bi pokriti kako uočiti (i prijaviti) šeme socijalnog inženjeringa poput phishing napada, koji mame zaposlenike da kliknu na linkove ili stupe u interakciju sa štetnim attachmentima koji bi mogli omogućiti distribuciju ransomware-a na uređajima kompanije.
Provodeći vrijeme u izradi i uvježbavanju plana odgovora prije scenarija napada, vaš će tim biti opremljen informiranim donošenjem odluka tokom hitne situacije vezane za ransomware. Ali budite uvjereni: najbolje je imati pri ruci pravu obavještajnu informaciju, uključujući podatke, stručne uvide i alate koji mogu pomoći u sprječavanju napada i održavati rad vaše organizacije bez prekida.
IZVOR: HelpNetSecurity
