มันจะป้องกัน ransomware ได้อย่างไร

เราทุกคนรู้ว่า ransomware เป็นหนึ่งในตัวแปรมัลแวร์ที่อันตรายที่สุด คุณกำลังพูดถึงการคลิกที่ลิงค์ที่ไม่ถูกต้องและทำให้ข้อมูลขององค์กรของคุณหายไปในความยุ่งเหยิงที่เข้ารหัสหรือแม้แต่ระบบปฏิบัติการเซิร์ฟเวอร์ (OS) และไฟล์สำคัญอื่น ๆ ก็หายไปเพียงวันเดียว คุณสามารถจ่ายค่าไถ่ แต่นั่นอาจไม่เพียง แต่มีราคาแพง แต่ยังไม่มีการรับประกันว่าคนร้ายจะให้ข้อมูลของคุณกลับคืนมา

เมื่อคุณได้รับผลกระทบตัวเลือกของคุณจะเยือกเย็น: หวังว่าคุณจะสามารถกู้คืนระบบของคุณให้ทำงานได้โดยใช้การสำรองข้อมูลบนคลาวด์หรือจ่ายค่าไถ่และหวังว่าคีย์ถอดรหัสจะทำงานได้ แต่นั่นก็ต่อเมื่อคุณโดนโจมตี ทางเลือกที่ดีกว่าคือการป้องกันไม่ให้ไฟล์ของคุณถูกเข้ารหัสในตอนแรกหรือหากไฟล์บางไฟล์ถูกโจมตี กุญแจสำคัญคือเพิ่มความปลอดภัยให้กับเกมของคุณเพื่อป้องกันการถูกโจมตี

วิธีการหลีกเลี่ยงการโจมตี Ransomware

ขั้นตอนแรกคือสิ่งที่ Israel Barak หัวหน้าฝ่ายความปลอดภัยของข้อมูล (CISO) ของผู้พัฒนาซอฟต์แวร์ตรวจจับและตอบสนอง Cybereason เรียกว่า "IT และความปลอดภัยด้านสุขอนามัย" ซึ่งหมายถึงการหลีกเลี่ยงช่องโหว่และกรองอีเมลและการเข้าชมเว็บ นอกจากนี้ยังหมายถึงการให้การฝึกอบรมผู้ใช้และทำให้แน่ใจว่าแพตช์สำหรับระบบปฏิบัติการแอพพลิเคชั่นและผลิตภัณฑ์ด้านความปลอดภัยของคุณนั้นทันสมัย

ขั้นตอนที่สองคือการมีความต่อเนื่องทางธุรกิจและกลยุทธ์การกู้คืน นี่หมายถึงการวางแผนสำหรับสิ่งที่เลวร้ายแทนที่จะหวังว่าพวกเขาจะไม่ทำ Barak กล่าวว่าสิ่งนี้รวมถึงการสำรองและทดสอบการรับรู้ว่าคุณจะกู้คืนบริการที่ได้รับผลกระทบได้อย่างไรรู้ว่าคุณจะได้รับทรัพยากรการคำนวณสำหรับการกู้คืนที่ใดและการรู้ว่าแผนการกู้คืนแบบเต็ม

ขั้นตอนที่สามคือการป้องกันมัลแวร์ Barak กล่าวว่าสิ่งนี้รวมถึงการป้องกันมัลแวร์ที่เข้าสู่เครือข่ายของคุณและการป้องกันจากมัลแวร์ที่ดำเนินการในขณะที่อยู่ในระบบ โชคดีที่มัลแวร์ส่วนใหญ่นั้นค่อนข้างง่ายที่จะสังเกตเห็นเพราะผู้เขียนมัลแวร์แบ่งปันกิจวัตรที่ประสบความสำเร็จบ่อยครั้ง

ทำไม Ransomware แตกต่าง

น่าเสียดายที่ Ransomware ไม่เหมือนมัลแวร์อื่น ๆ บารัคกล่าวว่าเนื่องจากแรนซัมแวร์อาศัยอยู่ในคอมพิวเตอร์เพียงชั่วครู่จึงไม่ยากที่จะตรวจจับก่อนที่จะเสร็จสิ้นการเข้ารหัสและส่งข้อความแรนซัมแวร์ นอกจากนี้ซึ่งแตกต่างจากมัลแวร์ประเภทอื่น ๆ มัลแวร์ที่ดำเนินการเข้ารหัสไฟล์อาจมาถึงคอมพิวเตอร์ของเหยื่อทันทีก่อนที่จะเริ่มการเข้ารหัส

มัลแวร์ประเภทสองประเภทล่าสุดคือ Ryuk และ SamSam เข้าสู่ระบบของคุณภายใต้คำแนะนำของผู้ให้บริการมนุษย์ ในกรณีของ Ryuk ผู้ให้บริการรายนั้นอาจอยู่ในเกาหลีเหนือและกับ SamSam ในอิหร่าน ในแต่ละกรณีการโจมตีเริ่มต้นด้วยการค้นหาข้อมูลประจำตัวที่อนุญาตให้เข้าสู่ระบบ เมื่อดำเนินการเสร็จแล้วผู้ดำเนินการตรวจสอบเนื้อหาของระบบตัดสินใจว่าจะเข้ารหัสไฟล์ใดยกระดับสิทธิ์ค้นหาและปิดใช้งานซอฟต์แวร์ต่อต้านมัลแวร์และลิงก์ไปยังสำเนาสำรองเพื่อเข้ารหัสหรือในบางกรณียกเลิกการสำรองข้อมูล หลังจากนั้นอาจมีการเตรียมการหลายเดือนมัลแวร์การเข้ารหัสจะถูกโหลดและเปิดใช้งาน มันอาจเสร็จงานในไม่กี่นาที - เร็วเกินไปที่ผู้ปฏิบัติงานมนุษย์จะเข้าไปแทรกแซง

“ ใน SamSam พวกเขาไม่ได้ใช้ฟิชชิ่งแบบเดิม” Carlos Solari รองประธานฝ่ายพัฒนาโซลูชันด้านความปลอดภัยทางไซเบอร์ Comodo Cybersecurity และอดีต White House CIO อธิบาย "พวกเขาใช้เว็บไซต์และขโมยข้อมูลประจำตัวของผู้คนและใช้กำลังดุร้ายเพื่อรับรหัสผ่าน"

โซลาริกล่าวว่าการบุกรุกเหล่านี้ไม่ได้รับการตรวจพบเพราะไม่มีมัลแวร์ที่เกี่ยวข้องจนกว่าจะถึงจุดสิ้นสุด แต่เขาบอกว่าทำอย่างถูกต้องมีวิธีที่จะหยุดการโจมตีในจุดนี้ โดยปกติเขากล่าวว่าอาชญากรจะดำเนินการตามบริการไดเรกทอรีสำหรับเครือข่ายและโจมตีสิ่งเหล่านั้นเพื่อให้พวกเขาสามารถได้รับสิทธิ์ระดับผู้ดูแลระบบที่จำเป็นสำหรับการจัดเตรียมสำหรับการโจมตี ณ จุดนี้ระบบตรวจจับการบุกรุก (IDS) อาจตรวจจับการเปลี่ยนแปลงและหากผู้ให้บริการเครือข่ายทราบว่าต้องมองหาอะไรพวกเขาก็สามารถล็อคระบบลงและปลดผู้บุกรุกออก

“ หากพวกเขาให้ความสนใจพวกเขาจะรู้ว่ามีคนอยู่ข้างใน” โซลารีกล่าว "เป็นสิ่งสำคัญในการค้นหาข่าวกรองภัยคุกคามทั้งภายในและภายนอกคุณกำลังมองหาความผิดปกติในระบบ"

วิธีการป้องกันตัวเอง

สำหรับ บริษัท ขนาดเล็ก Solari ชี้ให้เห็นว่า บริษัท ต่าง ๆ ค้นหา Managed Detection และ Response (MDR) Security Operations Center (SOC) เป็นบริการ เขาเสริมว่า บริษัท ขนาดใหญ่อาจต้องการค้นหา Managed Security Services Provider (MSSP) โซลูชันทั้งสองจะทำให้สามารถจับตาดูเหตุการณ์ด้านความปลอดภัยรวมถึงการจัดเตรียมก่อนการโจมตีที่สำคัญของ ransomware

นอกเหนือจากการตรวจสอบเครือข่ายของคุณสิ่งสำคัญคือการทำให้เครือข่ายของคุณเป็นอันตรายต่ออาชญากรมากที่สุด Adam Kujawa ผู้อำนวยการฝ่าย Malwarebyte Labs กล่าวว่าขั้นตอนสำคัญอย่างหนึ่งคือการแบ่งเครือข่ายของคุณเพื่อให้ผู้บุกรุกไม่สามารถข้ามเครือข่ายของคุณและเข้าถึงทุกสิ่งได้ "คุณไม่ควรเก็บข้อมูลทั้งหมดไว้ในที่เดียวกัน" Kujawa กล่าว "คุณต้องการความปลอดภัยระดับลึกกว่านี้"

แต่ถ้าปรากฎว่าคุณไม่ได้ตรวจพบระยะรุกรานก่อนการโจมตี ransomware ก็มีอีกเลเยอร์หรือการตอบสนองซึ่งเป็นพฤติกรรมการตรวจสอบมัลแวร์เมื่อมันเริ่มเข้ารหัสไฟล์

“ สิ่งที่เราได้เพิ่มเข้าไปคือกลไกด้านพฤติกรรมที่อาศัยพฤติกรรมที่เป็นปกติของ ransomware” Barak อธิบาย เขากล่าวว่าซอฟต์แวร์ดังกล่าวเฝ้าดูสิ่งที่ ransomware อาจทำเช่นการเข้ารหัสไฟล์หรือลบการสำรองข้อมูลจากนั้นจะดำเนินการเพื่อฆ่ากระบวนการก่อนที่จะทำความเสียหายใด ๆ "มันมีประสิทธิภาพมากกว่ากับสายพันธุ์ ransomware ที่ไม่เคยเห็นมาก่อน"

คำเตือนและการคุ้มครองล่วงหน้า

เพื่อให้รูปแบบของการเตือนล่วงหน้า Barak กล่าวว่า Cybereason ใช้ขั้นตอนอื่น “ สิ่งที่เราทำคือใช้กลไกการยกเว้น” เขากล่าว "เมื่อซอฟต์แวร์ Cybereason ไปถึงจุดสิ้นสุดมันจะสร้างชุดไฟล์พื้นฐานที่จัดวางในโฟลเดอร์บนฮาร์ดไดรฟ์ซึ่งจะทำให้ ransomware พยายามเข้ารหัสก่อน" เขากล่าวว่าตรวจพบการเปลี่ยนแปลงในไฟล์เหล่านั้นทันที

จากนั้นซอฟต์แวร์ของ Cybereason หรือซอฟต์แวร์ที่คล้ายกันจาก Malwarebytes จะยุติกระบวนการและในหลาย ๆ กรณีจะทำการบรรจุมัลแวร์เพื่อไม่ให้เกิดความเสียหายใด ๆ เพิ่มเติม

ดังนั้นมีการป้องกันหลายชั้นที่สามารถป้องกันการโจมตีของ ransomware และถ้าคุณมีการทำงานทั้งหมดและในสถานที่การโจมตีที่ประสบความสำเร็จจะต้องทำตามชุดของความล้มเหลวเพื่อที่จะเกิดขึ้น และคุณสามารถหยุดการโจมตีเหล่านั้นได้ทุกที่ตามสายโซ่

คุณควรจ่ายค่าไถ่หรือไม่

แต่สมมติว่าคุณตัดสินใจว่าคุณต้องการจ่ายค่าไถ่และเรียกคืนการดำเนินการทันทีหรือไม่ “ สำหรับบางองค์กรมันเป็นทางเลือกที่ปฏิบัติได้” บารัคกล่าว

คุณจะต้องประเมินค่าใช้จ่ายของการหยุดชะงักทางธุรกิจเพื่อพิจารณาว่าค่าใช้จ่ายในการกลับเข้าสู่การดำเนินงานดีกว่าต้นทุนการฟื้นฟูหรือไม่ บารัคกล่าวว่าสำหรับการโจมตีทางแรนซัมแวร์ทางธุรกิจ "ในกรณีส่วนใหญ่คุณจะได้รับไฟล์กลับมา"

แต่บารัคกล่าวว่าหากการจ่ายค่าไถ่เป็นไปได้คุณก็มีข้อควรพิจารณาอื่น ๆ "เราจะเตรียมล่วงหน้าเพื่อให้มีกลไกการเจรจาต่อรองค่าใช้จ่ายในการรับบริการกลับมาได้อย่างไรเราจะจ่ายเงินให้พวกเขาอย่างไรเราจะจัดตั้งกลไกในการเป็นนายหน้าการชำระเงินประเภทนั้นได้อย่างไร"

ข้อมูลอ้างอิงจาก Barak การโจมตี ransomware เกือบทุกครั้งมีวิธีการสื่อสารกับผู้โจมตีและองค์กรส่วนใหญ่พยายามเจรจาข้อตกลงที่ผู้โจมตี ransomware มักจะเปิด ตัวอย่างเช่นคุณอาจตัดสินใจว่าคุณต้องการเพียงบางส่วนของเครื่องที่เข้ารหัสและเพียงเจรจาต่อรองเพื่อส่งคืนเครื่องเหล่านั้น

• การป้องกัน Ransomware ที่ดีที่สุดสำหรับปี 2019 การป้องกัน Ransomware ที่ดีที่สุดสำหรับปี 2019
• SamSam Ransomware แฮกเกอร์ทำเงินได้ใน 5.9 ล้านดอลลาร์ SamSam Ransomware แฮกเกอร์ทำเงินเป็นเงิน $ 5.9 ล้าน
• 2 ชาวอิหร่านที่อยู่เบื้องหลังการโจมตีของ SamSam Ransomware, US อ้างสิทธิ์ 2 ชาวอิหร่านที่อยู่เบื้องหลังการโจมตีของ SamSam Ransomware, US Claims

"แผนจะต้องถูกวางไว้ก่อนเวลาคุณจะตอบสนองใครจะสื่อสารคุณจะจ่ายค่าไถ่อย่างไร" บารัคกล่าว

ในขณะที่การจ่ายเงินเป็นตัวเลือกที่ทำงานได้สำหรับองค์กรส่วนใหญ่มันยังคงเป็นทางเลือกสุดท้ายไม่ใช่การตอบกลับ มีตัวแปรมากมายที่คุณไม่สามารถควบคุมได้ในสถานการณ์นั้นบวกกับการได้รับเงินเพียงครั้งเดียวคุณไม่สามารถรับประกันได้ว่าคุณจะไม่ถูกโจมตีด้วยเงินสดในอนาคต แผนการที่ดีกว่าคือการใช้การป้องกันที่แข็งแกร่งซึ่งยากพอที่จะหันเหการโจมตีมัลแวร์ส่วนใหญ่และกำจัดสิ่งที่ประสบความสำเร็จ แต่ไม่ว่าคุณจะตัดสินใจอะไรก็ตามจงจำไว้ว่าแทบทุกวิธีแก้ปัญหาต้องการให้คุณสำรองข้อมูลอย่างเคร่งครัด ทำทันทีทำบ่อยและทดสอบบ่อยเกินไปเพื่อให้แน่ใจว่าสิ่งต่าง ๆ จะทำงานได้อย่างราบรื่นในไม่ช้า