Ransomware pokračuje v poškozování organizací, přičemž více než polovina společností dotazovaných v rámci průzkumu společnosti Sophos ve 26 zemích připustila, že byly ransomwarem v loňském roce napadeny*. Tyto útoky jsou stále složitější a účinnější při využívání zranitelností sítě a systému, takže mohou ve společnostech zanechat dalekosáhlý účet za nápravu škod - globální průměr činí neuvěřitelných 761 106 USD.
Moderní brány firewall jsou vysoce účinné při ochraně systémů před takovýmito útoky, avšak je nutné dát jim příležitost dělat svou práci. V tomto článku naleznete bližší informace o tom, jak útoky typu ransomware fungují, jak je lze zastavit a jak nejlépe nakonfigurovat váš firewall a síť, abyste byli optimálně chráněni.
Sophos XG Firewall
Bezkonkurenční zabezpečení, jednoduchost a přehled.
- Blokuje neznámé hrozby pomocí obsáhlého balíčku pokročilé ochrany, který zahrnuje IPS, ATP, Sandboxing, Dual AV, kontrolu webu a aplikací, anti-phishing, plně vybavený webový aplikační firewall a další.
- Automaticky reaguje na události – okamžitě identifikuje nakažené systémy a izoluje je do doby, než mohou být vyčištěny.
- Odhaluje skryté hrozby ve vaší síti, jako jsou neznámé aplikace, rizikoví uživatelé, pokročilé hrozby, podezřelé payloady a mnohé další.
Sophos XG Firewall - zkušební verze zdarma na webu www.sophos.com/xgfirewall
Na koho hackeři míří
Na koho hackeři vlastně míří? Stručná odpověď zní na všechny. V nedávném průzkumu společnosti Sophos uvedlo 51 % respondentů, že byli v loňském roce napadeni ransomwarem, přičemž velikost organizace zde nehraje žádnou významnou roli. Méně než 1000 zaměstnanců mělo 47 % napadených organizací, zatímco 53 % mělo více než 1000 zaměstnanců. Žádná země, region nebo vertikální tržní segment proti tomu nejsou imunní.
Obr. 1.: Byla v loňském roce vaše organizace napadena ransomwarem? Dotazováno 5 000 respondentů. Zdroj: Sophos
Každý týden se objevují informace o několika nových úspěšných útocích typu ransomware a důsledky jsou zničující. Útočníci požadují vysoké výkupné, útoky způsobují výrazné narušení provozu a obchodních příležitostí, poškozují pověst společností, způsobují ztrátu dat a v rostoucím počtu případů také citlivých firemních údajů.
Jak útoky ransomwaru pronikají do sítě
V roce 2020 zaznamenaly útoky na servery rostoucí trend. Jedná se o vysoce cílené, důmyslné útoky, jejichž provedení vyžaduje větší úsilí. Jsou však obvykle mnohem závažnější kvůli vyšší hodnotě aktiv, která bývají zašifrována, což může organizace ochromit požadavky na výkupné ve výši několika milionů dolarů. Naštěstí lze těmto typům útoků předcházet pomocí správných osvědčených postupů zabezpečení.
Obr. 02.: Jak útočníci pomocí ransomwaru pronikli do vaší organizace? Otázka byla položena 2 538 respondentům, jejichž organizace byla ransomwarem v loňském roce napadena. Zdroj: Sophos
Jak je možné vidět z odpovědí průzkumu v přehledu výše, hlavním způsobem průniku ransomwaru jsou soubory stahované nebo odeslané uživatelům formou nevyžádaných zpráv nebo phishingových útoků. Nenechávejte bezpečnost v rukou svých uživatelů. Pro tyto typy útoků je nejlepší chránit vaši organizaci pevnou bránou firewall.
Jak funguje útok ransomwaru
Typický cílený útok ransomwaru může vypadat následujícím způsobem:
Zdroj: Sophos
Protokol vzdálené plochy (RDP) nebo protokol nasazení ransomwaru?
Protokol RDP (Remote Desktop Protocol, protokol vzdálené plochy) a další nástroje pro sdílení pracovní plochy, jako je aplikace Virtual Network Computing (VNC), jsou legitimní a velmi užitečné prostředky pro správu operačního systému, které správcům umožňují vzdálený přístup a ovládání systémů. Bez nasazení správného zabezpečení však tyto nástroje také poskytují útočníkům celkem pohodlné vstupy, a jsou proto běžně využívány pro cílení útoků ransomwaru.
Pokud řádně nezabezpečíte protokol RDP a jiné podobné protokoly umístěné za virtuální privátní sítí (VPN) nebo pokud alespoň neomezíte IP adresy, které se mohou do sítě připojovat prostřednictvím vzdálených nástrojů, necháváte dveře do široka otevřené případným útočníkům. Ti často využívají pro své útoky hrubou sílu, kdy zkoušejí stovky tisíc kombinací uživatelského jména a hesla, dokud nenajdou to správné.
Jak být před ransomwarem chráněn
Chcete-li správně chránit svou organizaci před ransomwarem, měli byste podniknout tři hlavní kroky.
1. Upgradujte zabezpečení IT prostředků
Před útoky, které proniknou do sítě, vás může chránit zejména vaše brána firewall a zabezpečení koncových bodů. Pokud by útok nějakým způsobem vedl k průniku do vaší sítě, mohou tyto prostředky zabránit v jeho dalším šíření a infikování ostatních systémů. Avšak ne všechny firewally a způsoby zabezpečení koncových bodů toto dokážou udělat efektivně. Ujistěte se proto, že máte nasazen systém zabezpečení IT, který to dokáže a že máte:
- Cenově dostupný izolovaný prostor (sandbox) pro analyzování chování souborů dříve, než se dostanou do vaší sítě
- Nejnovější technologie strojového učení pro identifikaci nových variant hrozeb nultého dne v souborech vstupujících přes bránu firewall
- Systém ochrany před narušením (IPS) v rámci brány firewall s online aktualizací signatur, který brání zneužití sítě
- Volný a snadný vzdálený přístup prostřednictvím sítě VPN pro vzdálenou správu vaší sítě bez ohrožení bezpečnosti
- Ochranu koncových bodů s funkcí ochrany proti ransomwaru
2. Zablokujte vzdálený přístup a správu
Pokud jde o sítě, každé otevření se vnějšímu světu znamená potenciální zranitelnost, která čeká na zneužití útokem ransomwaru. Uzamčení přístupu k protokolu vzdálené plochy (RDP) ve vaší společnosti, stejně jako otevřených portů a dalších protokolů správy, jsou jedny z nejúčinnějších kroků, které můžete k zabezpečení před cílenými útoky ransomwaru podniknout. Existuje mnoho způsobů, jak to můžete udělat. Jednou z oblíbených metod je požadovat, aby všichni uživatelé byli připojeni do sítě VPN předtím, než získají přístup ke zdrojům, jako je protokol RDP, a omezit přístup do sítě VPN pouze na zařízení se známou IP adresou. Také je vhodné správně zabezpečit a opevnit své servery, používat složitá hesla, která se často mění, a využívat víceúrovňové ověřování.
3. Rozdělte síť na segmenty
Mnoho organizací bohužel stále pracuje s topologií ploché sítě, kdy všechny své koncové body připojují ke společnému přepínači. Tato topologie snižuje ochranu tím, že umožňuje snadný pohyb nebo šíření útoku v lokální síti, protože brána firewall nemůže sledovat provoz přes přepínač, ani nad ním nemá žádnou kontrolu.
Zdroj: Sophos
Nejlepším způsobem je rozdělit síť LAN do menších podsítí pomocí zón nebo sítí VLAN a pak je propojit prostřednictvím brány firewall, aby bylo možné použít ochranu proti malwaru a systém ochrany před narušením (IPS) mezi jednotlivými segmenty. To může účinně identifikovat a blokovat hrozby, které se pokoušejí o šíření v síti.
Zdroj: Sophos
Jestli používáte zóny, nebo sítě VLAN, závisí na strategii a rozsahu segmentace sítě, ale obě řešení nabízejí podobné možnosti zabezpečení, protože umožňují použít vhodné zabezpečení a mít kontrolu nad provozem mezi segmenty. Zóny jsou ideální pro strategie využívající menší segmenty nebo sítě s neřízenými přepínači. Sítě VLAN jsou ve většině případů upřednostňovanou metodou segmentace interních sítí a nabízejí maximální flexibilitu a škálovatelnost. Vyžadují však použití (a konfigurování) řízených přepínačů vrstvy 3.
I když je to nejvhodnější způsob, jak vaši síť segmentovat, žádný „nejlepší“ způsob segmentace sítě ve skutečnosti neexistuje. Síť můžete segmentovat podle typu uživatelů (interní, smluvní partneři, hosté), podle oddělení (prodej, marketing, technické), podle služeb, zařízení nebo typu role (VoIP, Wi-Fi, IoT, počítače, servery) nebo v jakékoliv libovolné kombinaci, která ve vaší síťové architektuře dává smysl. Obecně platí, že byste měli oddělit méně důvěryhodné a zranitelnější části vaší sítě od ostatních. Bude také vhodné rozdělit velké sítě do menších segmentů, abyste tak snížili riziko průniku a šíření hrozeb.
Doporučené postupy konfigurace brány firewall a sítě podle bezpečnostních expertů společnosti Sophos
- Zajistěte, abyste měli nejlepší ochranu , včetně moderní a vysoce výkonné brány firewall nové generace se systémem ochrany před narušením (IPS), kontrolu TLS, izolovaný prostor (sandbox) pro případ útoků nultého dne a ochrany před ransomwarem se strojovým učením.
- Uzamkněte protokol RDP a další služby pomocí brány firewall. Brána firewall by měla mít možnost omezit přístup na uživatele sítě VPN a na ty IP adresy, které jsou uvedeny na seznamu povolených.
- Maximálně zmenšete prostor pro útok důkladným přehodnocením a prověřením všech pravidel pro předávání portů, abyste vyloučili a zablokovali všechny nedůležité, avšak otevřené porty. Každý otevřený port představuje potenciální místo pro průnik do vaší sítě. Pokud je to možné, použijte síť VPN pro přístup ke zdrojům v interní síti zvenčí, nikoliv pro předávání portů.
- Řádně zabezpečte všechny otevřené porty použitím vhodného systému ochrany před narušením (IPS) s pomocí pravidel, jimiž se tento provoz řídí.
- Povolte službu kontroly protokolu TLS s podporou nejnovějších standardů TLS 1.3 pro webový provoz, aby hrozby nemohly pronikat do vaší sítě prostřednictvím šifrovaných toků datového provozu.
- Minimalizujte riziko šíření v síti segmentací sítí LAN do menších izolovaných zón nebo sítí VLAN, které jsou zabezpečené a propojené bránou firewall. Nezapomeňte použít vhodné zásady IPS pro pravidla, kterými se řídí provoz procházející těmito segmenty sítě LAN, aby se zabránilo šíření exploitů, červů a botů mezi jednotlivými segmenty sítě LAN.
- Automaticky izolujte infikované systémy . Když se objeví napadení, je důležité, aby vaše řešení zabezpečení IT prostředků dokázalo rychle identifikovat narušené systémy a automaticky je izolovat, dokud je nebude možné vyčistit (například systémem synchronizovaného zabezpečení Sophos).
- Používejte silná hesla a víceúrovňové ověřování pro vzdálenou správu a nástroje pro sdílení souborů, aby nebyly ohroženy hackerskými nástroji využívajícími útoky hrubou silou.
Obraťte se na profesionály
Sofistikované řešení zabezpečení IT prostředků s pokročilou ochranou před nejnovějším ransomwarem nabízí Sophos, která staví na mnoholetých zkušenostech s integrací mezi firewallem a koncovým bodem. Spojení zabezpečení těchto dvou entit skýtá obrovské výhody, pokud jde o přehlednost a povědomí o stavu sítě a o schopnost automaticky reagovat na bezpečnostní incidenty.
Oceňovaná brána Sophos XG Firewall se zaměřuje především na prevenci útoků na síť, kdy i v případě, že ransomware pronikne do sítě, poskytuje dvojnásobné krytí, když automaticky zastaví ransomware již na počátku díky integraci s platformou ochrany koncových bodů Sophos Intercept X. Je to jako přepnout síť na autopilota, který znásobí sílu bezpečnostního týmu. Tato technologie synchronizovaného zabezpečení s názvem Sophos Synchronized Security spojuje funkce ochrany koncových bodů a sítě do jednoho výkonného, hluboce integrovaného systému kybernetického zabezpečení. Prostřednictvím konzole pro správu cloudu Sophos Central se navíc velmi jednoduše spravuje.
Klíčová brána XG Firewall a technologie společnosti Sophos, které jsou navrženy speciálně na ochranu proti ransomwaru, poskytují jednu z nejvyšších úrovní zabezpečení IT prostředků:
- Izolovaný prostor (sandbox) Sandstorm brány XG Firewall a analýza souborů vstupujících do sítě (využívající strojového učení) pomáhají zajistit, aby se i dříve nevídané varianty ransomwaru, exploitů a malwaru nešířily prostřednictvím spamu, phishingu nebo stahování z webu.
- Brána XG Firewall je vybavena systémem prevence proti průnikům, který zachytí nejnovější případy zneužití sítě a útoky, které hackeři mohou využívat k nalezení slabých míst obrany.
- Rozsáhlé, avšak jednoduché možnosti sítě VPN v rámci brány XG Firewall vám umožní zavřít všechna nechráněná místa v síti a odstranit závislost na zranitelných připojeních protokolem RDP a zároveň zajistit úplný přístup k síti pro oprávněné uživatele.
- Brána XG Firewall nabízí vysoce výkonnou kontrolu Xstream TLS 1.3 s flexibilními prvky pro řízení zásad, které zajišťují dokonalou rovnováhu mezi soukromím, ochranou a výkonem a zaručují, aby hrozby do vaší sítě nepronikly bez detekování prostřednictvím šifrovaných toků dat.
- Synchronizované zabezpečení Sophos Synchronized Security integruje bránu XG Firewall s naší ochranou koncového bodu Intercept X a automaticky reaguje na útoky ransomwaru detekováním prvních příznaků průniku, jejich zastavením a upozorněním obsluhy.
- Ochrana koncových bodů Sophos Intercept X s technologií CryptoGuard dokáže detekovat probíhající útok ransomwaru, zastavit jej a případné následky vrátit automaticky zpět. Brána XG Firewall obsahuje technologii CryptoGuard v izolovaném prostoru (sandboxu), která dokáže zachytit ransomware při činu, ještě než se dostane do vaší sítě.
Bezpečnost v osmi bodech podle Sophosu
Navzdory tomu, že se jedná o stálou kybernetickou hrozbu, bude se ransomware i nadále vyvíjet. I když asi nikdy nebudeme schopni ransomware zcela vymýtit, tak s osvědčenými postupy ochrany koncových bodů, které jsou uvedené v tomto článku, máte ty nejlepší šance ochránit vaši organizaci i před těmi nejnovějšími hrozbami.
- Ujistěte se, že máte tu nejlepší možnou ochranu
- Uzamkněte protokol RDP a další služby pomocí brány firewall
- Co nejvíce zmenšete prostor pro útok
- Zabezpečte všechny otevřené porty pomocí systému ochrany před narušením (IPS)
- Použijte izolovaný prostor a analýzu se strojovým učením ke stahování souborů a příloh
- Minimalizujte riziko šíření v rámci sítě pomocí segmentace sítí LAN
- Automaticky izolujte infikované systémy
- Pro vzdálenou správu používejte silná hesla a víceúrovňové ověřování a nástroje pro sdílení souborů
Sophos XG Firewall - zkušební verze zdarma na webu www.sophos.com/xgfirewall
video