Jak przedsiębiorstwa mogą przygotować się na cyberataki z wykorzystaniem posiadanych narzędzi, procesów i kadry pracowniczej? Podpowiadamy.
Według danych z najnowszego, opracowanego przez firmę Fortinet dokumentu The 2023 Global Ransomware Report, aż dwie trzecie firm było celem ataków ransomware w ub. roku, z czego w przypadku 50 proc. powiodły się one. Dodatkowo, dane z publikacji FortiGuard Labs 2H 2022 Threat Landscape Report informują o wzroście o 16 proc. liczby ataków ransomware w porównaniu z pierwszą połową zeszłego roku.
Chociaż statystyki dotyczące ataków ransomware budzą niepokój, nie są one zaskakujące – uważają eksperci Fortinet. Dzięki usługom Ransomware-as-a-Service (RaaS) nawet niedoświadczeni cyberprzestępcy mogą łatwo przeprowadzać zaawansowane ataki i szybko na tym zarobić. RaaS to model biznesowy, w którym twórcy oprogramowania ransomware udostępniają innym osobom narzędzia i infrastrukturę potrzebną do przeprowadzenia tego typu ataków. Dostawcy RaaS zwykle pobierają prowizję lub udział z zysków od opłaconych okupów za odszyfrowanie plików, tworząc tym samym model biznesowy bazujący na współpracy i dzieleniu się ryzykiem.
Jak wynika z raportu dotyczącego ransomware, siedem najczęściej wymienianych mechanizmów, z których każdy uważany jest za istotny dla ochrony przed tego typu atakami przez co najmniej połowę respondentów, to: rozwiązania zabezpieczające infrastrukturę Internetu rzeczy (IoT), zapory sieciowe nowej generacji (NGFW), rozwiązania Secure Access Service Edge (SASE), ochrona zasobów chmurowych (CWP), wykrywanie zagrożeń na urządzeniach końcowych i reagowanie na nie (EDR), egzekwowanie reguł dostępu do sieci w modelu zero trust oraz wdrażanie umożliwiających to narzędzi (ZTNA), a także stosowanie bezpiecznych bram poczty elektronicznej (SEG).
Aby zapobiegać negatywnym skutkom ataków ransomware zespoły ds. bezpieczeństwa powinny ustalić procedury tworzenia zapasowych kopii danych oraz stosować rozwiązania gwarantujące, że pliki w wykonanej kopii są zablokowane przed jakimikolwiek zmianami, a więc nie zostaną zaszyfrowane. Oba te mechanizmy powinny być regularnie testowane przez administratorów, aby zapewnili oni swojej firmie jak najszybsze i niezawodne odzyskiwanie danych – tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Każda firma powinna zbudować, utrzymywać oraz regularnie sprawdzać i aktualizować swój plan reagowania na incydenty. Uczestnicy badania 2023 Global Ransomware Report, za jeden z trzech najważniejszych priorytetów uznali „usprawnienia w kadrze pracowniczej i procesach”.
Przedsiębiorstwa muszą upewnić się, że ich plan działania w zakresie bezpieczeństwa obejmuje szczegółowe informowanie pracowników na temat przeciwdziałania atakom ransomware. To kolejny obszar, w którym warto rozważyć skorzystanie z pomocy zewnętrznych ekspertów, którzy mogą przeprowadzić obiektywną ocenę bezpieczeństwa i udzielić wskazówek oraz zaleceń dotyczących poprawy odporności firmy na cyfrowe zagrożenia – wskazuje Robert Dąbrowski.
Obrona przed ransomware powinna być jednym z głównych priorytetów dla przedsiębiorstw, a szczególnie dla kierownictwa wysokiego szczebla, dyrektorów wykonawczych i zarządu. Istotne jest także zadbanie o dwukierunkową komunikację pomiędzy pracownikami a kierownictwem na tematy związane z cyberbezpieczeństwem.
W walce z ransomware bardzo ważne jest prowadzenie szkoleń z zakresu rozpoznawania zagrożeń i reagowania na nie. Eksperci wskazują, że treningów nie należy rozpoczynać, gdy dojdzie już do incydentu, takiego jak atak ransomware. Zespoły ds. bezpieczeństwa powinny skutecznie nauczyć się, jak zapobiegać i reagować na zagrożenia jeszcze przed ich wystąpieniem. Dlatego w procesie edukowania warto rozważyć prowadzenie symulacji ataków ransomware oraz z użyciem innego rodzaju złośliwego kodu. Istnieje wiele dostępnych szkoleń, m.in. w instytucie SANS, Information Systems Audit and Control Association (ISACA), Cloud Security Alliance oraz innych instytucjach.
Udział w szkoleniach powinny brać nie tylko zespoły ds. bezpieczeństwa. Świadomość pracowników na temat zagrożeń, w tym ataków realizowanych według różnych scenariuszy, np. z wykorzystaniem inżynierii społecznej, należy podnosić na każdym szczeblu. Warto też skorzystać z narzędzi do symulowania różnych form zagrożeń, takich jak phishing, vishing i smishing, co pomoże pracownikom w wyrobieniu poprawnych nawyków w rozpoznawaniu nawet skomplikowanych ataków – podkreśla ekspert Fortinet.