Защита от шифровальщиков в РФ 2022
Вендоры ушли с рынка и альтернативы выбора больше нет, ведь на рынке осталось всего два антивируса – Kaspersky и Dr. Web. Но антивирусные решения даже от таких гигантов, как Лаборатория Касперского, пропускают шифровальщики. Уровня защиты, пусть и высокого, недостаточно. Обеспечение эшелонированной защиты превратилось в проблему поле ухода зарубежных производителей.
Проблематика защиты конечных точек
Group IB пишут:
«В России число атак программ-вымогателей на компании в 2021 году выросло более чем на 200%», и «средний размер требуемого выкупа достиг $2,2 млн».
Лаборатория Касперского так же заявила, что в России во второй половине марта резко увеличилось количество атак шифровальщиков.
Как же защищаются эти компании? Можно выделить следующие варианты для защиты конечных устройств:
- Каждый раз платить выкуп.
Вы скажете, что это же безумие? Но статистика показывает, что многие компании так и поступают. Почему?
- Алгоритмы шифрования достаточно сложны на сегодня и не поддаются обратному процессу в короткий промежуток времени.
- Злоумышленники каждый день работают над эволюцией вредоносного кода, то есть появляются новые версии при отсутствии дешифраторов.
- Слабый уровень оснащенности и экспертности отделов по информационной безопасности.
При этом шанс вернуть данные при отсутствии резервных копий сводится практически к нулю. Компании обращаются к интеграторам и производителям с просьбами восстановить жизненно важную информацию для бизнеса, однако требуется время и ресурсы. А если их нет? Если нужно быстро и сразу?
Единственный выход – платить. Но стоит помнить, что злоумышленник может не сдержать слово и не расшифровать ваши данные. Самыми частыми жертвами являются заводы, страховые компании и банки.
Сам выкуп по праву можно назвать самым дорогостоящим решением в борьбе с шифровальщиками.
- Переписать политику антивируса.
Вы скажете, «антивирус успешно справляется». Что ж, вам несказанно повезло, что до вас еще не добрались шифровальщики. Искренне надеемся, что так будет и завтра. Но дело все в том, что даже современное антивирусное ПО не может предотвратить неизвестные штаммы вирусов и вредоносных программ.
Защита от новых и возникающих угроз не может быть включена в них до тех пор, пока эти штаммы не станут известны (не заразят кого-то). Кроме того, киберпреступники ищут возможности для работы с известными антивирусными платформами. Они часто тестируют вредоносное ПО на разных системах перед запуском атаки, чтобы их вредоносное ПО точно не обнаруживалось.
Выход – сильно закрутить гайки антивирусом, а также на уровне системы, но пользователи просто будут отказываться работать в такой среде. А еще вы замедлите бизнес-процессы во много раз, что приведет к убыткам.
- Купить EDR/XDR.
Endpoint Detection & Response действительно годный инструмент. Мощное решение EDR окажет положительное влияние на вашу защиту. Система EDR непрерывно анализирует данные и процессы, заменяя трудоемкие, повторяющиеся антивирусные проверки.
EDR работает путем установки легкого агента на каждой конечной точке. Затем агент отслеживает события для поиска потенциально вредоносных или тех, что соответствуют известному индикатору атаки.
Далее EDR отправляет телеметрию в центральную систему управления, которая автоматически выполняет анализ и корреляцию перед отправкой оповещения. Аналитик исследует предупреждение, определяет детали атаки (ложная тревога или нет).
На основе этой информации аналитик разрабатывает соответствующий ответ. Но нужны специалисты высокого уровня для расследования инцидентов. В случае новых и не известных ранее атак EDR/XDR должны позволить атаке начаться, чтобы «понять», что это всё же атака. То есть решение позволяет вирусу запуститься для обнаружения.
Даже единичного запуска достаточно для шифровальщика, чтобы выполнить свою задачу. К тому же адаптация архитектуры может требовать много затрат, компетенций и сроков.
- Разработать концепцию SOC.
Один из самых затратных и масштабных способов это создание SOC или SOC-аутсорсинг. Аналитики 24/7 будут высматривать инциденты в SIEM системах, настраивать SOAR и т. д. Для создания своего центра требуется:
- создать стратегию центра управления безопасностью,
- подобрать решения для SOC,
- создать процессы, процедуры и программы обучения,
- подготовить среды заказчика,
- внедрить решения и развернуть сквозные сценарии использования,
- осуществить поддержку и развитие.
Этот процесс крайне эффективен и трудоёмок.
- Регулярно создавать резервные копии.
На самом деле, здесь сразу вспоминается байка про бэкапы и системных администраторов, которые делятся на два типа. Стоит добавить, что безопасность вообще стоит начинать с этого. «Ну, я всё восстановлю» вообще трудно рассматривать как инструмент для борьбы с шифровальщиками. Да и не стоит забывать о минусах:
- Резервное копирование не защищает от проникновения.
- Оно не защищает от простоя.
- Требует постоянного расширения хранилища.
- Использовать Minerva.
Все же мы нашли одно универсальное и простое решение для «тихой» и «мощной» защиты от широкого спектра атак, включая шифровальщиков. Об этом дальше.
Архитектура решения Minerva
Решение Minerva является универсальным защитником против шифровальщиков. Мы задали вопросы о продукте Алексею Голопяткину, BDM по решению Minerva.
Алексей, расскажите об архитектуре решения: как оно обрабатывает зловреды?
Алексей: «Minerva блокирует неизвестные угрозы на конечных точках, не полагаясь на предварительные знания о шаблонах или поведении вредоносных программ. Решение делает вредоносный код неэффективным, тщательно контролируя, как вредоносное ПО “воспринимает” свою среду исполнения. Этот подход особенно эффективен для защиты от неизвестных программ-вымогателей, блокируя заражение и предотвращая воздействие на файлы пользователей.
Особенности Minerva:
- Решение останавливает программы-вымогатели, используя комбинацию инновационных возможностей, основанных на запатентованной технологии компании – Minerva VR™.
- Решение имитирует среду, в которой неизвестное вредоносное ПО “решает” воздержаться от выполнения, и в результате полностью предотвращает вредоносные действия до обнаружения и до того, как они нанесут какой-либо ущерб.
- Решение создает несколько дополнительных слоёв защиты от программ-вымогателей, позволяя практически полностью предотвратить потенциальный ущерб и необходимость долгого расследования инцидентов».
Что входит в эти слои защиты в Minerva?
Алексей: «Первый слой защиты позволяет остановить атаку шифровальщика ещё на самом раннем этапе, когда он пытается проникнуть в систему и закрепиться. Для этих целей решение использует широкий ряд инструментов, предотвращающих возможность внедрения в чужие процессы. Благодаря этому:
- осуществляется предотвращение бесфайловых атак;
- блокируется именно та команда, которая является вредоносной, не влияя на работу скрипта;
- скрываются критические активы, что делает невозможным их использование зловредными программами;
- симулируется работа операционной системы для выявления работы вредоносных программ и многое другое.
То есть пользователь даже не поймёт, что что-то было не так. Но на консоли сервера управления отобразятся эти события и детали, что произошло и какую команду в каком скрипте и у кого решение заблокировало.
Второй слой защиты заключается в вакцинации конечных точек от уже известных зловредов (маркеров их инфицирования). Все вирусы-вымогатели помечают свои жертвы, когда они уже были заражены специальными маркерами, чтобы избежать повторного (бессмысленного) заражения конечного устройства. Перед атакой вирус проверяет систему на наличие своего маркера и если он уже есть, то атака не продолжается. На данном этапе Minerva позволяет предотвратить отключение системы восстановления Windows и удалить существующие точки восстановления ОС.
Третий слой защиты обеспечивается за счёт патентованной технологии Minerva, восстанавливающей все зашифрованные программой-вымогателем данные. То есть даже, если атаку невозможно предотвратить, решение позволит быстро и безболезненно восстановить утраченные данные без необходимости оплачивать выкуп».
В заключение
Так как же обеспечить защиту данных компаниям в России? С помощью специально предназначенных решений для блокирования уклоняющихся атак компании смогут обеспечить информационную безопасность.
Minerva – это уникальный продукт для защиты конечных устройств. Решение блокирует любые угрозы. Ведь чем сложнее и изощрённее атака на организацию, тем быстрее и проще “Минерве” остановить её без какого-либо вреда и последствий.
Читайте также:
