Борьба с программами-вымогателями в удаленном мире

В течение многих лет программы-вымогатели были занозой в боку команд кибербезопасности. С переходом на удаленную и гибридную работу эта коварная угроза стала еще более серьезной проблемой для организаций во всем мире.

2021 год стал показательным для программ-вымогателей из-за большого разнообразия атак, значительных финансовых и экономических последствий и разнообразных способов реагирования организаций. Эти атаки следует рассматривать как урок, который может помочь в будущих стратегиях безопасности для снижения риска программ-вымогателей. По мере того, как организация продолжает развиваться, должна развиваться и ее стратегия безопасности.

Удаленная среда готова к программам-вымогателям

Поскольку организации продолжают поддерживать удаленную и гибридную работу, они больше не имеют видимости и контроля, которые они когда-то имели внутри своего периметра. Злоумышленники пользуются этой слабостью и наживаются. Вот три причины, по которым они могут это сделать:

Изменилась обзорность и управление. В настоящее время в большинстве организаций есть сотрудники, работающие из любого места. Эти сотрудники ожидают бесперебойного доступа ко всем ресурсам с неуправляемых и личных устройств в сетях за пределами традиционного периметра. Это значительно снижает видимость и контроль, которыми обладают группы безопасности, и может затруднить понимание рисков, связанных с пользователями и устройствами, с которых они работают.

Мобильные устройства упрощают злоумышленникам фишинг учетных данных. Злоумышленники всегда ищут незаметные пути проникновения в вашу инфраструктуру. Компрометация учетных данных сотрудника позволяет ему получить законный доступ и остаться незамеченным.

Их основной тактикой кражи учетных данных является фишинг сотрудников на мобильных устройствах. Поскольку смартфоны и планшеты используются как в рабочих, так и в личных целях, сотрудники могут быть нацелены на сотрудников с помощью нескольких приложений, таких как SMS, платформы социальных сетей и сторонние приложения для обмена сообщениями. Упрощенные пользовательские интерфейсы телефона или планшета скрывают признаки фишинга и делают их подходящей мишенью для фишинговых кампаний с использованием социальной инженерии.

Виртуальные частные сети обеспечивают боковое движение. Организации полагаются на VPN для предоставления своим сотрудникам удаленного доступа к ресурсам, но этот подход имеет ряд недостатков в плане безопасности. Во-первых, VPN предоставляет неограниченный доступ всем, кто подключается, а это означает, что любой, кто подключается, может свободно получить доступ к любому приложению в вашей инфраструктуре. Во-вторых, виртуальные частные сети не оценивают контекст, в котором подключаются пользователи или устройства. Контекст необходим для обнаружения аномальной активности, указывающей на скомпрометированную учетную запись или устройство.

Три вещи, которые вы можете сделать, чтобы защититься от программ-вымогателей

Атаки программ-вымогателей никуда не денутся. Во всяком случае, эти субъекты угроз превратили свои операции в предприятие, создав масштабируемые, воспроизводимые и прибыльные кампании. Хотя универсального решения для защиты вашей организации от программ-вымогателей не существует, существует ряд действий, которые могут снизить риск.

• Защитите своих управляемых и неуправляемых пользователей. Первый шаг к защите от программ-вымогателей — это представление об уровне риска устройств и пользователей, чтобы убедиться, что они не скомпрометированы. Один скомпрометированный пользователь или устройство может нанести ущерб безопасности всей инфраструктуры. Гибридная работа вынудила организации ввести модель «принеси свое собственное устройство» (BYOD), что означает, что неуправляемые персональные устройства имеют доступ к конфиденциальным данным. Эти устройства, как правило, менее безопасны, чем управляемые устройства, поэтому очень важно обеспечить надлежащий контроль данных.
• Внедрите детальный и динамический контроль доступа. Вам нужно отойти от принципа «все или ничего» VPN. Когда пользователи входят в систему откуда угодно, очень важно понимать контекст, в котором они получают доступ к вашим корпоративным приложениям и данным . Применение принципа нулевого доверия поможет вам предоставить нужный уровень доступа к определенным приложениям и только тем пользователям, которым это необходимо.
• Модернизируйте свои локальные приложения. Многие организации по-прежнему используют программное обеспечение, которое размещается в центрах обработки данных и доступно из Интернета. Чтобы обеспечить их безопасность, обновите их с помощью политик облачного доступа, которые скрывают приложения, скрывая их от общедоступного Интернета, но при этом позволяя авторизованным пользователям получать к ним доступ из любого места. Это не только обеспечивает детализированное управление доступом, но также расширяет сильные преимущества безопасности аутентификации, которыми обладают приложения SaaS, и гарантирует, что неавторизованные пользователи не смогут обнаружить вашу инфраструктуру и получить к ней доступ.